ecryptfsディレクトリのパスフレーズを変更する


9

暗号化されたディレクトリ(homedirではない!)が欲しいので、/ testdataとしましょう。

次のコマンドとパラメーターを使用して暗号化しました。

root@pc:~# mount -t ecryptfs /testdata/ /testdata/
Passphrase: 
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32
 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24
 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32
 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32
 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16
Selection [aes]: 
Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 
Enable plaintext passthrough (y/n) [n]: 
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [b9fc92f854a4c85b]: 
Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=b9fc92f854a4c85b
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=b9fc92f854a4c85b
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key 
before. This could mean that you have typed your 
passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes
Would you like to append sig [b9fc92f854a4c85b] to
[/root/.ecryptfs/sig-cache.txt] 
in order to avoid this warning in the future (yes/no)? : yes
Successfully appended new sig to user sig cache file
Mounted eCryptfs

このコマンドはこのファイルを作成します:

root@pc:~# cat .ecryptfs/sig-cache.txt 
b9fc92f854a4c85b

次に、以前に使用したパスフレーズを変更します。ecryptfs-rewrap-passphraseコマンドは見つかりましたが、正しいパスにいるかどうかはわかりません。

root@pc:~# ecryptfs-rewrap-passphrase .ecryptfs/sig-cache.txt 
Old wrapping passphrase: 
New wrapping passphrase: 
New wrapping passphrase (again): 
Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

/var/log/syslog 言う:

Jul 13 13:16:19 pc ecryptfs-rewrap-passphrase: ecryptfs_unwrap_passphrase: PK11_CipherOp() error; SECFailure = [-1]; PORT_GetError() = [-8188]

私はecryptfsに関して初心者ですが、ここでいくつかの啓蒙に感謝します。

回答:


10

他の意味のあるファイルにパスワードをプッシュしようとしているようです。

ecryptfs-rewrap-passphrase /home/.ecryptfs/$USER/.ecryptfs/wrapped-passphrase 

または、最も確かに…しかしwrapped-passphrase.ecryptfs隠しディレクトリでを手動で検索することをお勧めします。

ecryptfs-rewrap-passphrase /home/$USER/.ecryptfs/wrapped-passphrase

これはパスワードを変更するための正しいコマンドだと思い$USERます。ユーザーはどこですか

PS:ログインしたり、フォルダを復号化したりしないことをお勧めします。


1
返信をありがとうレオン。暗号化されたユーザーアカウントを持っていない/望んでいません。データが必要なときに手動でマウントする暗号化されたディレクトリが必要です。ecryptfs-rewrap-passphraseこれはこの仕事に適したツールではないと思います。home/.ecryptfs暗号化されたディレクトリを持つユーザーがいないため、ディレクトリもありません。手動で暗号化したディレクトリのパスフレーズを変更する方法はありますか?
Theodotos Andreou 2013

2

ecryptfsは各ファイルをそのパスフレーズで個別に暗号化し、すべてのファイルを新しいパスフレーズで書き換える必要があるため、オンザフライでパスフレーズを変更する方法はありません。

したがって、できることは、新しいディレクトリを作成し、新しいパスフレーズでマウントして、そこにすべてのファイルをコピーすることだけです。

これの例外は、インストール時にUbuntuを使用して暗号化された/ home /を作成した場合です。Ubuntuがそのように設定されている場合、ファイル暗号化にパスフレーズを直接使用するのではなく、ランダムなパスフレーズを生成してに保存し~/.ecryptfs/wrapped-passphraseます。次に、そのファイルは個人のパスフレーズで暗号化されます。したがって、個人のパスフレーズは変更され、ファイル暗号化パスフレーズは同じままです。手動でファイルをマウントするときにその動作を再現できる可能性がありますが、デフォルトではそうではなく、個人のパスフレーズがファイルの暗号化に直接使用されます。


0

実際の手順は、Ubuntu 12.04 LTSで行われます。

Ubuntu CD / USBから起動するNautilusでパーティションをマウントする(簡単な方法)

sudo ecryptfs-rewrap-passphrase /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

所有権を復元する必要があります

sudo chown 1000:root /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

再起動

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.