パスワードを変更すると、ホームディレクトリが再暗号化されますか?


26

ユーザーのパスワードを変更する必要があります。古いパスワードではアクセスできなくなり、新しいパスワードでのみアクセスできるようにするには、暗号化されたホームディレクトリに追加の手順を実行する必要がありますか?

回答:


38

ホームディレクトリを再暗号化する必要はありません。また、追加の手順を実行する必要もありません。

ホームディレクトリはパスワードで直接暗号化されていません。代わりに、ホームディレクトリの暗号化に使用されるパスフレーズ自体がパスワードで暗号化されます。

パスワードを変更すると、ホームディレクトリのパスフレーズが新しいパスワードで再暗号化されるため、新しいパスワードを使用してファイルに引き続きアクセスする必要があります。

これはPAM(Pluggable Authentication Modules)を介して処理されるため、任意のパスワード変更ツールで動作するはずです。例外は、元のパスワードが提供されない管理パスワードの変更です。ただし、これは予期される動作です。管理者がパスワードを知らなくてもファイルを復号化できる場合、実際の保護はありません。

ホームディレクトリをマウントした後に管理パスワードの変更を行う場合

ecryptfs-mount-private

古いパスワード、問題

ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

ラップ解除パスワードを変更して新しいパスワードに一致させます。これにより、以前と同じように、ホームディレクトリがログイン時に自動マウントされます。


はい。また、bashのpasswdは適切に機能しますか、またはGUIツールを使用する必要がありますか?
セプタグラム

3
はい。暗号化されたホームディレクトリシステムは、PAM(Pluggable Authentication Modules)を介してフックされるため、PAMを使用するすべてのツール(コマンドラインpasswdツールなど)が動作するはずです。
ジェームズヘンストリッジ

8
すぐにはわからないかもしれないもう1つの注意:元のパスワードが提供されていない場所で何らかの管理パスワードのリセットを使用すると、ホームディレクトリのパスフレーズを再暗号化することができなくなります。古いパスワードを知っていれば、この状況から回復することは可能ですが、心に留めておくべきことです。
ジェームズ・ヘンストリッジ

あなたの答えを編集することで、あなたはそれを素晴らしいものにするためにあなたのコメントを追加するべきです。
Takkat

管理パスワードの変更を行う場合は、ホームディレクトリをecryptfs-mount-private古いパスワードでマウントした後ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase、新しいパスワードと一致するようにラップ解除パスワードを変更するように発行 します。
zakkak 14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.