web-dev-qa-db-fra.com

Répertoire personnel crypté: impossible de se connecter après la réinitialisation du mot de passe Sudo

J'ai un utilisateur, par exemple , secretuser , avec un répertoire personnel crypté. Malheureusement, j'ai oublié le mot de passe de l'utilisateur secretuser , car il était très secret. Alors je me suis connecté avec un autre utilisateur administrateur, disons maître utilisateur , et ai changé le mot de passe pour secretuser via une interface graphique, par exemple, 'newpass'. Lorsque vous essayez de vous connecter en tant que secretuser , il n'y avait pas de "mot de passe incorrect" ou plus lorsque j'utilise 'newpass', mais je suis renvoyé à la connexion graphique. écran immédiatement après quelques clignotements de l'écran. Alors je me suis connecté à nouveau en tant que maître-utilisateur et je l'ai fait dans une fenêtre de shell:

masteruser$ su secretuser

Je suis entré "newpass" à l'invite et j'ai pu me connecter à un shell. Mais la connexion graphique n’était toujours pas possible. Même effet que précédemment. J'ai donc conclu que la boîte de dialogue graphique ne remplissait pas complètement sa tâche et a donné une chance à la commande Invite:

masteruser$ Sudo passwd secretuser

Bien sûr, je devais passer à autre chose, par exemple "newpass1". Malheureusement, la connexion graphique montre le même problème qu'auparavant, mais maintenant, lorsque je su 'edi à secretuser , je n'ai vu qu'un message crypté. système de fichiers.

masteruser@zhadum:~$ su secretuser
Passwort: newpass1
Signature not found in user keyring
Perhaps try the interactive 'ecryptfs-mount-private'
secretuser@zhadum:/home/masteruser$ cd /home/secretuser
secretuser@zhadum:~$ ls
Access-Your-Private-Data.desktop  README.txt
secretuser@zhadum:~$ 

J'ai peut-être un peu trop poussé la sécurité, car maintenant je suis complètement bloquée. Apparemment, le mot de passe est modifié, mais cela ne fonctionne pas pour la connexion graphique ni pour le déchiffrement du répertoire de l'utilisateur. Essayer ecryptfs-mount-private comme suggéré ne fonctionnait pas non plus, parce que ni 'newpass' ni 'newpass1' n'étaient acceptés. Abandonner et recréer l’utilisateur me ferait perdre 3 semaines de travail car la sauvegarde la plus récente, honte sur moi, n’est pas trop actuelle.

Ai-je une chance d'avoir de nouveau accès?

Mise à jour: Grâce au lien fourni par @mxdsp, j'ai essayé:

masteruser@zhadum:~$ Sudo ecryptfs-recover-private
[Sudo] password for masteruser: ---- 
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]: 
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y 
INFO: Enter your LOGIN passphrase...
Passphrase: newpass1
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
masteruser@zhadum:~$ cd /var/log
masteruser@zhadum:/var/log$ tail syslog
Oct  9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Incorrect wrapping key for file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]
Oct  9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap passphrase from file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]; rc = [-5]
Oct  9 06:05:21 zhadum wpa_supplicant[1625]: nl80211: send_and_recv->nl_recvmsgs failed: -33

et aussi:

masteruser@zhadum:/var/log$ Sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] n
INFO: To recover this directory, you MUST have your original MOUNT passphrase.
INFO: When you first setup your encrypted private directory, you were told to record
INFO: your MOUNT passphrase.
INFO: It should be 32 characters long, consisting of [0-9] and [a-f].
Enter your MOUNT passphrase: byebye secretuser...

Je suppose que j'ai fini maintenant. Je vais maintenant pleurer sur mon engourdissement, puis je pose une autre question: comment supprimer réellement les 32 Go de secretuser de mon disque dur - pour être sûr de ne pas quitter plus de gâchis ...

2
flaschbier

Ce dont vous avez besoin, c'est la phrase secrète que vous avez utilisée lors de la création de l'utilisateur chiffré. Ce mot de passe n'est pas votre mot de passe ! Une fois que vous l'avez trouvé, en supposant que vous le conserviez, lancez:

ecryptfs-unwrap-passphrase

voir plus ici

4
mxdsp

Vous avez besoin soit

  • la dernière phrase secrète de connexion (celle juste avant de forcer une nouvelle phrase secrète de connexion avec Sudo)

    ou

  • la phrase de passe de montage d'origine créée lors de la configuration du chiffrement.

Le fichier wrapped-passphrase contient la phrase secrète de montage de votre maison cryptée et est cryptée avec votre phrase secrète de connexion. En forçant une nouvelle phrase secrète avec Sudo, sans avoir l'ancienne ou sans être connecté, votre fichier wrapped-passphrase n'a pas été déchiffré et rechiffré avec la nouvelle phrase secrète de connexion. Cela a pour but de fournir une sécurité réelle que tout utilisateur Sudo- armé ne peut contourner.

Lorsque vous configurez votre maison cryptée avec l'outil eCryptFS ecryptfs-migrate-home, il vous est demandé de créer une copie de sauvegarde de la phrase secrète de montage réelle, juste au cas où un tel problème se présenterait (vous oubliez votre phrase secrète de connexion ou le wrapped-passphrase le fichier est perdu ou endommagé.

Avoir juste le mot de passe de connexion depuis la première création de l'utilisateur ne sera probablement pas utile, sauf si vous avez également une copie du fichier wrapped-passphrase du même moment, en utilisant le même mot de passe de connexion.

2
Xen2050

Auto-réponse juste pour partager mes idées sur cet incident:

Avec un répertoire personnel crypté, n'oubliez pas votre mot de passe et votre phrase secrète. Vous serez perdu même si vous avez d'autres utilisateurs administrateurs sur cette machine.

Cette réponse à une question similaire pourrait fournir des informations générales utiles pour les autres. Cela explique également pourquoi je peux supprimer secureuser et ne pas chiffrer un répertoire personnel à nouveau.

En même temps que l'expérience de cette gemme , je pense vraiment que le cryptage de la partition d'origine (et seulement de la partition d'origine) présente le meilleur rapport sécurité/risque. Au moins toutes les autres options se sont avérées plus risquées que divertissantes ...

0
flaschbier