web-dev-qa-db-fra.com

Changer la phrase secrète d'un répertoire ecryptfs

Je veux avoir un répertoire crypté (pas homedir!) Disons/testdata.

J'ai utilisé la commande et les paramètres suivants pour le chiffrer:

root@pc:~# mount -t ecryptfs /testdata/ /testdata/
Passphrase: 
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32
 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24
 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32
 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32
 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16
Selection [aes]: 
Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 
Enable plaintext passthrough (y/n) [n]: 
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [b9fc92f854a4c85b]: 
Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=b9fc92f854a4c85b
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=b9fc92f854a4c85b
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key 
before. This could mean that you have typed your 
passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes
Would you like to append sig [b9fc92f854a4c85b] to
[/root/.ecryptfs/sig-cache.txt] 
in order to avoid this warning in the future (yes/no)? : yes
Successfully appended new sig to user sig cache file
Mounted eCryptfs

Cette commande crée ce fichier:

root@pc:~# cat .ecryptfs/sig-cache.txt 
b9fc92f854a4c85b

Maintenant, je veux changer le mot de passe que j'ai utilisé auparavant. J'ai trouvé la commande ecryptfs-rewrap-passphrase mais je ne sais pas si je suis sur le bon chemin:

root@pc:~# ecryptfs-rewrap-passphrase .ecryptfs/sig-cache.txt 
Old wrapping passphrase: 
New wrapping passphrase: 
New wrapping passphrase (again): 
Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

/var/log/syslog dit:

Jul 13 13:16:19 pc ecryptfs-rewrap-passphrase: ecryptfs_unwrap_passphrase: PK11_CipherOp() error; SECFailure = [-1]; PORT_GetError() = [-8188]

J'ai un statut de débutant en ce qui concerne ecryptfs et j'apprécierais ici quelques éclaircissements.

9
Theodotos Andreou

Je vois que vous essayez de pousser le mot de passe dans un fichier qui a une autre signification.

ecryptfs-rewrap-passphrase /home/.ecryptfs/$USER/.ecryptfs/wrapped-passphrase 

ou très certainement… mais il vaut mieux rechercher manuellement le wrapped-passphrase dans votre .ecryptfs répertoire caché:

ecryptfs-rewrap-passphrase /home/$USER/.ecryptfs/wrapped-passphrase

Je pense que c'est la bonne commande pour changer le mot de passe, où $USER est votre utilisateur

P. S .: Mieux vaut ne pas être connecté et avec votre dossier déchiffré.

10
Leon

Il n'y a aucun moyen de changer la phrase secrète à la volée, car ecryptfs chiffre chaque fichier individuellement avec cette phrase secrète et tous les fichiers doivent être réécrits avec la nouvelle phrase secrète.

Donc, tout ce que vous pouvez faire est de créer un nouveau répertoire, le monter avec la nouvelle phrase secrète et copier tous les fichiers là-bas.

L'exception à cette règle se produit lorsque vous avez utilisé Ubuntu pour créer un fichier/home/crypté lors de l'installation. Lorsque Ubuntu est configuré de cette manière, il n'utilise pas directement votre phrase secrète pour le chiffrement de fichier, mais génère plutôt une phrase secrète enregistrée dans ~/.ecryptfs/wrapped-passphrase. Ce fichier est ensuite crypté avec votre phrase secrète personnelle. Votre phasphrase personnelle peut donc changer, le fichier le mot de passe crypté reste le même. Il peut être possible de recréer ce comportement lors du montage manuel, mais ce n'est pas le cas par défaut et votre phrase secrète personnelle est utilisée directement pour le cryptage de fichier.

1
Grumbel

Les étapes à suivre sont sur Ubuntu 12.04 LTS:

Démarrer à partir d’un CD/USB Ubuntu Monter la partition avec Nautilus (méthode simple)

Sudo ecryptfs-rewrap-passphrase /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Vous devez restaurer la propriété

Sudo chown 1000:root /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Redémarrer

0
Zoltan Horvath