web-dev-qa-db-fra.com

Les mots de passe de connexion et de montage ecryptfs peuvent-ils être modifiés?

En consultant la documentation Internet et les pages de manuel UNIX de ecryptfs, j'ai trouvé un peu déroutant l'utilisation aléatoire des mots de passe de connexion et de montage, de l'encapsulation et des phrases de passe encapsulées.

Par exemple, à partir de man ecryptfs-unwrap-passphrase:

   ecryptfs-unwrap-passphrase is a utility to  unwrap  an  eCryptfs  mount
   passphrase  from  file,  using  a  specified  wrapping  passphrase, and
   display the decrypted result on standard out.

En exécutant la commande à partir du terminal, l'utilisateur est invité avec une "phrase secrète", que j'ai découverte comme étant censée être la phrase secrète de connexion, afin de récupérer la phrase secrète de montage. Je suppose donc que les mots de passe de connexion et d'emballage doivent faire référence à la même phrase de passe ainsi qu'aux phrases de passe de montage et d'emballage.

Ma question est: comment, si possible, puis-je changer de connexion et monter des phrases secrètes?

ecryptfs-setup-private couru sans options (comme je l'ai fait) est censé créer un nouveau dossier crypté privé avec les phrases de passe suivantes:

  • la phrase secrète de connexion doit correspondre au mot de passe de connexion de l'utilisateur Ubuntu, de sorte que par défaut, lorsque l'utilisateur se connecte automatiquement à Ubuntu, le dossier privé est monté
  • la phrase secrète de montage est créée de manière aléatoire, sauf si l'utilisateur saisit une phrase secrète personnalisée

J'ai décidé de me connecter à Ubuntu avec le dossier restant crypté, j'ai donc supprimé le fichier ~/.ecryptfs/auto-mount. Maintenant, je voudrais savoir si la phrase de passe de connexion ecryptfs peut être modifiée et définie différemment de mon mot de passe de connexion utilisateur Ubuntu.

Est ecryptfs-rewrap-passphrase Ce dont j'ai besoin?

Je voudrais également savoir si je peux changer la phrase secrète de montage ecryptfs, car j'ai choisi une phrase secrète personnalisée alors qu'elle devrait être plus sûre une phrase secrète aléatoire de 16 octets. Je n'ai pu trouver aucune aide à ce sujet.

Exécute à nouveau ecryptfs-setup-private avec options -f et -w une solution?

1
Asarluhi

Je ne pense pas qu'il existe un moyen de changer la phrase secrète de montage, sans l'effacer et recommencer. Le ecryptfs-setup-private

   -f, --force
          Force overwriting of an existing setup

Cela pourrait fonctionner, mais il devrait laisser tous les fichiers actuellement chiffrés dans le dossier ~/.Private laissé avec l'ancienne phrase secrète de montage.

Je suggère de décrypter/monter le ~/Private fodler, en sauvegardant tous les fichiers, par exemple avec tar & gpg pour les garder cryptés

tar -z -cv datadir | gpg -v -z 0 --output data.tar.gz.gpg -c

Et puis recommencez avec ecryptfs-setup-private en utilisant les mots de passe de montage et d’emballage choisis (ou aléatoires).


La phrase de passe d'encapsulation doit être la même que la phrase de passe de connexion de l'utilisateur, vous pouvez donc vous connecter et décrypter vos fichiers en même temps. Changer la phrase secrète de connexion normalement (pendant que vous êtes connecté est une bonne chose) changera normalement la phrase secrète d'encapsulation également (via PAM je crois).

Cependant, si root modifie votre mot de passe de connexion, il ne devrait pas changer la phrase de passe d'encapsulation - cela est voulu par la conception même pour empêcher tout utilisateur root ou toute autre personne de lire vos fichiers cryptés sans la phrase de passe appropriée. Dans ce cas, la nouvelle phrase secrète de connexion ne correspondra pas à la phrase secrète d'encapsulation, et vous devrez exécuter ecryptfs-rewrap-passphrase comme vous l'avez mentionné, ce qui nécessite votre ancienne phrase secrète de connexion. Ou exécutez ecryptfs-wrap-passphrase si vous connaissez la phrase secrète de montage.

Par conséquent, si vous oubliez votre phrase secrète de connexion et n'avez pas de copie de sauvegarde de la phrase secrète de montage, vos fichiers cryptés sont effectivement verrouillés pour toujours.

1
Xen2050