Dies beschreibt das standardmäßige verschlüsselte Home-Setup. Wenn Sie verschiedene Passphrasen oder Ordner, Verschlüsselungsalgorithmen, Schlüsselgrößen usw. verwenden möchten, können Sie diese mount.ecryptfs
direkt verwenden.
Wenn Sie einen Benutzer mit einem verschlüsselten Zuhause erstellen oder ecryptfs-migrate-home
für einen vorhandenen Benutzer verwenden, verwendet er eCryptfs und richtet ein Verzeichnis /home/.ecryptfs/
mit Ordnern mit dem "echten Zuhause" des neuen Benutzers ein, das Folgendes /home/.ecryptfs/user/
enthält:
Das reguläre Home-Verzeichnis unter /home/user/
enthält nur Links zu
/home/.ecryptfs/user/.ecryptfs
und /home/.ecryptfs/user/.Private
und zwei weitere Links zu einer Hilfedatei & /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop
(wird nur ausgeführt ecryptfs-mount-private
).
eCryptfs richtet PAM (siehe Dateien in /etc/pam.d/
) so ein, dass automatisch nach verschlüsselten Basisordnern gesucht /home/.ecryptfs/
und verschlüsselte Basisordner beim Anmelden / Abmelden bereitgestellt werden, je nachdem, ob die Dateien auto-mount
und auto-umount
vorhanden sind oder nicht . Weitere Informationen finden Sie im eCryptfs-Quellcode und in den Preinst- und Postrm-Skripten des .deb-Pakets (oben verlinkt). Dieser Clip stammt von man ecryptfs-setup-private
:
[D] Das Modul pam_ecryptfs.so zum PAM-Stapel, das automatisch die Anmelde-Passphrase verwendet, um die Mount-Passphrase zu entpacken, die Passphrase zum Kernel-Schlüsselring des Benutzers hinzuzufügen und die Bereitstellung automatisch durchzuführen. Siehe pam_ecryptfs (8).
- Diese Ubuntu Hilfeseite hat Anweisungen, wie man „ automatisch einem ecryptfs verschlüsseltes Dateisystem beim Booten mounten ... eine mit
/root/.ecryptfsrc
Dateioptionen enthalten , montieren, zusammen mit einer Kennwortdatei auf einem USB - Stick befindet. “
Nach dem Entpacken werden die Schlüssel in Ihrem Benutzerkernel-Schlüsselring gespeichert. Sie können einen Blick darauf werfen keyctl show
, da sudo keyctl show
ein Administrator bei Verwendung des Stammschlüsselrings ( ) die Passphrase herausfinden könnte. Sie können verwenden ecryptfs-unwrap-passphrase
, um die tatsächliche ecryptfs-Passphrase anzuzeigen. eCryptfs entschlüsselt Ihre Dateien mit der passenden Schlüsselsignatur (ecryptfs-Optionen ecryptfs_sig=(fekek_sig)
und ecryptfs_fnek_sig
) in der Datei Private.sig
.
Mehr Info
Ubuntu bietet gute Hilfedateien wie verschlüsselte Dateien in Ihrem Home und eCryptfs im Ubuntu Server-Handbuch .
Arch Linux bietet im Allgemeinen eine hervorragende Hilfe, siehe https://wiki.archlinux.org/index.php/System_Encryption_with_eCryptfs
Und sehen Sie sich die man
Seiten für ecryptfs
(online dort oder auf Ihrem System) und alle seine Tools an, insbesondere ecryptfs-setup-private
.
Sie können mit adduser --encrypt-home
(Weitere Informationen finden Sie in der Option -b von ecryptfs-setup-private
) einen neuen Benutzer mit einem verschlüsselten Zuhause hinzufügen und sehen, wie die Dateien für sich selbst eingerichtet sind. Und um Ihre Füße mit all den Details, die Sie wahrscheinlich nie wissen wollten, wirklich nass zu machen, lesen Sie den Quellcode :
/etc/passwd
(Home & Shell zumindest) gespeichert. Sieht das für einen verschlüsselten Home-Benutzer anders aus? Ich werde meiner Antwort auch ein paar Informationen über den Kernel-Schlüsselring hinzufügen. Ecryptfs speichert anscheinend dort Schlüssel