Verschlüsselt das Ändern des Passworts mein Home-Verzeichnis neu?

26

Ich muss mein Benutzerpasswort ändern. Muss ich zusätzliche Schritte unternehmen, damit mein verschlüsseltes Basisverzeichnis mit meinem alten Passwort nicht mehr zugänglich ist und nur noch mit meinem neuen Passwort erreichbar ist?

Septagramm
quelle

Antworten:

38

Sie müssen Ihr Basisverzeichnis nicht erneut verschlüsseln und es sind keine weiteren Schritte erforderlich.

Ihr Home-Verzeichnis ist nicht direkt mit Ihrem Passwort verschlüsselt. Stattdessen wird die Passphrase, die zum Verschlüsseln des Basisverzeichnisses verwendet wird, selbst mit Ihrem Passwort verschlüsselt.

Wenn Sie Ihr Kennwort ändern, wird die Passphrase für das Basisverzeichnis mit Ihrem neuen Kennwort erneut verschlüsselt, sodass Sie weiterhin mit dem neuen Kennwort auf Ihre Dateien zugreifen können sollten.

Dies wird über PAM (Pluggable Authentication Modules) abgewickelt, sollte also mit jedem Tool zur Passwortänderung funktionieren. Die Ausnahme bilden administrative Kennwortänderungen, bei denen das ursprüngliche Kennwort nicht angegeben wird. Dies ist jedoch das erwartete Verhalten: Wenn der Administrator Ihre Dateien entschlüsseln könnte, ohne Ihr Kennwort zu kennen, gibt es keinen tatsächlichen Schutz.

In dem Fall führen Sie eine administrative Passwortänderung durch, nachdem Sie Ihr Home-Verzeichnis mit gemountet haben

ecryptfs-mount-private

und Ihr altes Passwort, Problem

ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

um das Passwort für das Auspacken an Ihr neues Passwort anzupassen. Auf diese Weise wird Ihr Home-Verzeichnis beim Anmelden automatisch eingehängt, so wie es früher war.

James Henstridge
quelle
Okay. Auch wird passwd von Bash es richtig machen oder muss ich GUI-Tools verwenden?
Septagram
3
Ja. Das verschlüsselte Basisverzeichnissystem ist über PAM (Pluggable Authentication Modules) eingebunden. Daher sollte jedes Tool, das PAM verwendet (z. B. das Befehlszeilentool passwd), funktionieren.
James Henstridge
8
Ein weiterer Hinweis, der möglicherweise nicht sofort ersichtlich ist: Wenn Sie eine Art Administrator-Kennwort zurücksetzen, bei der das ursprüngliche Kennwort nicht angegeben ist, kann die Passphrase für das Basisverzeichnis nicht erneut verschlüsselt werden. Es ist möglich, sich von dieser Situation zu erholen, wenn Sie Ihr altes Kennwort kennen, es ist jedoch zu beachten.
James Henstridge
Wenn Sie Ihre Antwort bearbeiten, sollten Sie dort Ihre Kommentare hinzufügen, um sie großartig zu machen.
Takkat
Wenn Sie eine Administrator-Kennwortänderung durchführen, müssen Sie nach dem Mounten Ihres Home-Verzeichnisses mit ecryptfs-mount-privateund Ihres alten Kennworts ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrasedas Entpackungskennwort an Ihr neues Kennwort anpassen.
Zakkak