it-swarm.com.de

So verwenden Sie ecryptfs mit einem Nicht-Home-Verzeichnis

Ich möchte ecryptfs verwenden, um ein zufälliges Verzeichnis (d. H. Nicht mein Basisverzeichnis oder ein Unterverzeichnis davon, hauptsächlich aufgrund von Speicherplatzbeschränkungen auf meiner Basispartition) zu verschlüsseln und dieses Verzeichnis bereitzustellen, wenn ich mich bei meinem Konto anmelde. Ich kann nicht sehen, wie das geht oder ob es mit der vorhandenen Software wirklich möglich ist. Ich habe Beiträge gesehen, die vage Vorschläge enthalten (z. B. die Verwendung von mount.ecryptfs_private mit der ALIAS-Option), aber ich habe noch keine einfachen, schrittweisen Anweisungen dazu gefunden. Könnte jemand diese Anweisungen bereitstellen oder mich darauf hinweisen, wo ich sie finde?

14
user3004015

Sie sehen sich nur die supereinfachen Skripte wie ecryptsfs-setup-private und ecryptsfs-mount-private an, sie verwenden die allgemeineren Werkzeuge, nach denen Sie scheinbar suchen: mount.ecryptfs und ecryptfs-add-passphrase. Weitere Informationen finden Sie auf den man Seiten.

Und der Link, den Rinzwind gepostet hat, enthält alle Informationen, die Sie benötigen, weiter unten auf der Seite unter Manual Setup . Sie sind ziemlich lang, aber die sehr sehr kurze Version wäre:


Der "Manual Setup" Weg (Archlinux Wiki)

Wählen Sie zuerst ein ALIAS aus, wie Sie möchten. In diesem Abschnitt wird ALIAS geheim sein. Erstellen Sie die erforderlichen Verzeichnisse/Dateien:

$ mkdir ~/.secret ~/secret ~/.ecryptfs
$ touch ~/.ecryptfs/secret.conf ~/.ecryptfs/secret.sig

Das Verzeichnis ~/.secret enthält die verschlüsselten Daten. Das Verzeichnis ~/secret ist der Mount-Punkt, an dem ~/.secret als ecryptfs-Dateisystem gemountet wird.

[Erstellen Sie nun die tatsächliche Mount-Passphrase (die einfachen Skripte wählen pseudozufällige 32 Zeichen aus /dev/urandom aus), und machen Sie es zu einem guten ]

$ echo "$HOME/.secret $HOME/secret ecryptfs" > ~/.ecryptfs/secret.conf
$ ecryptfs-add-passphrase
Passphrase: 
Inserted auth tok with sig [78c6f0645fe62da0] into the user session keyring

Schreiben Sie die Ausgabesignatur (ecryptfs_sig) des vorherigen Befehls in ~/.ecryptfs/secret.sig:

$ echo 78c6f0645fe62da0 > ~/.ecryptfs/secret.sig
  • Eine zweite Passphrase für die Dateinamenverschlüsselung kann verwendet werden. Wenn Sie dies wünschen, fügen Sie es dem Schlüsselring hinzu:

    $ ecryptfs-add-passphrase
    Passphrase: 
    Inserted auth tok with sig [326a6d3e2a5d444a] into the user session keyring
    

    Wenn Sie den obigen Befehl ausführen, hängen Sie die Ausgabesignatur (ecryptfs_fnek_sig) an ~/.ecryptfs/secret.sig an:

    $ echo 326a6d3e2a5d444a >> ~/.ecryptfs/secret.sig
    

Zum Schluss, um ~/.secret auf ~/secret zu mounten:

$ mount.ecryptfs_private secret

~/.Secret aushängen:

$ umount.ecryptfs_private secret

  • Oder Sie könnten sich wirklich die Hände schmutzig machen und den Ohne ecryptfs-utils Anweisungen folgen.

  • Oder : Wenn Sie sich bereits die einfachen Skripte ecryptsfs-setup-private & ecryptsfs-mount-private angesehen haben, können Sie diese möglicherweise kopieren und bearbeiten Zeigen Sie mit ein wenig Geschick und Geduld auf Ihre bevorzugten Verzeichnisse.

  • Oder speichere einfach die Passphrase (n) selbst (sicher bevorzugt) und mag das Beispiel der Seite man ecryptfs (muss die Manpages lesen) :

    The following command will layover mount eCryptfs on /secret with a passphrase
    contained in a file stored on secure media mounted at /mnt/usb/.
    
    mount  -t  ecryptfs -o key=passphrase:passphrase_passwd_file=/mnt/usb/file.txt /secret /secret
    
    Where file.txt contains the contents "passphrase_passwd=[passphrase]".
    

Abgesehen von verschlüsselten Basisordnern und einem verschlüsselten Ordner in hausinternen eCryptfs-Ordnern

In einem verschlüsselten Basisordner werden Dateien normalerweise in /home/.ecryptfs/user/ gespeichert, während sich in einem verschlüsselten privaten Ordner Dateien in Ihrem eigenen Basisordner befinden. Sie können nicht beide gleichzeitig verwenden , eCryptfs führt keine verschachtelten verschlüsselten Ordner aus. Aber ein verschlüsseltes Zuhause und verschlüsselte Ordner außerhalb Ihres Zuhauses sind in Ordnung.

  • Ich habe gerade versucht, einen neuen Benutzer mit einem verschlüsselten Zuhause zu erstellen. Sudo adduser --encrypt-home jack

    Es wurde ein /home/.ecryptfs/ -Ordner erstellt mit:

    • /home/.ecryptfs/jack/.ecryptfs/ - Passphrase und Konfigurationsdateien wurden umbrochen, um das Haus von Jack bei der Anmeldung automatisch zu aktivieren
    • /home/.ecryptfs/jack/.Private/ - Aktuelle verschlüsselte Home-Dateien, die beim Anmelden in /home/jack/ eingebunden werden.

      Und auch den Ordner /home/jack/, der jedoch einen Link enthielt, der dort bleibt , egal ob angemeldet oder nicht:

      /home/jack/.ecryptfs/ -> /home/.ecryptfs/jack/.ecryptfs

    • Als nächstes loggte ich mich als Jack ein, aber der Link war immer noch da. Der Versuch, ecryptfs-setup-private auszuführen, führte dazu, dass /home/jack/.ecryptfs/ angezeigt wurde, die vorhandenen Dateien jedoch wirklich in /home/.ecryptfs/jack/.ecryptfs angezeigt wurden, sodass die Erstellung fehlschlug eine andere Passwortdatei & fehlgeschlagen mit ERROR: wrapped-passphrase file already exists, use --force to overwrite.

      Die oben beschriebenen "ALIAS" -Versuche mit einem .secret-Ordner im verschlüsselten Heim schlugen mit fehl diese Fehler:
      Mount on filesystem of type eCryptfs explicitly disallowed due to known incompatibilities
      Reading sb failed; rc = [-22]

      "Das Verschachteln verschlüsselter Verzeichnisse in verschlüsselte Verzeichnisse wird von eCryptfs nicht unterstützt. Tut mir leid." - eCryptfs-Autor und -Betreuer

    • Das Ändern des ALIAS-Ordners außerhalb von Jacks Zuhause, indem Sie /tmp/.secret/ & /tmp/secret/ versuchen, funktioniert . ABER wenn sich die Buchse abmeldet, bleibt der neue verschlüsselte Ordner angehängt , so dass Sie ihn abhängen müssen (umount.ecryptfs_private secret).

8
Xen2050

Wenn Sie es wie encfs verwenden möchten, können Sie es mit dem folgenden Eintrag in /etc/fstab tun.

/tmp/.geheim /tmp/geheim ecryptfs rw,no_sig_cache,ecryptfs_fnek_sig=1f7aefb9e239099f,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_enable_filename_crypto=y,ecryptfs_passthrough=n,passphrase_passwd=geheimpw,user,noauto 0 0

geheim ist das deutsche wort für geheimnis, stellt aber sicher, dass es kein schlüsselwort ist. Sie müssen zuerst die Verzeichnisse erstellen. Beim ersten Mal solltest du ecryptfs_fnek_sig=1f7aefb9e239099f weglassen. Dann zeigt mount /tmp/geheim den korrekten Wert an.

Sie können das Kennwort an einem anderen Ort speichern und komplexere Optionen festlegen. Sie finden alle Optionen in man ecryptfs.

0
niels