Dies beschreibt das standardmäßige verschlüsselte Home-Setup. Wenn Sie verschiedene Passphrasen oder Ordner, Verschlüsselungsalgorithmen, Schlüsselgröße usw. verwenden möchten, können Sie sie mount.ecryptfs
direkt verwenden.
Wenn Sie einen Benutzer mit einer verschlüsselten Heimat erstellen oder ecryptfs-migrate-home
einen vorhandenen Benutzer verwenden, verwendet er eCryptfs und richtet ein Verzeichnis /home/.ecryptfs/
mit Ordnern mit der "echten Heimat" des neuen Benutzers ein, die Folgendes /home/.ecryptfs/user/
enthält:
Ihre eigentlichen verschlüsselten Dateien in
/home/.ecryptfs/user/.Private/
und das eCryptfs-Konfigurationsverzeichnis/home/.ecryptfs/user/.ecryptfs/
mit:auto-mount - Falls vorhanden,
ecryptfs-mount-private
wird beim Anmelden ausgeführt, dass der private Ordner (Home-Ordner) gemountet wird. Sehenman ecryptfs-mount-private
auto-umount - falls vorhanden, wird
ecryptfs-umount-private
die Ausführung beim Abmelden ausgeführt und der private Ordner (Home-Ordner) wird deaktiviert. Sehenman ecryptfs-umount-private
- Private.mnt - Eine Konfigurationsdatei, die von
mount.ecryptfs_private
at login gelesen wird und definiert, wo Ihr verschlüsseltes Verzeichnis gemountet werden soll. Wenn Sie Ihr Heimatverzeichnis verschlüsselt haben, ist dies der Fall$HOME
. - Private.sig - Enthält die Signatur der Passphrase für den Mountpoint. Es bietet einen sicheren, sicheren Mechanismus für eCryptfs, um festzustellen, ob Sie den richtigen Schlüssel verwenden oder nicht. (Siehe Q zu Private.sig und Private.mnt )
- eingewickelt-Passwort - das tatsächliche (random) eCryptfs Passwort verschlüsselte ( "wrapped") mit Ihrem Login - Passwort
Das reguläre Home-Verzeichnis /home/user/
enthält nur Links zu /home/.ecryptfs/user/.ecryptfs
und /home/.ecryptfs/user/.Private
und zwei weitere Links zu einer Hilfedatei & /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop
(wird gerade ausgeführt ecryptfs-mount-private
).
eCryptfs richtet PAM (siehe Dateien in /etc/pam.d/
) so ein, dass es /home/.ecryptfs/
beim Anmelden / Abmelden automatisch nach verschlüsselten Basisordnern in und nach Mount & Umount verschlüsselte Basisordner sucht, je nachdem, ob die Dateien auto-mount
und auto-umount
vorhanden sind. Siehe die eCryptfs Quellcode und die preinst und postrm Skripte des .deb - Paket (oben verlinkten) für weitere Details und um diesen Clip aus man ecryptfs-setup-private
:
[T] Das Modul pam_ecryptfs.so für den PAM-Stack, der automatisch die Login-Passphrase verwendet, um die Mount-Passphrase zu entfernen, die Passphrase zum Kernel-Schlüsselring des Benutzers hinzuzufügen und das Mount automatisch auszuführen. Siehe pam_ecryptfs (8).
- Diese Ubuntu- Hilfeseite
/root/.ecryptfsrc
enthält Anweisungen, wie " ein mit Ecryptfs verschlüsseltes Dateisystem beim Booten automatisch gemountet wird ... und dabei eine Datei mit Mount-Optionen zusammen mit einer Passphrasen-Datei auf einem USB-Stick verwendet wird. "
Wenn die Schlüssel einmal ausgepackt sind, werden sie in Ihrem Kernel-Schlüsselbund des Benutzers gespeichert. Sie können den Schlüssel damit überprüfen, keyctl show
da sudo keyctl show
ein Administrator die Passphrase herausfinden könnte, wenn er den root-Schlüsselbund ( ) verwendet. Sie können ecryptfs-unwrap-passphrase
die tatsächliche Passphrase von ecryptfs anzeigen. eCryptfs entschlüsselt Ihre Dateien mit der entsprechenden Schlüsselsignatur (ecryptfs-Optionen ecryptfs_sig=(fekek_sig)
und ecryptfs_fnek_sig
) in der Datei Private.sig
.
Mehr Info
Ubuntu verfügt über gute Hilfedateien wie verschlüsselte Dateien in Ihrem Heim und eCryptfs im Ubuntu Server-Handbuch .
Arch Linux bietet im Allgemeinen eine hervorragende Hilfe, siehe https://wiki.archlinux.org/index.php/System_Encryption_with_eCryptfs
Und sehen Sie sich die man
Seiten ecryptfs
(online dort oder auf Ihrem System) und alle seine Werkzeuge an, insbesondere ecryptfs-setup-private
.
Sie können einen neuen Benutzer mit einem verschlüsselten Heim hinzufügen, indem Sie adduser --encrypt-home
(Weitere Informationen finden Sie unter der Option -b von ecryptfs-setup-private
) und sehen Sie sich an, wie die Dateien für Sie selbst eingerichtet werden. Und um Ihre Füße wirklich mit allen Details nass zu machen, die Sie wahrscheinlich nie wissen wollten, sehen Sie den Quellcode :
ecryptfs-setup-private aus dem Spiegel von Dustin Kirlkand bei github
Ubuntu-Quellcode von
ecryptfs-utils
(in utopischer Version)Aus eCryptfs in Launchpad :
Der ecryptfs-utils-Userspace-Code wird in Launchpad / Bazaar gespeichert und kann über folgende Adresse abgerufen werden:
https://code.launchpad.net/~ecryptfs/ecryptfs/trunkDer ecryptfs-Kernel-Code ist in Git / Kernel.org gespeichert und kann unter folgender Adresse abgerufen werden:
https://git.kernel.org/?p=linux/kernel/git/tyhicks/ecryptfs.git;a=summary