eCryptFS: Wie mounten Sie ein Backup eines verschlüsselten Home-Verzeichnisses?

10382
Boldewyn

Ich verwende eCryptFS, um das Heimatverzeichnis meines Laptops zu verschlüsseln. Mein Sicherungsskript kopiert die verschlüsselten Dateien (zusammen mit allem anderen (home/.ecryptfs) auf einen Server .

Wie kann ich die verschlüsselten Dateien der Sicherung einhängen? Ich möchte bestätigen, dass ich das kann und dass alles vorhanden ist.

Mein naiver Versuch mit

mount -t ecryptfs /backup/home/.ecryptfs/boldewyn /mnt/test 

funktionierte nicht, eCryptFS wollte eine neue Partition erstellen.

10
Verwandte Themen: [Wie kann ich meine Daten aus einem verschlüsselten Basisverzeichnis wiederherstellen?] (Http://askubuntu.com/questions/38336/how-do-i-recover-my-data-from-an-encrypted-home-directory ). kenorb vor 10 Jahren 0

1 Antwort auf die Frage

15
user39559

Angenommen, Sie verwenden das Ubuntu-Standard-Verschlüsselungsschema, ohne zusätzliche Änderungen.

Der $ HOME / .ecryptfs "Ordner" ist eigentlich nur ein Link.

Der wahre Ort, an dem sich Ihre Dateien befinden, ist /home/.ecryptfs/$USER

Es gibt zwei Ordner, .Private (mit Ihren Dateien verschlüsselt) und .ecryptfs, mit Dateien wie Auto-Mount, Auto-Umount, Private.mnt, Private.sig und Wrapped-Passphrase.

Hoffentlich werden die Zieldateien in Ihre Host-Sicherung kopiert.

Wenn auf diesem Server keine Sicherung Ihrer Wrap-Passphrased vorhanden ist, sind Sie verloren. Wenn ein Backup vorhanden ist, wurde das Verschlüsselungsschema durch das Speichern der umschlossenen Passphrase über das Web geschwächt, sofern Sie nicht den Host steuern, auf dem Sie das Backup erstellen.

Ich habe dieses Skript zum Montieren gefunden:

ROOT = / home / .ecryptfs / $ USER TARGET = / mnt / $ USER  # ROOT sollte das übergeordnete Element der Ordner .ecryptfs und .Private sein  sudo mkdir -p $ TARGET CD $ ROOT  Echo Geben Sie Ihr Passwort ein: PASS = $ (ecryptfs-unwrap-passphrase .ecryptfs / wrapped-passphrase | sed s / Passphrase: \ //) SIG1 = $ (head -n1 .ecryptfs / Private.sig) SIG2 = $ (tail -n1 .ecryptfs / Private.sig)  Echo Passphrase: Echo $ PASS Echosignaturen: Echo $ SIG1 echo $ SIG2  Echo sollte leer sein: sudo keyctl clear @u sudo keyctl list @u  Echo Geben Sie nichts ein: echo $ PASS | sudo ecryptfs-add-passphrase --fnek  Echo Könnte Unterschriften haben: sudo keyctl list @u  echo Mounting $ ROOT auf $ TARGET ... Sudo-Mount -t-Ecryptfs -o-Schlüssel = Passphrase, Ecryptfs_Cipher = A-Kanal, Ecryptfs_key_bytes = 16, Ecryptfs_passthrough = Nein, ecryptfs_enable_filename_crypto = ja, ecryptfs_sig = $ SIG1, ecryptfs_fnek_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig_rig.  ls $ TARGET  unset -v PASS 
Ah, das Auspacken der Passphrase war der Trick! Vielen Dank! Boldewyn vor 13 Jahren 0
Gut, dass es funktioniert. Wenn Sie Ihre umschlossene Passphrase jedoch auf dem Server aufbewahren, wird Ihre Verschlüsselungssicherheit beeinträchtigt und manchmal zerstört. user39559 vor 13 Jahren 1
[Link] (https://bugs.launchpad.net/ubuntu/+source/ecryptfs-utils/+bug/455709/comments/11) zum ursprünglichen Skript ([vollständiger Thread] (https://bugs.launchpad.net) / ubuntu / + source / ecryptfs-utils / + bug / 455709)). kenorb vor 10 Jahren 3
Vielen Dank! Ich bin überrascht, dass es keinen Standardbefehl gibt, um so etwas zu tun. Wenn Sie [EncryptedPrivateDirectory] (https://help.ubuntu.com/community/EncryptedPrivateDirectory) verwenden, um nur Ihren `$ HOME / Private`-Mount-Punkt zu verschlüsseln, verwenden Sie im Skript` ROOT = $ HOME`. Ich habe das Skript in `ROOT = $ ` geändert, sodass ich diesen Wert einfach über die Umgebung übergeben kann. nealmcb vor 9 Jahren 0
Ahh - Ich sehe, dass der Kommentar von @Kenorb mit einem Fehlerbericht verknüpft ist, der ausführlich beschreibt, warum der normale Ansatz, Mount zu haben, die Passphrase über `sudo mount -t ecryptfs .Private / mnt / private` verlangt, in Ubuntu nicht funktioniert. Hmm - 6 Jahre alter Fehler .... nealmcb vor 9 Jahren 0