ecryptfs và mật khẩu đăng nhập so với cụm mật khẩu gắn kết


16

Tôi đã cài đặt ecryptfs-utilsvà sử dụng nó để tạo một Privatethư mục được mã hóa trong thư mục nhà của tôi.

Trong quá trình tạo Privatethư mục được mã hóa, tôi đã được yêu cầu mật khẩu đăng nhập và cụm mật khẩu gắn kết. Theo như tôi hiểu thì cụm mật khẩu đăng nhập phải khớp với mật khẩu đăng nhập người dùng Ubuntu của tôi và mật khẩu gắn kết nên được yêu cầu để truy cập vào thư mục được mã hóa.

Thật ngạc nhiên, thay vào đó, bất cứ khi nào tôi muốn gắn lệnh thư mục riêng đang chạy ecryptfs-mount-private, tôi được yêu cầu nhập mật khẩu đăng nhập thay vì cụm mật khẩu gắn kết. Có phải vì vậy mà ecryptfsdự kiến ​​sẽ hành xử?

Tôi nghĩ rằng hai cụm mật khẩu là một sự bảo vệ kép trong trường hợp ai đó bẻ khóa mật khẩu đăng nhập của tôi, để bảo vệ dữ liệu riêng tư nhất của tôi.

Vì vậy, cụm mật khẩu gắn kết có ích gì và khi ai đó (ai) bắt buộc phải sử dụng nó?

Câu trả lời:


10

Đây không phải là lời tôi nói nhưng tôi không thể giải thích nó tốt hơn nữa

mật khẩu đăng nhập

Đây là mật khẩu bạn sẽ phải nhập mỗi lần bạn muốn gắn thư mục được mã hóa. Nếu bạn muốn tự động gắn vào đăng nhập để hoạt động, nó phải là cùng một mật khẩu bạn sử dụng để đăng nhập vào tài khoản người dùng của bạn.

mật khẩu gắn kết

Điều này được sử dụng để lấy khóa chính mã hóa tập tin thực tế. Do đó, bạn không nên nhập tùy chỉnh trừ khi bạn biết bạn đang làm gì - thay vào đó hãy nhấn Enter để cho phép nó tự động tạo một tùy chọn an toàn ngẫu nhiên. Nó sẽ được mã hóa bằng cụm mật khẩu đăng nhập và được lưu trữ ở dạng được mã hóa này trong ~/.ecryptfs/wrapped-passphrase. Sau đó, nó sẽ tự động được giải mã ("chưa mở") trong RAM khi cần, do đó bạn không bao giờ phải nhập thủ công. Đảm bảo tệp này không bị mất, nếu không bạn không bao giờ có thể truy cập lại thư mục được mã hóa của mình! Bạn có thể muốn chạy ecryptfs-unwrap-passphraseđể xem cụm mật khẩu gắn kết ở dạng không được mã hóa, viết nó xuống một tờ giấy và giữ nó an toàn (hoặc tương tự), vì vậy bạn có thể sử dụng nó để khôi phục dữ liệu được mã hóa của mình trong trường hợpwrapped-passphrase tập tin vô tình bị mất / bị hỏng hoặc trong trường hợp bạn quên cụm mật khẩu đăng nhập.

Nguồn


7

Tôi đã nhận được chính xác vấn đề giống như bạn đã làm, tôi đã rất bối rối bởi toàn bộ quá trình và việc biểu thị tất cả các cụm mật khẩu đó. Sau khi đào, tôi tìm thấy trang web mà @AB đã giới thiệu và nó giúp ích.

Tôi sẽ thêm một vài điều mặc dù:

Các cụm từ mật khẩu đăng nhập cũng được gọi là gói cụm từ mật khẩu . Tên cuối cùng này có ý nghĩa hơn đối với tôi bởi vì đó là cụm mật khẩu bao bọc và hủy bỏ cụm mật khẩu gắn kết . Đôi khi nó được gọi là cụm mật khẩu đăng nhập vì theo mặc định, ecryptfs muốn sử dụng mật khẩu đăng nhập người dùng của bạn làm cụm mật khẩu .

IMHO, tôi thấy thực sự không thực tế và nguy hiểm khi có mật khẩu gói là mật khẩu đăng nhập của bạn, bởi vì nếu kẻ xâm nhập tìm thấy mật khẩu đăng nhập của bạn, thì không có lý do gì để có một thư mục được mã hóa, bởi vì anh ta có thể giải mã nó bằng cùng một mật khẩu.

Nhìn thấy những gì bạn nói, tôi chỉ có thể tưởng tượng rằng bạn có cùng quan điểm:

Tôi nghĩ rằng hai cụm mật khẩu là một sự bảo vệ kép trong trường hợp ai đó bẻ khóa mật khẩu đăng nhập của tôi, để bảo vệ dữ liệu riêng tư nhất của tôi.

Tất cả điều đó đưa chúng ta đến điểm cuối cùng của tôi: Có một cách đơn giản (chưa rõ ràng đối với người mới gặp vấn đề) để chọn cụm mật khẩu gói khác với mật khẩu đăng nhập người dùng của bạn. Khi tạo thư mục riêng của bạn, hãy sử dụng tùy chọn -w, --wrapping(xem trang man để biết thêm thông tin):

ecryptfs-setup-private -w

Nó có thể cũng hoạt động trên một thư mục đã có sẵn, nhưng tôi nghĩ bạn cũng phải sử dụng -fđể buộc cập nhật.


Tôi đã làm điều đó, và bây giờ, sau mỗi sudo, nó yêu cầu cả mật khẩu đăng nhập và mật khẩu gói
Maïeul

Có nó, và nó là một chút khó chịu. Nhưng tôi nghĩ rằng nó vốn có của ecryptfs, vì vậy bạn không thể làm gì nhiều về nó. Những gì bạn có thể làm là: khi được hỏi mật khẩu đăng nhập, hãy nhập mật khẩu và sau đó khi được hỏi mật khẩu gói của bạn, nếu bạn không muốn giải mã thư mục Riêng tư của mình tại thời điểm đó, chỉ cần nhấn enter không có mật khẩu và nó sẽ không giải mã nó.
matthieu

Chính xác những gì tôi đang tìm kiếm. Không rõ ràng đối với một người mới như tôi :)
chào
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.