Получить пароль программно перед первым входом в систему с помощью ecryptfs
Мы изучаем / экспериментируем с eCryptfs (Ubuntu Server 10.04). Мы пытаемся настроить пользователей на нашем сервере программно, используя скрипт bash, который мы можем сделать, включая шифрование их «/ home».
Мы пытаемся избежать необходимости входить в новую учетную запись для генерации парольной фразы ecryptfs. Как только мы сделаем это, мы сможем восстановить фразу-пароль через bash из другой учетной записи, но надеемся избежать шага «ручного» входа.
Мы должны упомянуть, что это сервер с выходом в Интернет, что мы делаем все возможное, чтобы «заблокировать его», что мы пытаемся запретить пользователям изменять свои пароли «волей-неволей», и поэтому им потребуется сделать запросы на изменение пароля, и что смысл шифрования состоит в том, чтобы не допускать пользователей к учетным записям друг друга (есть и другие, возможно, более эффективные способы удовлетворения этой потребности - в том числе просто «скрытие» их / дома, хотя шифрование также вызывает вход в систему, в дополнение к ssh).
Итак, есть ли способ сценария входа в систему (мы видели сообщения в Google, что это невозможно), который заменяет ручной, так что создается фраза-пароль, и мы можем ее захватывать и записывать используя ecryptfs-unwrap-passphrase.
1 ответ
Я не могу с уверенностью сказать, позволяет ли текущая реализация зашифрованных сценариев домашней настройки делать то, что вы пытаетесь. Кто-то другой должен помочь вам с этим.
Однако я хочу отметить, что использование вами eCryptfs немного ошибочно. eCryptfs на самом деле не предназначен для предоставления формы расширенного контроля доступа и полагаться на это, что имеет некоторые проблемы.
Если злонамеренный пользователь пытается получить доступ к данным другого пользователя и монтируется зашифрованный домашний каталог этого пользователя (это означает, что ключ шифрования находится в кольце ключей ядра), то eCryptfs на самом деле не предоставляет ничего, кроме обычных разрешений ЦАП. Если злоумышленник может обойти DAC, он, вероятно, имеет какой-то тип эксплойта ядра, и eCryptfs не обеспечивает защиту, если ключи шифрования уже загружены в список ключей ядра в этот момент.
Обратите внимание, что существует некоторая полезная защита для пользователей, у которых во время атаки не был смонтирован их домашний каталог, но вам придется определить, более ли вероятно, что ваши пользователи имеют их домашний каталог смонтирован в любой момент времени.
Также обратите внимание, что если вы планируете создавать резервные копии зашифрованных данных, вы получите выгоду от резервного копирования, зашифрованного для каждого пользователя. Администраторам будет нелегко получить доступ к данным, и вы потеряете меньше сна из-за неуместных стримеров.
Я не хочу отговаривать вас от использования eCryptfs, но я хочу, чтобы вы поняли, что вы получаете в обмен на дополнительную сложность и небольшое снижение производительности при использовании шифрования файлов.