После настройки частного каталога в ~ / Private, я заметил, что ecryptfs-mount-private может монтировать каталог без предоставления ключевой фразы.
Есть ли способ отключить это поведение, заставить ecryptfs запрашивать кодовую фразу (и полностью отключить автомонтирование с помощью ключа в связке ключей)?
Из EncryptedPrivateDirectory вики:
Мы можем запретить ecryptfs разблокировать личную папку при запуске, удалив пустой файл
blockquote>auto-mount
, который находится в~/.ecryptfs/
, где вы также можете удалить файлauto-umount
, если вы хотите, чтобы ecryptsfs прекратил размонтирование приватной папки при завершении работы и выходе из системы.ОБНОВЛЕНИЕ: Чтобы устранить проблему монтирования
~/Private
без использования пароля, следуйте инструкциям в этом посте на форумах Ubuntu :Хорошо, ребята, вот верное исправление.
Я читал статью на ecryptfs (http://ecryptfs.sourceforge.net/ecryptfs-pam-doc.txt) и обнаружил, что PAM участвует, и поэтому начал искать в /etc/pam.d/ и нашел 2 файлы, которые необходимо изменить:
/etc/pam.d/common-auth
/etc/pam.d/common-session
Выполните следующие действия в качестве пользователя root, но сначала сделайте резервную копию в каталоге ВНЕ из этого каталога как
~/
, или он, возможно, запустит резервную копию, которая не изменена.В
/etc/pam.d/common-session
найдите строку, которая говорит:
auth optional pam_ecryptfs.so unwrap
и закомментируйте это как:
#auth optional pam_ecryptfs.so unwrap
В
/etc/pam.d/common-auth
найдите строку, которая говорит:
session optional pam_ecryptfs.so unwrap
и закомментируйте это как
#session optional pam_ecryptfs.so unwrap
Оба файла должны быть модифицирована. Файл общего сеанса - это то, что вызывает фактическое монтирование, а common-auth разворачивает парольную фразу.
Если закомментирован только общий сеанс (как я пытался сперва), все, что нужно сделать, это набрать ecrypt-mount-private, и он будет монтироваться без пароля. Это не хорошо. Поэтому общий auth должен быть изменен, чтобы предотвратить загрузку развернутой парольной фразы в ядро.
Предостережение в том, что ЭТО ВЛИЯЕТ НА ВСЕХ ПОЛЬЗОВАТЕЛЕЙ. Я только что обнаружил вышеизложенное, укоренившись вокруг себя, и это удовлетворяет мои потребности. Тем не менее, это усложнит работу в многопользовательской системе для новичков, так как Private не будет автоматически монтироваться. Может быть способ предотвратить это на уровне пользователя (не на уровне системы), но я не знаю, как это сделать.
Надеюсь, это поможет кому-то в будущем.
С уважением, Нарни
blockquote>Вам потребуется перезагрузить компьютер после изменения этих файлов.
Абсолютно тривиальный, но эффективный способ решения поставленного вопроса - просто удалить ~/.ecryptfs/wrapped-passphrase
(или переименовать его).
Это полностью предотвратит загрузку pam_ecryptfs любых ключей в связку ключей.