Приватный каталог монтируется без ключевой фразы?

Question 1

После настройки частного каталога в ~ / Private, я заметил, что ecryptfs-mount-private может монтировать каталог без предоставления ключевой фразы.

Есть ли способ отключить это поведение, заставить ecryptfs запрашивать кодовую фразу (и полностью отключить автомонтирование с помощью ключа в связке ключей)?

Question 2

Из EncryptedPrivateDirectory вики:

Мы можем запретить ecryptfs разблокировать личную папку при запуске, удалив пустой файл auto-mount, который находится в ~/.ecryptfs/ , где вы также можете удалить файл auto-umount, если вы хотите, чтобы ecryptsfs прекратил размонтирование приватной папки при завершении работы и выходе из системы.

ОБНОВЛЕНИЕ: Чтобы устранить проблему монтирования ~/Private без использования пароля, следуйте инструкциям в этом посте на форумах Ubuntu :

Хорошо, ребята, вот верное исправление.

Я читал статью на ecryptfs (http://ecryptfs.sourceforge.net/ecryptfs-pam-doc.txt) и обнаружил, что PAM участвует, и поэтому начал искать в /etc/pam.d/ и нашел 2 файлы, которые необходимо изменить:

/etc/pam.d/common-auth
/etc/pam.d/common-session

Выполните следующие действия в качестве пользователя root, но сначала сделайте резервную копию в каталоге ВНЕ из этого каталога как ~/, или он, возможно, запустит резервную копию, которая не изменена.

В /etc/pam.d/common-session найдите строку, которая говорит:

auth optional pam_ecryptfs.so unwrap
и закомментируйте это как:
#auth optional pam_ecryptfs.so unwrap

В /etc/pam.d/common-auth найдите строку, которая говорит:

session optional pam_ecryptfs.so unwrap
и закомментируйте это как
#session optional pam_ecryptfs.so unwrap

Оба файла должны быть модифицирована. Файл общего сеанса - это то, что вызывает фактическое монтирование, а common-auth разворачивает парольную фразу.

Если закомментирован только общий сеанс (как я пытался сперва), все, что нужно сделать, это набрать ecrypt-mount-private, и он будет монтироваться без пароля. Это не хорошо. Поэтому общий auth должен быть изменен, чтобы предотвратить загрузку развернутой парольной фразы в ядро.

Предостережение в том, что ЭТО ВЛИЯЕТ НА ВСЕХ ПОЛЬЗОВАТЕЛЕЙ. Я только что обнаружил вышеизложенное, укоренившись вокруг себя, и это удовлетворяет мои потребности. Тем не менее, это усложнит работу в многопользовательской системе для новичков, так как Private не будет автоматически монтироваться. Может быть способ предотвратить это на уровне пользователя (не на уровне системы), но я не знаю, как это сделать.

Надеюсь, это поможет кому-то в будущем.

С уважением, Нарни

Вам потребуется перезагрузить компьютер после изменения этих файлов.

Question 3

Question 4

Абсолютно тривиальный, но эффективный способ решения поставленного вопроса - просто удалить ~/.ecryptfs/wrapped-passphrase (или переименовать его).

Это полностью предотвратит загрузку pam_ecryptfs любых ключей в связку ключей.

Isaiah · Answer 1 · 29 October 2010 в 00:10

Из EncryptedPrivateDirectory вики:

Мы можем запретить ecryptfs разблокировать личную папку при запуске, удалив пустой файл auto-mount, который находится в ~/.ecryptfs/ , где вы также можете удалить файл auto-umount, если вы хотите, чтобы ecryptsfs прекратил размонтирование приватной папки при завершении работы и выходе из системы.

ОБНОВЛЕНИЕ: Чтобы устранить проблему монтирования ~/Private без использования пароля, следуйте инструкциям в этом посте на форумах Ubuntu :

Хорошо, ребята, вот верное исправление.

Я читал статью на ecryptfs (http://ecryptfs.sourceforge.net/ecryptfs-pam-doc.txt) и обнаружил, что PAM участвует, и поэтому начал искать в /etc/pam.d/ и нашел 2 файлы, которые необходимо изменить:

/etc/pam.d/common-auth
/etc/pam.d/common-session

Выполните следующие действия в качестве пользователя root, но сначала сделайте резервную копию в каталоге ВНЕ из этого каталога как ~/, или он, возможно, запустит резервную копию, которая не изменена.

В /etc/pam.d/common-session найдите строку, которая говорит:

auth optional pam_ecryptfs.so unwrap
и закомментируйте это как:
#auth optional pam_ecryptfs.so unwrap

В /etc/pam.d/common-auth найдите строку, которая говорит:

session optional pam_ecryptfs.so unwrap
и закомментируйте это как
#session optional pam_ecryptfs.so unwrap

Оба файла должны быть модифицирована. Файл общего сеанса - это то, что вызывает фактическое монтирование, а common-auth разворачивает парольную фразу.

Если закомментирован только общий сеанс (как я пытался сперва), все, что нужно сделать, это набрать ecrypt-mount-private, и он будет монтироваться без пароля. Это не хорошо. Поэтому общий auth должен быть изменен, чтобы предотвратить загрузку развернутой парольной фразы в ядро.

Предостережение в том, что ЭТО ВЛИЯЕТ НА ВСЕХ ПОЛЬЗОВАТЕЛЕЙ. Я только что обнаружил вышеизложенное, укоренившись вокруг себя, и это удовлетворяет мои потребности. Тем не менее, это усложнит работу в многопользовательской системе для новичков, так как Private не будет автоматически монтироваться. Может быть способ предотвратить это на уровне пользователя (не на уровне системы), но я не знаю, как это сделать.

Надеюсь, это поможет кому-то в будущем.

С уважением, Нарни

Вам потребуется перезагрузить компьютер после изменения этих файлов.

Dustin Kirkland · Answer 2 · 29 October 2010 в 00:10

Абсолютно тривиальный, но эффективный способ решения поставленного вопроса - просто удалить ~/.ecryptfs/wrapped-passphrase (или переименовать его).

Это полностью предотвратит загрузку pam_ecryptfs любых ключей в связку ключей.

Приватный каталог монтируется без ключевой фразы?

2 ответа

Другие вопросы по тегам:

Похожие вопросы: