У меня есть пользователь, скажем secretuser, с зашифрованным корневым каталогом. К сожалению, я забыл пароль для пользователя secretuser, потому что это было очень секретным. Таким образом, я зарегистрировался на с другим администраторским пользователем, скажите masteruser, и изменил пароль для secretuser через графический UI к, скажем, 'newpass'. При попытке войти в систему как secretuser, не было никакого "неправильного пароля" или поэтому когда я использую 'newpass', но меня сразу передают обратно графическому экрану входа в систему после некоторой флэш-памяти экрана. Таким образом, я вошел в систему снова как masteruser и сделал в окне оболочки:
masteruser$ su secretuser
Я ввел 'newpass' при подсказке и смог войти в систему оболочки. Но все еще графический вход в систему не был возможен. Тот же эффект как прежде. Таким образом, я пришел к заключению, что графическое диалоговое окно не делает, это - задание полностью и дало командной строке шанс:
masteruser$ sudo passwd secretuser
Конечно, я должен был измениться на что-то еще, сказать 'newpass1'. К сожалению, графический вход в систему показывает ту же проблему как прежде, но теперь, когда я su
'редактор к secretuser, я только видел систему зашифрованного файла.
masteruser@zhadum:~$ su secretuser
Passwort: newpass1
Signature not found in user keyring
Perhaps try the interactive 'ecryptfs-mount-private'
secretuser@zhadum:/home/masteruser$ cd /home/secretuser
secretuser@zhadum:~$ ls
Access-Your-Private-Data.desktop README.txt
secretuser@zhadum:~$
Возможно, я взял безопасность немного слишком далеко, потому что теперь я полностью застреваю. По-видимому пароль изменяется, но он не работает на графический вход в систему и также не для дешифрования каталога пользователя. Попытка ecryptfs-mount-private
как предложено не работал также, потому что ни 'newpass', ни 'newpass1' не были приняты. Отбрасывание и воссоздание пользователя потеряли бы меня 3 недели работы, потому что новое резервное копирование, позор мне, не является слишком текущим.
У меня есть шанс получить доступ снова?
Обновление: Благодаря ссылке, данной @mxdsp, я попробовал:
masteruser@zhadum:~$ sudo ecryptfs-recover-private
[sudo] password for masteruser: ----
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]:
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: newpass1
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
masteruser@zhadum:~$ cd /var/log
masteruser@zhadum:/var/log$ tail syslog
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Incorrect wrapping key for file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap passphrase from file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]; rc = [-5]
Oct 9 06:05:21 zhadum wpa_supplicant[1625]: nl80211: send_and_recv->nl_recvmsgs failed: -33
и также:
masteruser@zhadum:/var/log$ sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] n
INFO: To recover this directory, you MUST have your original MOUNT passphrase.
INFO: When you first setup your encrypted private directory, you were told to record
INFO: your MOUNT passphrase.
INFO: It should be 32 characters long, consisting of [0-9] and [a-f].
Enter your MOUNT passphrase: byebye secretuser...
Я предполагаю, что сделан теперь. Я теперь иду, оплакивая мой dumbassery и затем задаю другой вопрос, как действительно удалить 32 ГБ secretuser от моего жесткого диска - чтобы удостовериться, что не оставил еще больше путаницы...
То, в чем Вы нуждаетесь, является паролем, который Вы использовали, когда Вы создали зашифрованного пользователя. , Что пароль не Ваш пароль ! Как только Вы нашли его, предположив, что Вы держали его, пробег:
ecryptfs-unwrap-passphrase
посмотрите больше здесь
Самоответ только, чтобы разделить мое понимание от этого инцидента:
С зашифрованным корневым каталогом, не забывайте свой пароль и Ваш пароль. Вы будете потеряны, даже когда у Вас есть другие пользователи администратора на той машине.
Этот ответ к подобному вопросу мог бы предоставить полезную вводную информацию другим. Это также объясняет, почему я могу удалить secureuser и не зашифрую корневой каталог снова.
Вместе с опытом от этот драгоценный камень я действительно думаю, что у шифровки домашнего разделения (и только домашнего разделения) есть лучшая безопасность к коэффициенту риска. По крайней мере всеми другими вариантами, оказалось, было больше риска, чем забава...
Вам действительно нужен любой
последний пароль входа в систему (тот перед принуждением нового пароля входа в систему с sudo
)
или
wrapped-passphrase
файл содержит пароль монтирования для Вашего зашифрованного дома и шифруется с Вашим паролем входа в систему. Путем принуждения нового пароля с sudo, не имея старого или быть зарегистрированным, Ваш wrapped-passphrase
файл не был дешифрован и повторно зашифрован с новым паролем входа в систему. Это дизайном для обеспечения реальной безопасности, которую любой sudo
- не может обойти вооруженный пользователь.
при установке зашифрованного дома с eCryptFS инструментом ecryptfs-migrate-home
, он просит, чтобы Вы сделали резервную копию фактического пароля монтирования, на всякий случай проблема как это подходит (Вы забываете свой пароль входа в систему или wrapped-passphrase
, файл потерян или поврежден.
Наличие только что пароль входа в систему от того, когда Вы сначала создали пользователя, вероятно, не будет полезен, если у Вас также не будет копии wrapped-passphrase
файл с того же времени, с помощью того же пароля входа в систему.
/dev/sda
, хотя я don' t помнят ту команду бесцеремонно – Thomas Ward♦ 28 December 2016 в 12:30