Ubuntu, Gnome, PAM и ecryptfs
Я хотел бы, чтобы каталог был доступен для пары пользователей и не читался по типам обслуживания ... Я могу делать то, что хочу, используя ecryptfs и пароль, известный только «паре пользователей», о которых идет речь. затем можете смонтировать каталог и использовать его по своему усмотрению.
Я хотел бы иметь возможность автоматизировать этот процесс и разблокировать каталог при входе в систему - опять же, только для «пары пользователей», о которых идет речь, без запроса пароля.
Gnome-keyring может хранить зашифрованные парольные фразы / пароли; и, по-видимому, если бы я мог получить идентификатор ключа для ecryptfs, модули Pn Gnome позволили бы разблокировать ключ с этим идентификатором и смонтировать каталог.
Увы, я не нашел способа перейти из точки A (модуля ключей GAM PAM) в точку B (использовать разблокированный ключ в ecryptfs).
Другое использование того же механизма позволило бы создать механизм «хранения ключей», в котором ключи от зашифрованных томов надежно хранятся, например, в HR; так что информация о компании в зашифрованных каталогах может быть восстановлена, если вы перейдете по пресловутой шине.
3 ответа
Другим решением является gpg-шифрование. Вы можете eckrypt каталог с помощью gpg и gpg-ключи общественности народов и затем публиковать каталог через UbuntuOne каждому из участников.
Удобный инструмент для Наутилуса, чтобы сделать это идет с плагинами морского конька (просто щелкают правой кнопкой в диалоговом окне файла).
Право знает, что существует проблема с плагинами морского конька пакета (11.10), но существует PPA ppa:mdeslaur/testing с функционирующим пакетом.
Каталог зашифровал использование gpg, может функционировать как ключевое условное депонирование, его возможное, чтобы сохранить этот каталог на публике, сохранить его в третьем депозите части, распределить его в сети общего пользования и только тех, которые может считать каталог, где зашифровано для.
Создайте нового пользователя на сервере, доступном с ssh (установленный openssh-сервер) и зашифрованный корневой каталог. Можно затем добавить все ssh-ключи народов, позволяющие каждому пользователю использовать ssh-копию команды от их клиента, использующего "общественность" известный пароль. Когда это сделано, изменяют пароль. Все пользователи, которые скопировали их общедоступные ssh-ключи, могут все еще войти с их паролем для ssh-ключа в не знание Вашего секретного пароля для учетной записи. Если Вы хотите удалиться, один из пользователей просто удаляют открытый ключ из ~/.ssh/authorized_keys.
Можно также вручную добавить пользовательские открытые ключи к ~/.ssh/autorized_keys
Для ключевого аспекта условного депонирования Вашего вопроса см. KeyEscrow.net, который специально разработан для eCryptfs ключевого условного депонирования.