Esto describe la configuración de inicio encriptada estándar. Si desea utilizar diferentes frases de contraseña o carpetas, algoritmo de cifrado, tamaño de clave, etc., puede usarlo mount.ecryptfs
directamente.
Cuando crea un usuario con un hogar encriptado, o lo usa ecryptfs-migrate-home
en un usuario existente, usa eCryptfs y configura un directorio que /home/.ecryptfs/
contiene carpetas con el "hogar real" del nuevo usuario, que /home/.ecryptfs/user/
contiene:
El directorio principal regular en /home/user/
sólo contiene enlaces a
/home/.ecryptfs/user/.ecryptfs
y /home/.ecryptfs/user/.Private
y dos enlaces más a un archivo de ayuda y /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop
(sólo se ejecuta ecryptfs-mount-private
).
eCryptfs conjuntos de hasta PAM (ver archivos en /etc/pam.d/
) para buscar automáticamente carpetas personales cifrados en /home/.ecryptfs/
y montaje y umount cifrado carpetas de inicio de sesión / cierre de sesión, dependiendo de si o no el auto-mount
y auto-umount
archivos existen. Consulte el código fuente de eCryptfs y los scripts preinst y postrm del paquete .deb (vinculados anteriormente) para obtener más detalles, y este clip de man ecryptfs-setup-private
:
[E] l módulo pam_ecryptfs.so a la pila PAM que utilizará automáticamente la contraseña de inicio de sesión para desenvolver la frase de contraseña de montaje, agregar la frase de contraseña al llavero del núcleo del usuario y realizar el montaje automáticamente. Ver pam_ecryptfs (8).
- Esta página de ayuda de Ubuntu tiene instrucciones sobre cómo " montar automáticamente un sistema de archivos cifrado ecryptfs en el arranque ... usando un
/root/.ecryptfsrc
archivo que contiene opciones de montaje, junto con un archivo de frase de contraseña que reside en una llave USB " .
Una vez desenvueltas, las claves se almacenan en el conjunto de claves del kernel del usuario, puede echarle un vistazo keyctl show
, ya que si utilizara el conjunto de claves raíz ( sudo keyctl show
), un administrador podría encontrar la frase de contraseña. Puede usar ecryptfs-unwrap-passphrase
para ver la frase de contraseña ecryptfs real. eCryptfs descifra sus archivos usando la firma clave correspondiente (opciones ecryptfs ecryptfs_sig=(fekek_sig)
y ecryptfs_fnek_sig
) en el archivo Private.sig
.
Más información
Ubuntu tiene buenos archivos de ayuda como archivos cifrados en su página de inicio y eCryptfs en la guía del servidor Ubuntu .
Arch Linux tiene una ayuda generalmente excelente, consulte https://wiki.archlinux.org/index.php/System_Encryption_with_eCryptfs
Y vea las man
páginas para ecryptfs
(en línea allí o en su sistema) y todas sus herramientas, especialmente ecryptfs-setup-private
.
Puede agregar un nuevo usuario con un hogar encriptado usando adduser --encrypt-home
(Para obtener más información, consulte la opción -b de ecryptfs-setup-private
) y ver cómo se configuran los archivos usted mismo. Y para realmente mojarse los pies con todos los detalles que probablemente nunca quisiste saber, mira el código fuente :