我希望最大化使用 ecryptfs 加密并在使用模块登录时解密的文件夹数量pam_ecryptfs.so。
哪些文件夹在登录前不可能加密?
我想lsof路过的人pam_exec.so应该会给我答案。你有更好的策略吗?
白名单文件夹示例:/boot,/etc/pam.d
PS:我使用的是 Ubuntu 桌面 16.10。请不要提及全盘 LUKS 加密(已完成)。
答案1
Ecryptfs 旨在加密用户的主目录。虽然它也可以用于其他用途,但它的设计初衷并非如此,而且设置起来也不容易。
Ecryptfs 通常在登录时安装,因此它只能加密用户的数据。用户的数据通常位于用户的主目录下,这就是主目录的用途。
系统范围的文件无法使用 ecryptfs 进行加密,除非您在登录之前安装它。但如果这就是您想要的,那么使用 ecryptfs 就没有意义:它会更难设置,并且比使用 LUKS/dmcrypt 加密更慢整个文件系统,并且不会有任何安全优势。当您希望计算机在无人值守的情况下启动,但希望用户的文件在用户登录之前受到保护时,使用 ecryptfs 保护主目录比整个磁盘加密更有优势。如果解密发生在登录之前,那么使用 ecryptfs 就没有意义加密文件系统。
寻找 的依赖关系pam_exec.so是徒劳的。登录之前你需要的是一大堆系统服务。该pam_exec模块只是登录过程的一部分,登录过程的其余部分也需要可用,登录程序、日志子系统、所有用于初始化设备的程序以及许多其他系统服务也是如此。如果您希望对所有这些进行加密,那么您需要在启动过程的早期就请求解密密钥,而实现这一点的方法是使用 LUKS 进行全磁盘加密。