在 ~/Private 中设置一个私人目录后,我注意到 ecryptfs-mount-private 能够在不提供密码的情况下挂载该目录。
有没有办法禁用这种行为,强制 ecryptfs 要求输入密码(并完全禁用使用密钥环中的密钥的自动挂载)?
答案1
来自加密私人目录维基百科:
auto-mount我们可以通过删除位于的空文件来阻止 ecryptfs 在启动时解锁私人文件夹,如果您希望 ecryptsfs 在关机和注销时停止卸载私人文件夹,~/.ecryptfs/您也可以删除该 文件。auto-umount
更新:~/Private要解决不使用密码即可挂载的问题,请按照此Ubuntu 论坛帖子:
好的伙计们,这是真正的解决办法。
我正在阅读一篇关于 ecryptfs 的文章(http://ecryptfs.sourceforge.net/ecryptfs-pam-doc.txt),发现其中涉及 PAM,因此开始查看 /etc/pam.d/,发现有 2 个文件需要修改:
/etc/pam.d/common-auth
/etc/pam.d/common-session以 root 身份执行以下操作,但首先在此目录之外的目录中创建备份副本,否则
~/可能会运行未修改的备份。寻找
/etc/pam.d/common-session这样一行:
auth optional pam_ecryptfs.so unwrap
并将其注释掉,如下所示:
#auth optional pam_ecryptfs.so unwrap寻找
/etc/pam.d/common-auth这样一行:
session optional pam_ecryptfs.so unwrap
并注释掉它
#session optional pam_ecryptfs.so unwrap两个文件都必须修改。common-session 文件负责实际挂载,common-auth 文件负责解开密码。
如果只是注释掉 common-session(就像我首先尝试的那样),只需输入 ecrypt-mount-private,它就会在没有登录密码的情况下挂载。这可不是什么好事。因此必须修改 common-auth,以防止将未包装的密码加载到内核中。
需要注意的是,这会影响所有用户。我刚刚通过自己摸索发现了上述内容,它满足了我的需求。但是,对于新手来说,在多用户系统上,这会使操作更加困难,因为 Private 不会自动挂载。可能有一种方法可以在用户级别(而不是系统级别)阻止这种情况,但我不知道该怎么做。
希望这对将来的某人有所帮助。
你的,纳尼
修改这些文件后,您需要重新启动计算机。
答案2
解决该问题的绝对简单但有效的方法是简单地删除~/.ecryptfs/wrapped-passphrase(或重命名)。
这将完全阻止 pam_ecryptfs 将任何密钥加载到密钥环中。