我一直在使用带有 32gb 文件系统的 Truecrypt 来保存重要的个人私人文件。这样一来,进入我的系统的陌生人就无法看到任何文件,包括 Chrome 缓存、密码等。
运行良好,但我发现了 ecryptfs 并正在考虑使用它,因为它不需要固定大小的文件或文件系统。
我使用 Truecrypt 的方式是,当 Gnome 启动时,我会得到一个提示(/etc/gdm3/*Session 文件)以及一个用于挂载我的 Truecrypt 文件系统的脚本。
我想对 ecryptfs 做类似的事情。安装它,用 ecryptfs-setup-private 创建我的 ~/.Private 和 ~/Private 文件系统,它就可以正常工作了。
不幸的是,它在登录时会自动挂载 - 不好。因此,我进行了一些研究,发现删除 ~/.ecryptfs/wrapped-passphrase 会禁用该功能。
但是现在 ecryptfs-mount-private 提示“错误:加密的私有目录未正确设置” - 糟糕。
此外,执行“sudo mount -t ecryptfs ~/.Private ~.Private”让我回答了与 ecryptfs-setup-private 相同的所有问题 - 我甚至创建了一个包含适当内容的文件 ~/.ecryptfsrc - 没用。
我希望的是,在 Gnome 启动时,它会要求我输入我的(或 root)密码和密码短语,类似于 Truecrypt 现在为我执行的操作。
但是,在到达那里之前,仍然需要弄清楚如何让简单的挂载或 ecryptfs-mount-private 顺利工作。
有类似的想法或问题吗?
谢谢,
吉姆
答案1
至少可以说,我不是 eCryptFS 专家,也不使用 gnome,但我设置了类似的东西。
删除包装的密码文件会导致它在您登录时无法挂载,但这也只是因为它还会使您的私人目录无法加密访问——包装的密码文件是您输入的密码解密的“真实”密码,因此系统可以解密您的文件。您甚至可以将包装的密码文件符号链接到其他位置,例如可移动 SD 卡,这样您就可以移除卡并禁用加密目录。
要禁用自动挂载,我使用的方法是删除 .ecryptfs/auto-mount 文件(我还删除了 auto-umount 文件,因为它会在会话注销时卸载目录 - 例如,如果您转到 vterm 并登录然后注销,目录就会突然消失。例如,当您真正“注销”机器时,您可以使用 gnome 会话脚本卸载它,但我是唯一的用户,所以我不担心这个。)
然后,我运行一个脚本,弹出一个术语窗口,运行 ecryptfs-mount-private,要求输入密码来解开包装的密码文件,正如您所描述的那样。
如果您实际上删除了包装的密码(而不是重命名或移动),则必须重新创建您的私人目录。
请注意,您还需要确保您的交换空间也已加密,以免操作系统将数据转储到该空间(但这会破坏休眠模式,也许还会破坏“睡眠”模式,不知道。)请阅读“ecryptfs-setup-swap”以了解更多信息。您可能还想出于类似原因加密 /tmp。我这样做了(将 /tmp 变成可能转储到交换空间的 RAM 风险——因此交换空间应该加密,否则会有风险):
$ sudo echo "tmpfs /tmp tmpfs defaults,noatime,mode=1777 0 0" >> /etc/fstab
...但这超出了这个问题的范围。这些复杂性(以及 ecryptfs 速度较慢的事实)是人们喜欢 TrueCrypt 等块级加密的部分原因,但我确实欣赏 ecryptfs 的灵活性。
假设您在使用安装向导时使用标准登录密码包装了您的包装密码文件。大多数人都希望加密目录能够自动挂载以方便使用:文件在他们使用密码登录之前仍处于加密状态。您的问题意味着您出于某种原因想要对加密文件使用不同的密码。为此,您需要更改包装密码文件使用的密码。为此,我相信您想要做的是这样的(未经测试):
- 卸载私人目录
- 跑步:
$ ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase