如何在具有严格安全策略的 16.04 加密硬盘中将自己重新添加至 sudo 组?

如何在具有严格安全策略的 16.04 加密硬盘中将自己重新添加至 sudo 组?

我知道线索如何将自己重新添加为 sudo 用户?从 Live CD 挂载加密的 LUKS 分区,... 本主题是关于如何在没有 root 权限的情况下重新添加 sudo 用户,并在加密环境中实施其他严格的安全策略:全媒体加密、主文件夹加密和空白空间覆盖,但您知道加密的密码。不过,安装这种加密设备并不是那么简单。这不是重复的!

我的整个磁盘都加密了。它包含 Ubuntu 16.04。我知道这个帖子如何将自己重新添加为 sudo 用户?但它不适用于全盘加密。我sudo usermod -G staff masi无意中这样做了(错过了-a那里的选项)并注销了。它将我从除 之外的所有其他组中移除staff。要恢复默认设置,我应该运行

sudo usermod -a -G  adm cdrom sudo dip plugdev lpadmin sambashare masi

但是,我不再是 sudo 组的成员,因此无法运行它。您无法进入 Ubuntu 的 Grub > 救援模式(在 Grub > 高级选项中),因为整个磁盘加密;未启用 root;加密步骤之前/之后的转换失败;如所述无法进入恢复模式这里; 在加密步骤中成功输入密码后,Grub 不会启动;您无法更改只读,/etc/default/grub因此无法添加GRUB_CMDLINE_LINUX_DEFAULT="quiet splash single"让 Grub 工作的内容。因此,您必须拥有带有ecryptfs-utils schroot

持久在线 Ubuntu 16.04 尝试

创建持久的 Live Ubuntu USB这里. 我根据以下来源进行以下操作这里这里没有现成的解决方案

> sudo apt-get update
...
> sudo apt-get install lvm2 cryptsetup
...
> sudo modprobe dm-crypt
> sudo fdisk -l % find the appropriate disc
sudo: unable to resolve host masi-CM6340: Connection refused
...
> sudo cryptsetup luksOpen /dev/sda5 myvolume % my case sda5 i.e. linux, not extended
sudo: unable to resolve host masi-CM6340: Connection refused
Enter passphrase for /dev/sda5: % which I enter successfully
>
> sudo mkdir /media/test
> 
% sudo vgscan not needed to activate the sockets
> sudo vgchange -ay % will make volumes active 
sudo: unable to resolve host masi-CM6340: Connection refused
2 logical volume(s) in volume group "ubuntu-vg" now active
% created also /dev/mapper/myvolume which can be mounted
>
> sudo mount /dev/sda5/home /media/test
mount: special device /dev/sda5/home does not exist (a path prefix is not a directory) 
> 
> % JayEye's 2nd proposal
> sudo mount /dev/mapper/myvolume /media/test
mount: unknown filesystem type 'LVM2_member'  
%
% chroot to the mounted device, add masi back to sudoers and work done

sudo parted -l /dev/mapper/myvolume[JayEye]的输出

Model: ATA WDC WD64000AAKS-7 (scsi)
Disk /dev/sda: 640 GB
Sector size (logical/physical): 512B/512B
Partition table: msdos
Disk Flags: 

Number Start End Size Type File system Flags
1 1049kB 512MB primary ext2 boot
2 513MB 640GB extended
5 513MB 640GB logical

Model: Kingston HyperX Fury 3.0 (scsi)
Disk /dev/sdb: 31.5GB
Sector size (logical/physical): 512B/512B
Partition table: msdos
Disk Flags

Number Start End Size Type File system Flags
1 27.3MB 30.4GB 30.4GB primary ext4 boot
2 30.4GB 31.5GB 1049MB primary linux-swap(v1)

Model: Linux device-mapper (linear) (dm)
Disk /dev/mapper/ubuntu--vg-swap_1: 34.3GB
Sector size (logical/physical): 512B/512B
Partition table: loop
Disk Flags: 

Number Start End Size Type File system Flags
1 0.00B 34.3GB 34.3GB linux-swap(v1)

Model: Linux device-mapper (linear) (dm)
Disk /dev/mapper/ubuntu--vg-root: 605GB
Sector size (logical/physical): 512B/512B
Partition table: loop
Disk Flags: 

Number Start End Size Type File system Flags
1 0.00B 605GB 605GB ex4

Error: /dev/mappper/myvolume: unrecognized disk label
Model: Linux device-mapper (crypt) (dm)
Disk /dev/mapper/myvolume: 640GB
Sector size (logical/physical): 512B/512B
Partition Table: unknown
Disk Flags:

我运行sudo mount /dev/mapper/myvolume--vg-root /mnt[JayEye] 并得到

mount: special device /dev/mapper/myvolume--vg-root does not exist

我运行sudo mount /dev/mapper/ubuntu--vg-root /mnt[DavidFoester] 并得到以下输出,这可能仍然表明安装成功

sudo:无法解析主机 masi-CM6340:连接被拒绝

这是我在上面的脚本中收到三次的警告。我通过以下方式成功访问了加密设备的第一步:vi /mnt/home/masi/README.txt

THIS DIRECTORY HAS BEEN UNMOUNTED TO PROTECT YOUR DATA. 

From the graphical desktop, click on: 
 "Access Your Private Data"

From the command line, run: 
 ecryptfs-mount-private

在哪里访问您的私人数据文件位于 中/mnt/home/masi/Access-Your-Private-Data.desktop,但单击它不会产生任何 GUI 输出(图标启动但自动关闭)。我也可以ecryptfs-mount-private在终端中找到,但没有它的手册页/帮助页。我在文件夹中运行它,然后得到

ERROR: Encrypted private directory is not setup properly

怎样才能运行ecryptfs-mount-private成功?

启动系统 - DavidFoerster 的建议 (3) 无需 Live System

我的系统没有启用 root 权限。我启动到 Grub > 高级选项 > 恢复模式。我运行sudo adduser masi sudo但收到错误代码 1

Adding user 'masi' to group 'sudo' ...
Adding user masi to group sudo
gpasswd: cannot lock /etc/group; try again later
adduser: '/usr/bin/gpasswd -a masi sudo' returned error code 1. Exiting. 

重新启动,重新登录系统,我做到了sudo echo "masi",我得到了masi 不在 sudoers 文件中。...

我认为这里的问题是没有 mount 和 chroot。

Ubuntu 16.04 Live 系统尝试

我无法在普通 Live 系统中打开加密。我运行失败

> sudo modprobe dm-crypt
> sudo fdisk -l % find the appropriate disc
...
Device Boot Start End Sectors Size Id Type
/dev/sdf1 ... 449.9G ... Linux 
/dev/sdf2 ... 15.9G ... Extended
/dev/sdf5 ... 15.9G ... Linux swap / Solaris
> sudo cryptsetup luksOpen /dev/sdf1 myvolume 
Device /dev/sdf1 is not a valid LUKS device
> sudo cryptsetup luksOpen /dev/sdf2 myvolume  
Device /dev/sdf2 is not a valid LUKS device

我仍然执行以下操作,但请注意,必须先成功完成上述步骤,然后才能继续

sudo fdisk -l % find the correct sector
ubuntu@ubuntu:~$ sudo mount /dev/sdf1 /mnt
ubuntu@ubuntu:~$ sudo chroot /mnt
sudo adduser masi sudo

输出

sudo: unable to resolve host ubuntu: Connection refused
The user `masi' is already a member of `sudo'.

TODO 我认为您需要在执行此操作之前输入加密的密码。 但是,它在任何阶段都没有询问我这个问题。


如何在具有严格安全策略的 16.04 加密硬盘中将自己重新添加至 sudo 组?

答案1

要编辑群组成员身份并将自己重新添加到群组,sudo您必须首先访问加密的卷管理文件系统。后一部分与此类情况下的文件恢复相同。

总结必要步骤的顺序,并将每个步骤链接到更详细的说明:

  1. 从实时 DVD/USB 启动并选择“尝试 Ubuntu”。

  2. 从命令行挂载加密卷?解密 LUKS 容器。

  3. 从 Live CD 挂载加密的 LUKS 分区在 LUKS 容器内公开由 LVM 管理的卷。

    根据 Parted 的输出,/dev/mapper/ubuntu--vg-root你可以使用以下命令挂载 Ubuntu 安装的根分区的卷

    sudo mount /dev/mapper/ubuntu--vg-root <MOUNTPOINT>
    

    或者

    udisks --mount /dev/mapper/ubuntu--vg-root
    
  4. 如何将自己重新添加为 sudo 用户?修复先前安装的卷上的组成员身份。(您无需为此访问主目录,因此无需解密。)

奖金:

答案2

从安装介质启动并选择“尝试 ubuntu”。
使用 cryptsetup 打开/解密,将本地磁盘挂载chroot到其中,然后重新添加自己!

答案3

您正在尝试安装/dev/sda5/home。考虑到您运行的方式cryptsetup,您应该尝试安装/dev/mapper/myvolume

答案4

不可能。由于严格的安全策略,您无法将自己重新添加到磁盘中。这里的答案没有为他们创建测试环境。他们还没有设法测试自己的答案。大量复制了我已经在那里测试过的内容。

相关内容