从 Ubuntu 转移过来,担心能够访问我的(加密)数据

tag-icon tag-icon linux ubuntu encryption decryption
从 Ubuntu 转移过来,担心能够访问我的(加密)数据

使用了 Ubuntu 一段时间后,我决定重新使用 Fedora。幸运的是,我刚刚升级到 11.04,因此它发出的关于加密某些内容的警告还历历在目,但现在我担心安装 Fedora 后我将无法访问我的数据。

我尝试使用 Fedora 15 的 Live CD,果然,我无法访问 Ubuntu 安装的主目录。我记下了为我生成的加密密钥,但我只是很快记下来了,所以我很想知道,

  1. 有什么方法可以再次查看我的加密密钥以检查我是否正确地记下了它?

  2. 如果我有加密密钥,我是否能够从 Fedora 解密,或者它是否与我的 Ubuntu 安装相关?

  3. 有没有办法在安装 Fedora 之前解密我的主文件夹,这样就不存在问题了?

  4. Ubuntu 的加密过程除了加密我的主文件夹外,还会加密其他东西吗?(我可能会忘记备份的任何东西?!)

  5. (之前有人经历过这个过程吗?进展如何?)


无论如何,我当然会备份我的主文件夹,你可能会认为这个问题有点毫无意义,但我想知道以供将来参考,并确保我不会遇到任何令人不快的意外。

感谢您的帮助。

答案1

假设您所指的加密是 Ubuntu 在安装时指定的“自动加密主文件夹”选项,而不是 LUKS 之类的全分区加密:

  1. 如果您在终端中运行命令“ecryptfs-unwrap-passphrase”并在提示时输入密码,它将显示解开的加密密钥。这应该与首次登录时自动显示的密钥相同,供您记下。

  2. 理论上(从安全角度来看),密钥就是执行解密所需的全部内容,但据我所知,用于自动解密主目录的脚本和挂载助手仅在 Ubuntu 中使用。这样做的结果是,您可能需要使用不同的用户/主目录安装 Fedora,然后使用手动 ecryptfs mount 命令来访问加密的 Ubuntu 目录(而不是重复使用相同的主目录并期望它正常工作)。

  3. 可能没有简单的方法可以“就地”解密主目录,但如果您有足够的硬盘空间,您可以将解密的内容(即在您登录时)备份到 /var/tmp 中的 tar 存档中(例如),然后在启动并运行后将此存档提取到新的 Fedora 主目录中。

  4. 我不这么认为,加密仅适用于登录时使用 EcryptFS 挂载的主目录。

  5. 我自己没有这样做过(主目录加密对我来说是一个“杀手级功能”,这也是不切换到其他发行版的主要原因),但如果我需要这样做,我可能会采用第 3 项中提到的“使用 tar 备份”方法,而不是尝试从新发行版手动使用 ecryptfs 挂载命令。

答案2

Ubuntu 只会加密您的主目录,不会加密其他目录。主目录保持加密状态,直到您访问您的帐户,然后它会透明地映射到您的主目录上(并即时加密/解密)。最简单的方法是登录并将主目录内容复制到其他目录,这将自动解密内容。

工作原理

Encfs 会在 /home/.encfs/testuser 中为您在 /home/testuser 中创建的每个文件/文件夹创建一个加密文件/文件夹。当加密文件夹“挂载”时,文件会即时解密并可在挂载点 (/home/testuser) 访问。

pam_encfs 配置完成后,每次用户尝试登录时,它都会尝试使用您的帐户密码执行“encfs /home/.enc/$USERNAME /home/$USERNAME”。对于您尚未设置加密的用户,此操作将失败,一切与正常情况相同。对于您设置的用户,空的 /home/$USERNAME 文件夹将突然提供对其解密文件和文件夹的访问权限!太棒了!

pam.d/common-auth 设置意味着 pam_encfs.so 将在登录完成之前尝试运行。 use_first_pass 行意味着此模块将尝试使用输入的第一个密码,而不会提示输入新密码,即使 pam_encfs.so 失败也是如此。这是必要的,这样没有加密文件夹的用户就不会被提示两次输入密码。

来源:https://wiki.ubuntu.com/EncryptedHomeFolder

答案3

我没有经历过你这种情况,但我想提供一些我认为有助于减轻你担忧的一般信息。

虽然 Linux 有很多发行版,但大多数都使用完全相同的底层技术。可能的某个发行版可能会附带其他发行版所没有的一些特殊支持,但这种情况很少见,通常只发生在非常特殊的 Linux 发行版中,而这些发行版的价格非常昂贵。这是因为,通常只有价格昂贵的第三方商业软件才会与 Linux 捆绑在一起。其他一切都是免费的,因此每个发行版都提供相同的核心功能。

这就是为什么诸如“我的 XYZ 调制解调器能在 Fedora 中工作吗?”或“我的 ABC 显卡能在 Ubuntu 中工作吗?”或“我可以在 CentOS 中使用我的 FOO 无线网卡吗?”之类的问题通常不是有用的问题,除了“它们能在Linux“?”

硬件驱动程序在不同的 Linux 发行版中大体上是相同的,因为它们都是内核的一部分,并且所有 Linux 发行版都使用相同的内核。

(现在,在有人对我发火之前,我意识到不同的发行版附带不同的内核版本,有时它们之间的硬件支持也不同。我还知道有些发行版选择附带测试版、不稳定版或用户空间驱动程序,而这些驱动程序并不总是符合我的描述。但在大多数情况下,这种情况很少发生——尤其是对于任何人实际使用的硬件而言。)

文件系统(包括加密文件系统)属于同一类别。每个发行版都附带相同的选项。(10 年前情况并非总是如此,当时加密文件系统支持才刚刚出现,且是非官方的,但如今这已无关紧要。)

所以我想说的是...如果你在任何 Linux 发行版中加密了你的文件系统,你就应该能够在任何其他(当前)发行版中读取它,而不会出现任何问题。

编辑:

询问“XYZ 是否能在 Fedora/Ubuntu/CentOS 中运行”就像询问“XYZ 是否能在我 Dell/HP/Toshiba 上的 Windows 7 中运行”。核心操作系统在所有情况下都是相同的。

答案4

这可能会对将来的其他人有所帮助。

安装 ubuntu 后如何禁用主文件夹加密:

http://www.howtogeek.com/116179/how-to-disable-home-folder-encryption-after-installing-ubuntu/

相关内容