Ubuntu、Gnome、PAM 和 ecryptfs

Ubuntu、Gnome、PAM 和 ecryptfs

我想要一个只有几个用户可以访问,但维护类型无法读取的目录...我可以使用 ecryptfs 和只有“几个用户”知道的密码来做我想做的事情,然后他们可以挂载该目录并根据他们的需要使用。

我希望能够自动执行该过程并在登录时解锁目录 - 再次说明,仅适用于有问题的“情侣用户”,没有询问密码。

Gnome-keyring 能够存储加密的密码短语/密码;而且,显然,如果我可以获得 ecryptfs 的密钥身份,Gnome PAM 模块将允许解锁具有该身份的密钥,然后就可以挂载目录。

唉,我找不到从 A 点(Gnome PAM 密钥环模块)到 B 点(使用 ecryptfs 中的解锁密钥)的方法。

同一机制的另一种用途是建立“密钥托管”机制,其中加密卷的密钥由人力资源等部门安全保管;这样,如果您经过所谓的公共汽车,加密目录中的公司信息就可以被恢复。

答案1

另一个解决方案是 gpg 加密。您可以使用 gpg 和人们的公共 gpg 密钥对目录进行加密,然后通过 UbuntuOne 将目录发布给每个参与者。

Nautilus 有一个方便的工具,就是 seahorse-plugins(只需在文件对话框中单击鼠标右键即可)。

现在 seahorse-plugins (11.10) 这个软件包有问题,但是有一个 PPA ppa:mdeslaur/testing 有一个可以运行的软件包。

使用 gpg 加密的目录可以作为密钥托管,可以将此目录存储在公共场所、存储在第三方存款中、在公共网络上分发,并且只有加密目录的人才能读取。

答案2

在可通过 ssh 访问的服务器上创建一个新用户(安装了 openssh-server)和加密的主目录。然后,您可以添加所有人的 ssh 密钥,让每个用户使用“公共”已知密码从其客户端使用命令 ssh-copy。完成后,更改密码。所有复制了公共 ssh 密钥的用户仍可以使用他们的 ssh 密钥密码登录,而无需知道您为该帐户设置的密码。如果您想退出其中一名用户,只需从 ~/.ssh/authorized_keys 中删除公钥即可。

您还可以手动将用户公钥添加到 ~/.ssh/autorized_keys

答案3

有关您问题的关键托管方面,请参阅KeyEscrow.net,专为 eCryptfs 密钥托管而设计。

相关内容