我有一个用 加密的分区sda5_crypt,我需要在启动时输入密码才能解锁该分区。我有密码,可以正常登录。但我需要将恢复密码保存在安全的地方。我认为它是密钥派生函数后的密码,用于紧急情况。我在哪里可以找到它?
这个:ecryptfs-unwrap-passphrase不起作用。显然这仅适用于主目录加密。
答案1
如果在安装时您选择加密完整分区,则很可能您使用的是 LUKS 加密而不是 ECRYPTFS。
据我所知,LUKS 没有密码包装,这就是为什么
ecryptfs-unwrap-passphrase .ecryptfs/wrapped-passphrase
从您的主目录运行时不起作用。
在 Ubuntu 设置中,ECRYPTFS 仅加密一个文件夹。您可以选择该文件夹是您的主文件夹还是主文件夹内的私人文件夹。
为了确保您没有使用 ECRYPTFS,请在您的主目录中查找一个名为 .ecryptfs(可能是符号链接)的隐藏文件夹。如果没有这样的文件夹,则表示您没有使用 ECRYPTFS,并且包装的密码不存在。
答案2
如果你正在使用 LUKS,听起来你想获取主密钥,使用命令cryptsetup和
luksDump <device>转储 LUKS 设备的头信息。
如果使用 --dump-master-key 选项,则会转储 LUKS 设备主密钥而不是密钥槽信息。请注意,主密钥无法更改,可用于解密存储在 LUKS 容器中的数据,而无需密码,甚至无需 LUKS 标头。这意味着如果主密钥被泄露,则必须擦除整个设备以防止进一步访问。请谨慎使用此选项。
为了转储主密钥,必须以交互方式或通过以下方式提供密码
--key-file