我有一个目录 .cipher,它是外部存储的安装点。现在我想在启动时将此目录挂载到普通目录。正在运行的服务必须在无需用户登录的情况下访问数据。我执行了以下步骤:
ecryptfs-add-passphrase --fnek
Passphrase: <pass>
Inserted auth tok with sig [<key1>] into the user session keyring
Inserted auth tok with sig [<key2>] into the user session keyring
/etc/fstab 看起来像:
/cipher /plain ecryptfs noauto,user,rw,ecryptfs_cipher=aes,ecryptfs_fnek_sig=<key2>,ecryptfs_sig=<key1>,ecryptfs_key_bytes=24 0 0
如果我在 /etc/init.d/myService 中或通过控制台执行
mount -i /plain
我在系统日志中收到以下几行:
Oct 25 22:10:16 host kernel: [82852.145162] Could not find key with description: [<key1>]
Oct 25 22:10:16 host kernel: [82852.148914] process_request_key_err: No key
Oct 25 22:10:16 host kernel: [82852.148917] Could not find valid key in user session keyring for sig specified in mount option: [<key1>]
Oct 25 22:10:16 host kernel: [82852.156442] One or more global auth toks could not properly register; rc = [-2]
Oct 25 22:10:16 host kernel: [82852.156446] Error parsing options; rc = [-2]
如何在启动时挂载 ecryptfs?
答案1
:),不需要身份验证的磁盘加密有什么意义?
你可以做的(我之前已经设置过......),是使用安全卡,例如 yubikey4 和 luks (它支持最多 5 个安全密钥插槽,因此一个可以有一个安全密钥,另一个可以有一个密码) 。
密码用于解锁共享密钥,而共享密钥又用于加密/解密数据......
我还没有在 ecryptfs 上设置这个(只有 luks),但我想我记得看过一篇文章。
如果我误解了你的问题,我深表歉意......