查阅互联网文档和 UNIX 手册页ecryptfs,我发现登录和挂载密码、包装和包装密码的随机使用有点令人困惑。
例如,来自man ecryptfs-unwrap-passphrase:
ecryptfs-unwrap-passphrase is a utility to unwrap an eCryptfs mount
passphrase from file, using a specified wrapping passphrase, and
display the decrypted result on standard out.
从终端运行命令时,系统会提示用户输入“密码”,我发现这应该是登录密码,以便恢复挂载密码。所以我猜想登录和包装密码应该引用相同的密码,以及挂载和包装密码。
我的问题是:如果可能的话,我如何更改登录和挂载密码?
ecryptfs-setup-private不带任何选项运行(就像我做的那样)应该创建一个新的私人加密文件夹,密码如下:
- 登录密码必须与 Ubuntu 用户登录密码匹配,这样当用户登录 Ubuntu 时,默认情况下会自动挂载私人文件夹
- 挂载密码是随机创建的,除非用户输入自定义密码
我决定使用保持加密的文件夹登录 Ubuntu,因此我删除了文件~/.ecryptfs/auto-mount。现在我想知道是否可以更改 ecryptfs 登录密码并将其设置为与我的 Ubuntu 用户登录密码不同。
是ecryptfs-rewrap-passphrase我需要的嗎?
我还想知道我是否可以更改 ecryptfs 挂载密码,因为我选择了自定义密码,而随机的 16 字节密码应该更安全。我找不到任何帮助。
再次运行时是否ecryptfs-setup-private有选项-f和-w解决方案?
答案1
我认为没有办法更改挂载密码,除非删除并重新开始。ecryptfs-setup-private
-f, --force
Force overwriting of an existing setup
可能会有效,但它应该将 ~/.Private 文件夹中的所有当前加密文件保留在旧的挂载密码中。
我建议解密/安装 ~/Private fodler,备份所有文件,例如使用 tar 和 gpg 来保持它们加密
tar -z -cv datadir | gpg -v -z 0 --output data.tar.gz.gpg -c
然后重新开始ecryptfs-setup-private使用您选择的(或随机的)安装和包装密码。
包装密码应与您的用户登录密码相同,这样您就可以同时登录和解密文件。正常更改登录密码(在您登录时是可以的)通常也会更改包装密码(我相信是通过 PAM)。
但是,如果 root 更改了您的登录密码,则不应更改包装密码 - 这是设计使然,以防止任何 root 用户或任何其他人在没有正确密码的情况下读取您的加密文件。在这种情况下,新的登录密码将与包装密码不匹配,并且您必须ecryptfs-rewrap-passphrase按照您提到的方式运行,这需要您的旧登录密码。或者,ecryptfs-wrap-passphrase如果您知道挂载密码,请运行。
因此,如果您忘记了登录密码,并且没有挂载密码的备份,您的加密文件将被永远锁定。