ユーザーがいるとしますシークレットユーザー、ホームディレクトリは暗号化されています。残念ながら、ユーザーのパスワードを忘れてしまいましたシークレットユーザー非常に秘密だったので、別の管理者ユーザーとしてログインしました。マスターユーザー、パスワードを変更しましたシークレットユーザーグラフィカルUIを介して、たとえば「newpass」にログインします。シークレットユーザー'newpass' を使用したときに「パスワードが間違っています」というメッセージは表示されませんでしたが、画面が少し点滅した後すぐにグラフィカルログオン画面に戻されました。そこで、マスターユーザーシェルウィンドウで次の操作を実行しました:
masteruser$ su secretuser
プロンプトで「newpass」と入力し、シェルにログオンできました。しかし、グラフィカル ログインはまだできませんでした。以前と同じ結果です。そこで、グラフィカル ダイアログでは完全に機能しないと判断し、コマンド プロンプトを試してみました。
masteruser$ sudo passwd secretuser
もちろん、私は「newpass1」など他のものに変更する必要がありました。残念ながら、グラフィカルログインでは以前と同じ問題が表示されますが、今、私が「」suに変更すると、シークレットユーザー、暗号化されたファイルシステムしか見ませんでした。
masteruser@zhadum:~$ su secretuser
Passwort: newpass1
Signature not found in user keyring
Perhaps try the interactive 'ecryptfs-mount-private'
secretuser@zhadum:/home/masteruser$ cd /home/secretuser
secretuser@zhadum:~$ ls
Access-Your-Private-Data.desktop README.txt
secretuser@zhadum:~$
おそらくセキュリティを少し過剰に考えすぎたのでしょう。今では完全に行き詰まっています。パスワードは変更されたようですが、グラフィカル ログインでは機能せず、ユーザーのディレクトリの復号化でも機能しません。ecryptfs-mount-private提案されたとおりに試しても機能しませんでした。「newpass」も「newpass1」も受け入れられなかったためです。ユーザーを削除して再作成すると、最新のバックアップがあまり最新ではないため、3 週間分の作業が無駄になります。
再度アクセスするチャンスはありますか?
アップデート: @mxdsp が提供したリンクのおかげで、私は次のことを試しました:
masteruser@zhadum:~$ sudo ecryptfs-recover-private
[sudo] password for masteruser: ----
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]:
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: newpass1
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
masteruser@zhadum:~$ cd /var/log
masteruser@zhadum:/var/log$ tail syslog
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Incorrect wrapping key for file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap passphrase from file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]; rc = [-5]
Oct 9 06:05:21 zhadum wpa_supplicant[1625]: nl80211: send_and_recv->nl_recvmsgs failed: -33
そしてまた:
masteruser@zhadum:/var/log$ sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] n
INFO: To recover this directory, you MUST have your original MOUNT passphrase.
INFO: When you first setup your encrypted private directory, you were told to record
INFO: your MOUNT passphrase.
INFO: It should be 32 characters long, consisting of [0-9] and [a-f].
Enter your MOUNT passphrase: byebye secretuser...
もう終わりだと思う。自分の愚かさを嘆き、32GBのメモリを本当に削除するにはどうしたらいいのかという別の疑問を抱く。シークレットユーザーハードディスクから - これ以上混乱を残さないようにするため...
答え1
必要なのは、暗号化されたユーザーを作成するときに使用したパスフレーズです。そのパスフレーズはパスワードではありません ! 見つけたら、保存しておいたと仮定して、次を実行します:
ecryptfs-unwrap-passphrase
続きを見るここ
答え2
どちらかが必要です
最後のログインパスフレーズ( で新しいログインパスフレーズを強制する直前のもの
sudo)または
暗号化が設定されたときに作成された元のマウント パスフレーズ。
wrapped-passphraseファイルには暗号化されたホームのマウント パスフレーズが保存されており、ログイン パスフレーズで暗号化されています。古いパスフレーズを持たず、ログインしていない状態で sudo を使用して新しいパスフレーズを強制すると、ファイルは復号化されず、新しいログイン パスフレーズで再暗号化されません。これは、セキュリティを装備したユーザーが回避できないwrapped-passphrase真のセキュリティを提供するための設計です。sudo
eCryptFS ツールを使用して暗号化されたホームを設定すると、このような問題 (ログイン パスフレーズを忘れた場合やファイルが失われたり破損したりしたecryptfs-migrate-home場合) が発生した場合に備えて、実際のマウント パスフレーズのバックアップ コピーを作成するように求められます。wrapped-passphrase
wrapped-passphraseユーザーを最初に作成したときのログイン パスフレーズだけを持っていても、同じログイン パスフレーズを使用して同じ時点のファイルのコピーも持っていない限り、おそらく役に立ちません。
答え3
この事件から得た私の洞察を共有するための自己回答:
暗号化されたホームディレクトリでは、パスワードを忘れないようにしてくださいそしてパスフレーズを忘れた場合、そのマシンに他の管理者ユーザーがいても、パスワードが失われます。
この答え同様の質問への回答は、他の人に役立つ背景情報を提供するかもしれません。また、削除できる理由も説明します。セキュアユーザーホームディレクトリを再度暗号化することはありません。
の経験とともにこの宝石ホーム パーティション (ホーム パーティションのみ) を暗号化するのが、セキュリティとリスクの比率が最も優れていると私は本当に思います。少なくとも、他のすべてのオプションは、楽しさよりもリスクの方が大きいことが証明されています...