Ich habe ein Verzeichnis .cipher, das ein Einhängepunkt für einen externen Speicher ist. Nun möchte ich dieses Verzeichnis beim Booten in ein Verzeichnis einhängen. Ein laufender Dienst muss ohne Benutzeranmeldung auf die Daten zugreifen können. Ich habe die folgenden Schritte ausgeführt:
ecryptfs-add-passphrase --fnek
Passphrase: <pass>
Inserted auth tok with sig [<key1>] into the user session keyring
Inserted auth tok with sig [<key2>] into the user session keyring
/etc/fstab sieht folgendermaßen aus:
/cipher /plain ecryptfs noauto,user,rw,ecryptfs_cipher=aes,ecryptfs_fnek_sig=<key2>,ecryptfs_sig=<key1>,ecryptfs_key_bytes=24 0 0
Wenn ich in meinem /etc/init.d/myService oder über die Konsole ausführe
mount -i /plain
Ich erhalte folgende Zeilen im Syslog:
Oct 25 22:10:16 host kernel: [82852.145162] Could not find key with description: [<key1>]
Oct 25 22:10:16 host kernel: [82852.148914] process_request_key_err: No key
Oct 25 22:10:16 host kernel: [82852.148917] Could not find valid key in user session keyring for sig specified in mount option: [<key1>]
Oct 25 22:10:16 host kernel: [82852.156442] One or more global auth toks could not properly register; rc = [-2]
Oct 25 22:10:16 host kernel: [82852.156446] Error parsing options; rc = [-2]
Wie kann ich ecryptfs beim Booten mounten?
Antwort1
:), was ist der Sinn einer Festplattenverschlüsselung, die keine Authentifizierung erfordert?
was Sie tun könnten (ich habe dies schon einmal eingerichtet ...), ist, eine Sicherheitskarte, z. B. Yubikey4, zusammen mit Luks zu verwenden (es unterstützt bis zu 5 Sicherheitsschlüsselsteckplätze, sodass einer einen Sicherheitsschlüssel und ein anderer ein Kennwort haben kann).
Die Passwörter werden zum Entschlüsseln des gemeinsamen Schlüssels verwendet, der wiederum zum Verschlüsseln/Entschlüsseln von Daten verwendet wird...
Ich habe dies nicht auf ecryptfs eingerichtet (nur luks), aber ich glaube, ich habe einen Artikel gesehen.
Wenn ich Ihre Frage missverstanden habe, entschuldige ich mich …