Ich habe einen Benutzer, sagen wirgeheimerBenutzer, mit einem verschlüsselten Home-Verzeichnis. Leider habe ich das Passwort für den Benutzer vergessengeheimerBenutzer, weil es sehr geheim war. Also habe ich mich mit einem anderen Admin-Benutzer angemeldet, sagen wirHauptbenutzerund änderte das Passwort fürgeheimerBenutzerüber die grafische Benutzeroberfläche zu, sagen wir, 'newpass'. Beim Versuch, sich anzumelden alsgeheimerBenutzer, es gab kein "falsches Passwort" oder so, wenn ich 'newpass' benutze, aber ich werde sofort nach dem Aufblitzen des Bildschirms zum grafischen Anmeldebildschirm zurückgeschickt. Also habe ich mich erneut angemeldet alsHauptbenutzerund tat in einem Shell-Fenster:
masteruser$ su secretuser
Ich habe in der Eingabeaufforderung 'newpass' eingegeben und konnte mich an einer Shell anmelden. Die grafische Anmeldung war jedoch immer noch nicht möglich. Derselbe Effekt wie vorher. Ich kam also zu dem Schluss, dass der grafische Dialog seine Aufgabe nicht vollständig erfüllt, und gab der Eingabeaufforderung eine Chance:
masteruser$ sudo passwd secretuser
Natürlich musste ich etwas anderes eingeben, beispielsweise „newpass1“. Leider zeigt die grafische Anmeldung das gleiche Problem wie zuvor, aber jetzt, als suichgeheimerBenutzer, ich habe nur ein verschlüsseltes Dateisystem gesehen.
masteruser@zhadum:~$ su secretuser
Passwort: newpass1
Signature not found in user keyring
Perhaps try the interactive 'ecryptfs-mount-private'
secretuser@zhadum:/home/masteruser$ cd /home/secretuser
secretuser@zhadum:~$ ls
Access-Your-Private-Data.desktop README.txt
secretuser@zhadum:~$
Vielleicht habe ich es mit der Sicherheit ein bisschen übertrieben, denn jetzt stecke ich völlig fest. Anscheinend ist das Passwort geändert, aber es funktioniert nicht für die grafische Anmeldung und auch nicht für die Entschlüsselung des Benutzerverzeichnisses. Der Versuch ecryptfs-mount-privatewie vorgeschlagen hat auch nicht funktioniert, da weder „newpass“ noch „newpass1“ akzeptiert wurden. Das Löschen und Neuerstellen des Benutzers würde mich 3 Wochen Arbeit kosten, da das letzte Backup, Schande über mich, nicht allzu aktuell ist.
Habe ich eine Chance, wieder Zugang zu bekommen?
Aktualisieren: Dank des Links von @mxdsp habe ich Folgendes versucht:
masteruser@zhadum:~$ sudo ecryptfs-recover-private
[sudo] password for masteruser: ----
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]:
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: newpass1
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
masteruser@zhadum:~$ cd /var/log
masteruser@zhadum:/var/log$ tail syslog
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Incorrect wrapping key for file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap passphrase from file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]; rc = [-5]
Oct 9 06:05:21 zhadum wpa_supplicant[1625]: nl80211: send_and_recv->nl_recvmsgs failed: -33
und auch:
masteruser@zhadum:/var/log$ sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] n
INFO: To recover this directory, you MUST have your original MOUNT passphrase.
INFO: When you first setup your encrypted private directory, you were told to record
INFO: your MOUNT passphrase.
INFO: It should be 32 characters long, consisting of [0-9] and [a-f].
Enter your MOUNT passphrase: byebye secretuser...
Ich glaube, ich bin jetzt fertig. Ich trauere jetzt über meine Dummheit und stelle dann eine weitere Frage, wie ich die 32 GB wirklich entfernen kanngeheimerBenutzervon meiner Festplatte - um sicherzugehen, dass nicht noch mehr Chaos entsteht ...
Antwort1
Was Sie benötigen, ist die Passphrase, die Sie beim Erstellen des verschlüsselten Benutzers verwendet haben.Diese Passphrase ist nicht Ihr Passwort ! Sobald Sie es gefunden haben (vorausgesetzt, Sie haben es behalten), führen Sie Folgendes aus:
ecryptfs-unwrap-passphrase
Mehr sehenHier
Antwort2
Sie benötigen entweder
die letzte Login-Passphrase (die unmittelbar bevor Sie mit eine neue Login-Passphrase erzwungen haben
sudo)oder
die ursprüngliche Mount-Passphrase, die beim Einrichten der Verschlüsselung erstellt wurde.
Die wrapped-passphraseDatei enthält die Mount-Passphrase für Ihr verschlüsseltes Home und ist mit Ihrer Login-Passphrase verschlüsselt. Durch das Erzwingen einer neuen Passphrase mit sudo, ohne die alte zu haben oder angemeldet zu sein, wrapped-passphrasewurde Ihre Datei nicht entschlüsselt und mit der neuen Login-Passphrase neu verschlüsselt. Dies ist so konzipiert, um echte Sicherheit zu bieten, die kein sudobewaffneter Benutzer umgehen kann.
Wenn Sie Ihr verschlüsseltes Home mit dem Tool eCryptFS einrichten, ecryptfs-migrate-homewerden Sie aufgefordert, eine Sicherungskopie der tatsächlichen Mount-Passphrase zu erstellen, für den Fall, dass ein solches Problem auftritt (Sie vergessen Ihre Login-Passphrase oder die wrapped-passphraseDatei geht verloren oder wird beschädigt).
Es ist wahrscheinlich nicht hilfreich, nur die Anmelde-Passphrase vom ersten Erstellen des Benutzers zu haben, es sei denn, Sie verfügen auch über eine Kopie der wrapped-passphraseDatei aus derselben Zeit mit derselben Anmelde-Passphrase.
Antwort3
Eigene Antwort, nur um meine Erkenntnisse aus diesem Vorfall mitzuteilen:
Mit einem verschlüsselten Home-Verzeichnis vergessen Sie Ihr Passwort nichtUndIhre Passphrase. Sie sind verloren, auch wenn andere Administratoren auf diesem Computer sind.
Diese Antwortzu einer ähnlichen Frage könnte hilfreiche Hintergrundinformationen für andere liefern. Es erklärt auch, warum ich löschen kannsichererBenutzerund wird ein Home-Verzeichnis nicht erneut verschlüsseln.
Zusammen mit der Erfahrung ausdieses JuwelIch bin wirklich der Meinung, dass die Verschlüsselung der Home-Partition (und nur der Home-Partition) das beste Sicherheits-Risiko-Verhältnis bietet. Zumindest haben sich alle anderen Optionen als eher riskant als unterhaltsam erwiesen ...