tengo un usuario, digamosusuario secreto, con un directorio de inicio cifrado. Desafortunadamente olvidé la contraseña del usuario.usuario secreto, porque era muy secreto. Así que inicié sesión con otro usuario administrador, digamosusuario maestroy cambió la contraseña parausuario secretoa través de la interfaz de usuario gráfica a, por ejemplo, "nuevo paso". Al intentar iniciar sesión comousuario secreto, no había ninguna "contraseña incorrecta" cuando uso 'newpass', pero me envían de regreso a la pantalla gráfica de inicio de sesión inmediatamente después de que la pantalla parpadea. Entonces inicié sesión nuevamente comousuario maestroy lo hizo en una ventana de shell:
masteruser$ su secretuser
Ingresé 'newpass' cuando se me solicitó y pude iniciar sesión en un shell. Pero aún así no fue posible iniciar sesión gráficamente. Mismo efecto que antes. Así que llegué a la conclusión de que el cuadro de diálogo gráfico no hace su trabajo completamente y le di una oportunidad al símbolo del sistema:
masteruser$ sudo passwd secretuser
Por supuesto, tuve que cambiar a otra cosa, digamos 'newpass1'. Desafortunadamente, el inicio de sesión gráfico muestra el mismo problema que antes, pero ahora, cuando tenía que suhacerlousuario secreto, solo vi un sistema de archivos cifrado.
masteruser@zhadum:~$ su secretuser
Passwort: newpass1
Signature not found in user keyring
Perhaps try the interactive 'ecryptfs-mount-private'
secretuser@zhadum:/home/masteruser$ cd /home/secretuser
secretuser@zhadum:~$ ls
Access-Your-Private-Data.desktop README.txt
secretuser@zhadum:~$
Tal vez llevé la seguridad demasiado lejos, porque ahora estoy completamente atascado. Aparentemente se cambia la contraseña, pero no funciona para el inicio de sesión gráfico ni para descifrar el directorio del usuario. Intentar ecryptfs-mount-privatelo sugerido tampoco funcionó, porque no se aceptaron ni 'newpass' ni 'newpass1'. Eliminar y recrear al usuario me haría perder 3 semanas de trabajo porque la copia de seguridad más reciente, la culpa es mía, no está demasiado actualizada.
¿Tengo la oportunidad de obtener acceso nuevamente?
Actualizar: Gracias al enlace proporcionado por @mxdsp probé:
masteruser@zhadum:~$ sudo ecryptfs-recover-private
[sudo] password for masteruser: ----
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]:
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: newpass1
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
masteruser@zhadum:~$ cd /var/log
masteruser@zhadum:/var/log$ tail syslog
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Incorrect wrapping key for file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap passphrase from file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]; rc = [-5]
Oct 9 06:05:21 zhadum wpa_supplicant[1625]: nl80211: send_and_recv->nl_recvmsgs failed: -33
y también:
masteruser@zhadum:/var/log$ sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] n
INFO: To recover this directory, you MUST have your original MOUNT passphrase.
INFO: When you first setup your encrypted private directory, you were told to record
INFO: your MOUNT passphrase.
INFO: It should be 32 characters long, consisting of [0-9] and [a-f].
Enter your MOUNT passphrase: byebye secretuser...
Supongo que ya terminé. Ahora me lamento por mi tontería y luego hago otra pregunta sobre cómo eliminar realmente los 32 GB deusuario secretodesde mi disco duro - para asegurarme de no dejar aún más desorden...
Respuesta1
Lo que necesita es la frase de contraseña que utilizó cuando creó el usuario cifrado.Esa frase de contraseña no es tu contraseña ! Una vez que lo haya encontrado, suponiendo que lo haya conservado, ejecute:
ecryptfs-unwrap-passphrase
ver másaquí
Respuesta2
Necesitas cualquiera de los dos
la última frase de contraseña de inicio de sesión (la que estaba justo antes de forzar una nueva frase de contraseña de inicio de sesión con
sudo)o
la frase de contraseña de montaje original creada cuando se configuró el cifrado.
El wrapped-passphrasearchivo contiene la frase de contraseña de montaje para su hogar cifrado y está cifrado con su frase de contraseña de inicio de sesión. Al forzar una nueva frase de contraseña con sudo, sin tener la anterior ni haber iniciado sesión, su wrapped-passphrasearchivo no se descifró ni se volvió a cifrar con la nueva frase de contraseña de inicio de sesión. Esto está diseñado para proporcionar una seguridad real que ningún sudousuario armado pueda evitar.
Cuando configura su hogar cifrado con la herramienta eCryptFS, ecryptfs-migrate-homele pide que haga una copia de seguridad de la frase de contraseña de montaje real, en caso de que surja un problema como este (olvida su frase de contraseña de inicio de sesión o el wrapped-passphrasearchivo se pierde o se daña).
Tener solo la frase de contraseña de inicio de sesión de cuando creó el usuario por primera vez probablemente no sea útil, a menos que también tenga una copia del wrapped-passphrasearchivo del mismo momento, usando la misma frase de contraseña de inicio de sesión.
Respuesta3
Autorespuesta solo para compartir mis ideas sobre este incidente:
Con un directorio de inicio cifrado, no olvide su contraseñaytu frase de contraseña. Estará perdido incluso cuando tenga otros usuarios administradores en esa máquina.
esta respuestaa una pregunta similar podría proporcionar información general útil para otros. También explica por qué puedo eliminarusuario seguroy no volverá a cifrar un directorio de inicio.
Junto con la experiencia deesta joyaRealmente creo que cifrar la partición de inicio (y solo la partición de inicio) tiene la mejor relación seguridad-riesgo. Al menos todas las otras opciones han demostrado ser más riesgosas que divertidas...