사용자가 있습니다.비밀유저, 암호화된 홈 디렉터리 포함. 불행히도 사용자의 비밀번호를 잊어버렸습니다.비밀유저, 왜냐하면 그것은 매우 비밀스러웠기 때문입니다. 그래서 다른 관리자로 로그인했습니다.마스터 사용자, 비밀번호를 변경했습니다.비밀유저그래픽 UI를 통해 'newpass'로 변환합니다. 다음으로 로그인을 시도할 때비밀유저, 'newpass'를 사용할 때 "잘못된 비밀번호"가 없었지만 화면이 깜박인 후 즉시 그래픽 로그온 화면으로 다시 보내졌습니다. 그래서 나는 다음과 같이 다시 로그온했습니다.마스터 사용자쉘 창에서 다음을 수행했습니다.
masteruser$ su secretuser
프롬프트에서 'newpass'를 입력하고 쉘에 로그온할 수 있었습니다. 하지만 여전히 그래픽 로그인은 불가능했습니다. 이전과 동일한 효과. 그래서 그래픽 대화 상자가 해당 작업을 완전히 수행하지 못한다고 결론을 내리고 명령 프롬프트에 기회를 주었습니다.
masteruser$ sudo passwd secretuser
물론 'newpass1' 같은 다른 것으로 바꿔야 했습니다. 불행하게도 그래픽 로그인에는 이전과 동일한 문제가 표시되지만 지금 su은비밀유저, 암호화된 파일 시스템만 봤습니다.
masteruser@zhadum:~$ su secretuser
Passwort: newpass1
Signature not found in user keyring
Perhaps try the interactive 'ecryptfs-mount-private'
secretuser@zhadum:/home/masteruser$ cd /home/secretuser
secretuser@zhadum:~$ ls
Access-Your-Private-Data.desktop README.txt
secretuser@zhadum:~$
아마도 보안을 너무 멀리 한 것 같습니다. 이제 완전히 막혔기 때문입니다. 비밀번호가 변경된 것처럼 보이지만 그래픽 로그인 및 사용자 디렉토리의 암호 해독에는 작동하지 않습니다. 제안된 대로 시도해 ecryptfs-mount-private도 작동하지 않았습니다. 'newpass'나 'newpass1'이 모두 허용되지 않았기 때문입니다. 사용자를 삭제하고 다시 생성하면 가장 최근 백업이 최신 버전이 아니기 때문에 3주간의 작업 시간을 잃게 됩니다.
다시 액세스할 기회가 있나요?
업데이트: @mxdsp가 제공한 링크 덕분에 다음을 시도했습니다.
masteruser@zhadum:~$ sudo ecryptfs-recover-private
[sudo] password for masteruser: ----
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]:
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: newpass1
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
masteruser@zhadum:~$ cd /var/log
masteruser@zhadum:/var/log$ tail syslog
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Incorrect wrapping key for file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap passphrase from file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]; rc = [-5]
Oct 9 06:05:21 zhadum wpa_supplicant[1625]: nl80211: send_and_recv->nl_recvmsgs failed: -33
그리고 또한:
masteruser@zhadum:/var/log$ sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] n
INFO: To recover this directory, you MUST have your original MOUNT passphrase.
INFO: When you first setup your encrypted private directory, you were told to record
INFO: your MOUNT passphrase.
INFO: It should be 32 characters long, consisting of [0-9] and [a-f].
Enter your MOUNT passphrase: byebye secretuser...
이제 끝난 것 같아요. 나는 이제 내 어리석은 짓에 대해 슬퍼하고 32GB의 메모리를 실제로 제거하는 방법에 대해 또 다른 질문을 합니다.비밀유저내 하드디스크에서 - 더 많은 혼란을 남기지 않도록...
답변1
필요한 것은 암호화된 사용자를 생성할 때 사용한 암호입니다.해당 암호는 귀하의 암호가 아닙니다 ! 일단 찾았으면 보관했다고 가정하고 다음을 실행하세요.
ecryptfs-unwrap-passphrase
더보기여기
답변2
당신은 둘 중 하나가 필요합니다
마지막 로그인 암호( 를 사용하여 새 로그인 암호를 강제 적용하기 직전의 암호
sudo)또는
암호화가 설정될 때 생성된 원래 마운트 암호입니다.
파일 wrapped-passphrase에는 암호화된 집에 대한 마운트 암호가 포함되어 있으며 로그인 암호로 암호화됩니다. 이전 암호가 없거나 로그인하지 않은 상태에서 sudo를 사용하여 새 암호를 강제 적용하면 wrapped-passphrase파일이 해독되지 않고 새 로그인 암호로 다시 암호화됩니다. 이는 sudo무장한 사용자가 우회할 수 없는 실제 보안을 제공하기 위해 설계된 것입니다 .
eCryptFS 도구를 사용하여 암호화된 집을 설정하면 ecryptfs-migrate-home이와 같은 문제가 발생할 경우를 대비해 실제 마운트 암호의 백업 복사본을 만들라는 메시지가 표시됩니다(로그인 암호를 잊어버렸거나 파일 wrapped-passphrase이 손실되거나 손상되었습니다.
wrapped-passphrase사용자를 처음 생성했을 때의 로그인 암호만 가지고 있으면 동일한 로그인 암호를 사용하여 동시에 파일 의 복사본도 가지고 있지 않는 한 유용하지 않을 것입니다 .
답변3
이 사건에 대한 통찰력을 공유하기 위한 자가 답변:
암호화된 홈 디렉터리를 사용하면 비밀번호를 잊어버리지 마세요그리고당신의 암호. 해당 컴퓨터에 다른 관리자가 있는 경우에도 손실됩니다.
이 답변비슷한 질문에 대한 답변은 다른 사람들에게 유용한 배경 정보를 제공할 수 있습니다. 삭제할 수 있는 이유도 설명되어 있습니다.보안 사용자홈 디렉토리를 다시 암호화하지 않습니다.
선배님들의 경험과 함께이 보석저는 홈 파티션(그리고 홈 파티션만)을 암호화하는 것이 보안 대비 위험 비율이 가장 좋다고 생각합니다. 적어도 다른 모든 옵션은 재미보다는 위험이 더 큰 것으로 입증되었습니다...