Eu tenho um usuário, digamosusuário secreto, com um diretório inicial criptografado. Infelizmente esqueci a senha do usuáriousuário secreto, porque era muito secreto. Então eu entrei com outro usuário administrador, digamosusuário mestree alterei a senha parausuário secretovia UI gráfica para, digamos, 'newpass'. Ao tentar fazer login comousuário secreto, não houve nenhuma "senha errada" ou algo assim quando eu uso 'newpass', mas sou enviado de volta para a tela de logon gráfico imediatamente após algum flash da tela. Então eu entrei novamente comousuário mestree fiz em uma janela shell:
masteruser$ su secretuser
Digitei 'newpass' no prompt e consegui fazer logon em um shell. Mas ainda assim o login gráfico não foi possível. O mesmo efeito de antes. Então concluí que a caixa de diálogo gráfica não faz seu trabalho completamente e dei uma chance ao prompt de comando:
masteruser$ sudo passwd secretuser
Claro, tive que mudar para outra coisa, digamos 'newpass1'. Infelizmente, o login gráfico mostra o mesmo problema de antes, mas agora, quando eu sufizusuário secreto, vi apenas um sistema de arquivos criptografado.
masteruser@zhadum:~$ su secretuser
Passwort: newpass1
Signature not found in user keyring
Perhaps try the interactive 'ecryptfs-mount-private'
secretuser@zhadum:/home/masteruser$ cd /home/secretuser
secretuser@zhadum:~$ ls
Access-Your-Private-Data.desktop README.txt
secretuser@zhadum:~$
Talvez eu tenha levado a segurança um pouco longe demais, porque agora estou completamente preso. Aparentemente a senha foi alterada, mas não funciona para o login gráfico e também não para a descriptografia do diretório do usuário. Tentar ecryptfs-mount-privateconforme sugerido também não funcionou, porque nem 'newpass' nem 'newpass1' foram aceitos. Descartar e recriar o usuário me faria perder 3 semanas de trabalho porque o backup mais recente, que vergonha, não é muito atual.
Tenho chance de obter acesso novamente?
Atualizar: Graças ao link fornecido por @mxdsp tentei:
masteruser@zhadum:~$ sudo ecryptfs-recover-private
[sudo] password for masteruser: ----
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]:
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: newpass1
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
masteruser@zhadum:~$ cd /var/log
masteruser@zhadum:/var/log$ tail syslog
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Incorrect wrapping key for file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap passphrase from file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]; rc = [-5]
Oct 9 06:05:21 zhadum wpa_supplicant[1625]: nl80211: send_and_recv->nl_recvmsgs failed: -33
e também:
masteruser@zhadum:/var/log$ sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] n
INFO: To recover this directory, you MUST have your original MOUNT passphrase.
INFO: When you first setup your encrypted private directory, you were told to record
INFO: your MOUNT passphrase.
INFO: It should be 32 characters long, consisting of [0-9] and [a-f].
Enter your MOUNT passphrase: byebye secretuser...
Acho que terminei agora. Agora fico de luto pela minha estupidez e depois faço outra pergunta sobre como realmente remover os 32 GB deusuário secretodo meu disco rígido - para ter certeza de não deixar ainda mais bagunça...
Responder1
O que você precisa é da senha usada ao criar o usuário criptografado.Essa senha não é sua senha ! Depois de encontrá-lo, supondo que você o guardou, execute:
ecryptfs-unwrap-passphrase
ver maisaqui
Responder2
Você também precisa
a última senha de login (aquela antes de você forçar uma nova senha de login com
sudo)ou
a senha de montagem original criada quando a criptografia foi configurada.
O wrapped-passphrasearquivo contém a senha de montagem da sua página inicial criptografada e é criptografada com sua senha de login. Ao forçar uma nova senha com sudo, sem ter a antiga ou estar logado, seu wrapped-passphrasearquivo não foi descriptografado e criptografado novamente com a nova senha de login. Isso foi projetado para fornecer segurança real que qualquer sudousuário armado não pode ignorar.
Quando você configura sua página inicial criptografada com a ferramenta eCryptFS, ecryptfs-migrate-homeela solicita que você faça uma cópia de backup da senha de montagem real, caso surja um problema como esse (você esqueceu sua senha de login ou o wrapped-passphrasearquivo foi perdido ou danificado.
Ter apenas a senha de login de quando você criou o usuário provavelmente não será útil, a menos que você também tenha uma cópia do wrapped-passphrasearquivo ao mesmo tempo, usando a mesma senha de login.
Responder3
Auto-resposta apenas para compartilhar minhas idéias sobre este incidente:
Com um diretório inicial criptografado, não esqueça sua senhaesua senha. Você ficará perdido mesmo quando tiver outros usuários administradores nessa máquina.
Esta respostaa uma pergunta semelhante pode fornecer informações úteis para outras pessoas. Também explica por que posso excluirusuário seguroe não criptografará um diretório inicial novamente.
Juntamente com a experiência deesta jóiaEu realmente acho que criptografar a partição inicial (e apenas a partição inicial) tem a melhor relação segurança-risco. Pelo menos todas as outras opções provaram ser mais arriscadas do que divertidas...