Мы изучаем/экспериментируем с eCryptfs (Ubuntu Server 10.04). Мы пытаемся программно настроить пользователей на нашем сервере с помощью скрипта bash, который мы можем сделать, включая шифрование их "/home".
Мы пытаемся избежать необходимости входа в новую учетную запись для генерации фразы-пароля ecryptfs. Как только мы это сделаем, мы сможем восстановить фразу-пароль через bash из другой учетной записи, но надеемся избежать шага «ручного» входа.
Мы должны упомянуть, что это сервер с выходом в Интернет, и что мы делаем все возможное, чтобы «заблокировать его», что мы пытаемся помешать пользователям менять свои пароли «по желанию» и поэтому потребуем от них отправлять запросы на смену пароля, и что смысл шифрования заключается в том, чтобы пользователи не имели доступа к учетным записям друг друга (есть и другие, возможно, лучшие способы решения этой проблемы, включая простое «скрытие» их /home, хотя шифрование также требует входа в систему в дополнение к ssh).
Итак, есть ли способ написать скрипт входа в систему (мы видели сообщения в Google, что это невозможно), который заменит ручной вход, чтобы была создана парольная фраза, которую мы могли бы перехватить и записать с помощью ecryptfs-unwrap-passphrase.
решение1
Я не могу сказать наверняка, позволит ли текущая реализация скриптов настройки зашифрованного дома вам сделать то, что вы пытаетесь. Кто-то другой должен будет вам в этом помочь.
Однако я хочу отметить, что ваше использование eCryptfs несколько ошибочно. eCryptfs на самом деле не предназначен для предоставления какой-либо формы расширенного контроля доступа, и полагаться на него для этого имеет некоторые проблемы.
Если злоумышленник пытается получить доступ к данным другого пользователя, а зашифрованный домашний каталог этого пользователя смонтирован (подразумевая, что ключ шифрования находится в связке ключей ядра), то eCryptfs на самом деле не предоставляет ничего, кроме обычных разрешений DAC. Если злоумышленник может обойти DAC, у него, вероятно, есть какой-то тип эксплойта ядра, и eCryptfs не обеспечивает никакой защиты, если ключи шифрования уже загружены в связку ключей ядра в этот момент.
Обратите внимание, что существует некоторая полезная защита для пользователей, у которых на момент атаки не был смонтирован домашний каталог, но вам придется определить, насколько вероятно, что у ваших пользователей в любой момент времени будет смонтирован домашний каталог.
Также обратите внимание, что если вы планируете делать резервные копии зашифрованных данных, вы получите выгоду от того, что резервные копии будут зашифрованы на основе каждого пользователя. Администраторам будет сложнее получить доступ к данным, а вы будете меньше терять сон из-за потерянных ленточных накопителей.
Я не хочу отговаривать вас от использования eCryptfs, но я хочу, чтобы вы понимали, что вы получаете взамен на дополнительную сложность и небольшое снижение производительности при использовании шифрования файлов.