У меня есть пользователь, скажемсекретныйпользователь, с зашифрованным домашним каталогом. К сожалению, я забыл пароль для пользователясекретныйпользователь, потому что это было очень секретно. Поэтому я вошел в систему с другим пользователем-администратором, скажеммастерпользователь, и изменил пароль длясекретныйпользовательчерез графический интерфейс, скажем, «newpass». При попытке войти каксекретныйпользователь, не было "неправильного пароля" или чего-то в этом роде, когда я использовал 'newpass', но я был отправлен обратно на графический экран входа в систему сразу после некоторого мерцания экрана. Поэтому я снова вошел в систему какмастерпользовательи сделал в окне оболочки:
masteruser$ su secretuser
Я ввел «newpass» в командной строке и смог войти в оболочку. Но графический вход все еще невозможен. Тот же эффект, что и раньше. Поэтому я пришел к выводу, что графический диалог не выполняет свою работу полностью, и дал шанс командной строке:
masteruser$ sudo passwd secretuser
Конечно, мне пришлось изменить на что-то другое, скажем, 'newpass1'. К сожалению, графический вход в систему показывает ту же проблему, что и раньше, но теперь, когда я su'dсекретныйпользователь, я видел только зашифрованную файловую систему.
masteruser@zhadum:~$ su secretuser
Passwort: newpass1
Signature not found in user keyring
Perhaps try the interactive 'ecryptfs-mount-private'
secretuser@zhadum:/home/masteruser$ cd /home/secretuser
secretuser@zhadum:~$ ls
Access-Your-Private-Data.desktop README.txt
secretuser@zhadum:~$
Может быть, я зашел слишком далеко в вопросах безопасности, потому что теперь я полностью застрял. Похоже, пароль изменен, но он не работает для графического входа и также не работает для расшифровки каталога пользователя. Попытка сделать так, ecryptfs-mount-privateкак предлагается, тоже не сработала, потому что ни 'newpass', ни 'newpass1' не были приняты. Удаление и повторное создание пользователя потеряет 3 недели работы, потому что последняя резервная копия, стыдно мне, не слишком актуальна.
Есть ли у меня шанс снова получить доступ?
Обновлять: Спасибо за ссылку, которую дал @mxdsp, я попробовал:
masteruser@zhadum:~$ sudo ecryptfs-recover-private
[sudo] password for masteruser: ----
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]:
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: newpass1
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
masteruser@zhadum:~$ cd /var/log
masteruser@zhadum:/var/log$ tail syslog
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Incorrect wrapping key for file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap passphrase from file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]; rc = [-5]
Oct 9 06:05:21 zhadum wpa_supplicant[1625]: nl80211: send_and_recv->nl_recvmsgs failed: -33
а также:
masteruser@zhadum:/var/log$ sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] n
INFO: To recover this directory, you MUST have your original MOUNT passphrase.
INFO: When you first setup your encrypted private directory, you were told to record
INFO: your MOUNT passphrase.
INFO: It should be 32 characters long, consisting of [0-9] and [a-f].
Enter your MOUNT passphrase: byebye secretuser...
Думаю, я закончил. Теперь я буду горевать о своей тупости, а затем задам еще один вопрос, как действительно удалить 32 ГБсекретныйпользовательс моего жесткого диска - чтобы не оставить еще больше беспорядка...
решение1
Вам нужна парольная фраза, которую вы использовали при создании зашифрованного пользователя.Эта кодовая фраза не является вашим паролем. ! Как только вы его нашли (предполагая, что вы его сохранили), запустите:
ecryptfs-unwrap-passphrase
узнать большездесь
решение2
Вам нужно либо
последняя парольная фраза для входа в систему (та, которая была непосредственно перед тем, как вы принудительно ввели новую парольную фразу для входа в систему с помощью
sudo)или
исходная парольная фраза монтирования, созданная при настройке шифрования.
Файл wrapped-passphraseсодержит пароль монтирования для вашего зашифрованного дома и зашифрован с помощью пароля входа. При принудительном вводе нового пароля с помощью sudo, без старого или входа в систему, ваш wrapped-passphraseфайл не был расшифрован и повторно зашифрован с помощью нового пароля входа. Это сделано специально, чтобы обеспечить реальную безопасность, которую sudoне сможет обойти ни один вооруженный пользователь.
При настройке зашифрованного дома с помощью инструмента eCryptFS ecryptfs-migrate-homeон попросит вас сделать резервную копию фактической парольной фразы монтирования на случай возникновения подобной проблемы (вы забудете парольную фразу для входа или файл wrapped-passphraseбудет утерян или поврежден).
Наличие только парольной фразы для входа, которая использовалась при создании пользователя, вероятно, не будет полезным, если у вас также нет копии файла wrapped-passphraseтого же времени, использующей ту же парольную фразу для входа.
решение3
Отвечу сам себе, чтобы поделиться своими мыслями об этом инциденте:
Не забывайте свой пароль при использовании зашифрованного домашнего каталогаиВаш пароль. Вы потеряетесь, даже если на этой машине есть другие пользователи-администраторы.
Этот ответна аналогичный вопрос может предоставить полезную справочную информацию для других. Это также объясняет, почему я могу удалитьзащищенныйпользовательи не будет снова шифровать домашний каталог.
Вместе с опытомэта жемчужинаЯ действительно считаю, что шифрование домашнего раздела (и только домашнего раздела) имеет наилучшее соотношение безопасности и риска. По крайней мере, все остальные варианты оказались скорее рискованными, чем интересными...