我們正在學習/試驗 eCryptfs (Ubuntu Server 10.04)。我們正在嘗試使用我們可以執行的 bash 腳本以編程方式在我們的伺服器上設定用戶,包括加密他們的“/home”。
我們試圖避免登入新帳戶來產生 ecryptfs 密碼。一旦我們這樣做了,我們就可以透過 bash 從另一個帳戶恢復密碼,但希望避免「手動」登入步驟。
我們應該提到,這是一個面向互聯網的伺服器,我們正在盡最大努力“鎖定它”,我們正在努力防止用戶“隨意”更改密碼,因此將要求他們提出密碼更改請求,並且加密的目的是讓用戶遠離彼此的帳戶(還有其他可能更好的方法來解決這一需求- 包括只是「隱藏」他們的/home,儘管加密還強制登錄,除了ssh)。
那麼,有沒有一種方法可以編寫登錄腳本(我們在谷歌上看到了帖子,這是不可能的)來代替手動登錄,以便創建密碼短語,並且我們可以使用 ecryptfs-unwrap-passphrase 捕獲並記錄它。
答案1
我不能肯定加密家庭設定腳本的當前實作是否允許您執行您正在嘗試的操作。其他人將不得不幫助你。
但是,我確實想指出,您對 eCryptfs 的使用有點誤導。 eCryptfs 並不是真正旨在提供某種形式的增強存取控制,並且依賴它來實現這一點存在一些問題。
如果惡意使用者試圖存取另一個使用者的數據,並且安裝了該使用者的加密主目錄(意味著加密金鑰位於核心金鑰環中),那麼eCryptfs 實際上不會提供常規DAC 權限以外的任何內容。如果攻擊者可以繞過 DAC,則他可能具有某種類型的核心漏洞,並且如果此時加密金鑰已載入到核心金鑰環中,則 eCryptfs 不會提供保護。
請注意,對於在攻擊時未安裝其主目錄的用戶,有一些有用的保護,但您必須確定您的用戶是否更有可能或不太可能在任何時候安裝其主目錄。
另請注意,如果您計劃備份加密數據,您將受益於按用戶加密的備份。管理員將無法輕鬆存取數據,並且您將因磁帶驅動器放錯地方而失眠。
我並不是要阻止您使用 eCryptfs,但我確實希望您了解使用檔案加密時會增加複雜性並略微降低效能,從而得到什麼回報。