Ceci décrit la configuration de la maison cryptée standard. Si vous souhaitez utiliser différents mots de passe ou dossiers, algorithme de chiffrement, taille de clé, etc., vous pouvez les utiliser mount.ecryptfs
directement.
Lorsque vous créez un utilisateur avec une maison chiffrée, ou utilisez ecryptfs-migrate-home
sur un utilisateur existant, il utilise eCryptfs et configure un répertoire /home/.ecryptfs/
contenant des dossiers avec la "vraie maison" du nouvel utilisateur, /home/.ecryptfs/user/
contenant:
Le répertoire de base normal sur /home/user/
contient uniquement des liens vers
/home/.ecryptfs/user/.ecryptfs
et /home/.ecryptfs/user/.Private
et deux autres liens vers un fichier d'aide & /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop
(s'exécute simplement ecryptfs-mount-private
).
eCryptfs configure PAM (voir les fichiers dans /etc/pam.d/
) pour rechercher automatiquement les dossiers de départ chiffrés dans /home/.ecryptfs/
et monter et démonter les dossiers de départ chiffrés lors de la connexion / déconnexion, selon que les fichiers auto-mount
et auto-umount
existent ou non . Voir le code source eCryptfs et les scripts preinst et postrm du package .deb (liés ci-dessus) pour plus de détails, et ce clip de man ecryptfs-setup-private
:
[L] e module pam_ecryptfs.so de la pile PAM qui utilisera automatiquement la phrase de passe de connexion pour déballer la phrase de passe du montage, ajouter la phrase de passe au trousseau de clés du noyau de l'utilisateur et effectuer automatiquement le montage. Voir pam_ecryptfs (8).
- Cette page d'aide d'Ubuntu contient des instructions sur la façon de " monter automatiquement un système de fichiers crypté ecryptfs au démarrage ... en utilisant un
/root/.ecryptfsrc
fichier contenant des options de montage, ainsi qu'un fichier de phrase secrète résidant sur une clé USB. "
Une fois déballées, les clés sont stockées dans votre trousseau de clés du noyau utilisateur, vous pouvez y jeter un œil keyctl show
, car s'il utilisait le trousseau racine ( sudo keyctl show
), un administrateur pourrait trouver la phrase secrète. Vous pouvez utiliser ecryptfs-unwrap-passphrase
pour voir la phrase secrète ecryptfs réelle. eCryptfs décrypte vos fichiers en utilisant la signature de clé correspondante (options ecryptfs ecryptfs_sig=(fekek_sig)
et ecryptfs_fnek_sig
) dans le fichier Private.sig
.
Plus d'informations
Ubuntu a de bons fichiers d'aide comme les fichiers cryptés dans votre maison et eCryptfs dans le guide du serveur Ubuntu .
Arch Linux a une aide généralement excellente, voir https://wiki.archlinux.org/index.php/System_Encryption_with_eCryptfs
Et consultez les man
pages pour ecryptfs
(en ligne là-bas ou sur votre système) et tous ses outils, en particulier ecryptfs-setup-private
.
Vous pouvez ajouter un nouvel utilisateur avec une maison cryptée à l'aide de adduser --encrypt-home
(Pour plus d'informations, reportez-vous à l'option -b de ecryptfs-setup-private
) et regardez comment les fichiers sont configurés pour vous-même. Et pour vraiment vous mouiller les pieds avec tous les détails que vous n'avez probablement jamais voulu savoir, consultez le code source :
/etc/passwd
(home & shell au moins), cela semble-t-il différent pour un utilisateur domestique crypté? J'ajouterai un peu d'informations sur le trousseau de clés du noyau à ma réponse, ecryptfs y stocke des clés apparemment