Changer la phrase secrète d'un répertoire ecryptfs

9

Je veux avoir un répertoire crypté (pas homedir!) Disons / testdata.

J'ai utilisé la commande et les paramètres suivants pour le chiffrer:

root@pc:~# mount -t ecryptfs /testdata/ /testdata/
Passphrase: 
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32
 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24
 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32
 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32
 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16
Selection [aes]: 
Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 
Enable plaintext passthrough (y/n) [n]: 
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [b9fc92f854a4c85b]: 
Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=b9fc92f854a4c85b
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=b9fc92f854a4c85b
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key 
before. This could mean that you have typed your 
passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes
Would you like to append sig [b9fc92f854a4c85b] to
[/root/.ecryptfs/sig-cache.txt] 
in order to avoid this warning in the future (yes/no)? : yes
Successfully appended new sig to user sig cache file
Mounted eCryptfs

Cette commande crée ce fichier:

root@pc:~# cat .ecryptfs/sig-cache.txt 
b9fc92f854a4c85b

Maintenant, je veux changer la phrase secrète que j'ai utilisée auparavant. J'ai trouvé la ecryptfs-rewrap-passphrasecommande mais je ne sais pas si je suis sur le bon chemin:

root@pc:~# ecryptfs-rewrap-passphrase .ecryptfs/sig-cache.txt 
Old wrapping passphrase: 
New wrapping passphrase: 
New wrapping passphrase (again): 
Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

/var/log/syslog dit:

Jul 13 13:16:19 pc ecryptfs-rewrap-passphrase: ecryptfs_unwrap_passphrase: PK11_CipherOp() error; SECFailure = [-1]; PORT_GetError() = [-8188]

J'ai un statut de débutant en ce qui concerne ecryptfs et j'apprécierais quelques éclaircissements ici.

Theodotos Andreou
la source

Réponses:

10

Je vois que vous essayez de pousser le mot de passe dans un fichier qui a une autre signification.

ecryptfs-rewrap-passphrase /home/.ecryptfs/$USER/.ecryptfs/wrapped-passphrase 

ou très certainement… mais il vaut mieux rechercher manuellement le wrapped-passphrasedans votre .ecryptfsrépertoire caché:

ecryptfs-rewrap-passphrase /home/$USER/.ecryptfs/wrapped-passphrase

Je pense que c'est la bonne commande pour changer le mot de passe, où $USERest votre utilisateur

PS: Mieux vaut ne pas être connecté et avec votre dossier déchiffré.

Léon
la source
1
Merci pour la réponse Leon. Je n'ai pas / ne veux pas de compte d'utilisateur crypté. Je veux juste un répertoire chiffré que je monterai manuellement lorsque j'aurai besoin des données. Je pense que ce ecryptfs-rewrap-passphrasen'est pas le bon outil pour ce travail. Il n'y a pas de home/.ecryptfsrépertoire non plus car je n'ai pas d'utilisateur avec un répertoire crypté. Existe-t-il un moyen de modifier la phrase secrète sur mon répertoire chiffré manuellement?
Theodotos Andreou
2

Il n'y a aucun moyen de modifier la phrase secrète à la volée car ecryptfs crypte chaque fichier avec cette phrase secrète individuellement et tous les fichiers doivent être réécrits avec la nouvelle phrase secrète.

Donc, tout ce que vous pouvez faire est de créer un nouveau répertoire, de le monter avec la nouvelle phrase secrète et de copier tous les fichiers là-bas.

L'exception à cela est lorsque vous avez utilisé Ubuntu pour créer une installation / home / on cryptée. Lorsque Ubuntu est configuré de cette façon, il n'utilise pas directement votre phrase secrète pour le chiffrement de fichiers, mais génère à la place une phrase secrète aléatoire qui est enregistrée dans ~/.ecryptfs/wrapped-passphrase. Ce fichier est ensuite chiffré avec votre phrase secrète personnelle. Votre phrase personnelle peut donc changer, déposer la phrase secrète de chiffrement des fichiers reste la même. Il peut être possible de recréer ce comportement lors du montage manuel, mais ce n'est pas le cas par défaut et votre phrase secrète personnelle est utilisée directement pour le chiffrement des fichiers.

Grumbel
la source
0

Les étapes réelles sont sur Ubuntu 12.04 LTS:

Démarrer à partir du CD / USB d'Ubuntu Monter la partition avec Nautilus (méthode simple)

sudo ecryptfs-rewrap-passphrase /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Vous devez restaurer la propriété

sudo chown 1000:root /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Redémarrer

Zoltan Horvath
la source