Я пытаюсь понять, как работает ecryptfs, и документация на ecryptfs.org не помогает. Может быть, кто-то сможет объяснить, как это действительно работает. Конечно, я знаю об этой скрытой структуре каталогов .Private / .ecryptfs. Мои вопросы более подробны:

• Как система узнает, что мой дом зашифрован, и расшифровывает его при входе в систему?
• Как он ищет ключевые каталоги (каталоги с зашифрованными данными, точку монтирования для них (иногда это home, иногда / home / Private), каталог с завернутой парольной фразой и т. Д.). Эти каталоги обычно помещаются в /home/.ecryptfs/ и связаны с домом. Какое место является ключом? Являются ли имена каталогов ".ecryptfs" и ".Private" зарезервированными и жестко заданными или настраиваемыми?
• О связке ключей: предположим, у меня есть несколько ключей в моей связке ключей - как она сопоставляет правильный ключ с определенным зашифрованным каталогом?

Это описывает стандартную зашифрованную домашнюю настройку. Если вы хотите использовать разные пароли или папки, алгоритм шифрования, размер ключа и т. Д., Вы можете использовать их mount.ecryptfsнапрямую.

Когда вы создаете пользователя с зашифрованным домом или используете ecryptfs-migrate-homeсуществующего пользователя, он использует eCryptfs и устанавливает каталог, /home/.ecryptfs/содержащий папки с «настоящим домом» нового пользователя, /home/.ecryptfs/user/содержащий:

• ваши фактические зашифрованные файлы /home/.ecryptfs/user/.Private/и каталог конфигурации eCryptfs, /home/.ecryptfs/user/.ecryptfs/содержащий:

  • автонастройка - если она существует, она указывает ecryptfs-mount-privateзапускаться при входе в систему, монтируя личную (домашнюю) папку. Видетьman ecryptfs-mount-private

  • auto-umount - если он существует, он указывает ecryptfs-umount-privateзапустить при выходе из системы, размонтируя приватную (домашнюю) папку. Видетьman ecryptfs-umount-private

  • Private.mnt - файл конфигурации, считываемый mount.ecryptfs_privateпри входе в систему, который определяет, где должен быть смонтирован зашифрованный каталог. Если вы зашифровали свой домашний каталог, это будет $HOME.
  • Private.sig - содержит подпись ключевой фразы точки монтирования. Он предоставляет безопасный и надежный механизм для eCryptfs, чтобы определить, используете ли вы правильный ключ или нет. (См. Q о Private.sig и Private.mnt )
  • wrapped-passphrase - фактическая (случайная) парольная фраза eCryptfs, зашифрованная («обернутая») вашей парольной фразой логина

Обычный домашний каталог /home/user/содержит только ссылки на /home/.ecryptfs/user/.ecryptfsи /home/.ecryptfs/user/.Privateи еще две ссылки на файл справки & /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop(только что запускается ecryptfs-mount-private).

eCryptfs настраивает PAM (см. файлы в /etc/pam.d/), чтобы автоматически искать зашифрованные домашние папки /home/.ecryptfs/и монтировать и размонтировать зашифрованные домашние папки при входе / выходе из системы, в зависимости от того, существуют ли файлы auto-mountи auto-umount. Для получения дополнительной информации см. Исходный код eCryptfs и сценарии preinst и postrm пакета .deb (см. Выше), а также этот клип из man ecryptfs-setup-private:

[T] модуль pam_ecryptfs.so для стека PAM, который будет автоматически использовать идентификационную фразу входа в систему, чтобы развернуть кодовую фразу монтирования, добавить кодовую фразу в связку ключей пользователя и автоматически выполнить монтирование. Смотрите pam_ecryptfs (8).

• На этой странице справки Ubuntu есть инструкции о том, как « автоматически монтировать зашифрованную файловую систему ecryptfs при загрузке ... используя /root/.ecryptfsrcфайл, содержащий параметры монтирования, вместе с файлом парольной фразы, хранящимся на USB-ключе ».

После распаковки ключи хранятся в вашем кольце ключей пользователя, вы можете посмотреть на него keyctl show, так как, если он использовал корневой набор ключей ( sudo keyctl show), администратор мог бы узнать ключевую фразу. Вы можете использовать, ecryptfs-unwrap-passphraseчтобы увидеть фактическую парольную фразу ecryptfs. eCryptfs расшифровывает ваши файлы, используя соответствующую подпись ключа (параметры ecryptfs ecryptfs_sig=(fekek_sig)и ecryptfs_fnek_sig) в файле Private.sig.

Больше информации

Ubuntu имеет хорошие справочные файлы, такие как зашифрованные файлы в вашем доме и eCryptfs в руководстве по Ubuntu Server .

В Arch Linux есть отличная справка, смотрите https://wiki.archlinux.org/index.php/System_Encryption_with_eCryptfs.

И посмотрите manстраницы ecryptfs(онлайн там или в вашей системе) и все его инструменты, особенно ecryptfs-setup-private.

Вы можете добавить нового пользователя с зашифрованным домом, используя adduser --encrypt-home(Для получения дополнительной информации обратитесь к опции -b of ecryptfs-setup-private) и посмотрите, как файлы настроены для вас. И чтобы действительно погрузиться во все детали, которые вы, вероятно, никогда не хотели знать, посмотрите исходный код :

• ecryptfs-setup-private из зеркала Дастина Кирлканда в github

• Исходный код Ubuntuecryptfs-utils (в утопическом выпуске)

• Из eCryptfs в Launchpad :

  • Код пользовательского пространства ecryptfs-utils хранится в Launchpad / Bazaar и может быть получен с помощью:
    https://code.launchpad.net/~ecryptfs/ecryptfs/trunk

  • Код ядра ecryptfs хранится в Git / Kernel.org, и его можно получить по адресу :
    https://git.kernel.org/?p=linux/kernel/git/tyhicks/ecryptfs.git;a=summary.