问题标签 [ecryptfs]

通过 ssh 密钥登录且无需额外的用户交互时，有什么方法可以自动挂载 ecryptfs 挂载？

例如，是否有任何 ssh 扩展告诉客户端使用其私钥解密一些远程内容，例如 ecryptfs passwd？

我正在使用 eCryptfs 通过以下方式挂载和加密特定目录：

我见过使用 fstab 在引导时使用 ecryptfs 自动挂载的示例。

我想知道是否有可能/明智地将其作为一个新贵脚本来执行，以便可以根据需要执行它并用于测试目的？

理想情况下，它将在其他依赖于被加密目录的 Upstart 脚本之前运行。

背景：我编写了一个密码生成器，其工作原理如下：

• 生成 130 个随机位
• 将随机位解释为 26 个元素GF(32)
• 使用元素作为系数来构造 25 次多项式
• 评估所有 32 个可能输入的多项式
• 使用修改后的 base32 编码对结果进行编码

这为我提供了强密码（130 位熵），在不影响安全性的情况下，可以容忍输入密码时的一些拼写错误。

到目前为止，我已经将算法的纠错部分与ssh-add命令集成在一起，这是完美的。现在我希望我的登录密码也能顺利使用。

问题：是否可以编写一个pam模块，在其他模块看到之前更改用户输入的密码？特别是我想确保ecryptfs看到更正的密码，以便在我的算法更正用户输入的密码中的错字后可以挂载主目录？

我正在使用 ecryptfs 将我的 Ubuntu 盒子的全部内容备份到外部硬盘驱动器机箱中。我已按照本指南进行操作，并根据需要正确备份和加密内容。

在我必须实际使用加密备份之前，这一切都很好，这让我感到疑惑。如果我丢失了整个主硬盘驱动器，我应该可以随时访问哪些文件/信息来解密我的备份？除了用于设置初始加密的选项之外，我只需要以下两件事吗：？

• 密码
• 签名键

我需要在 Raspberry 上存储敏感数据，以便在 Raspberry 上运行的软件可以使用它，但其他人不能。我可以设置硬密码，禁用 tty 等，但很容易移除 SD 卡并在 PC 上检查。

我的第一次尝试是 eCryptFS。看起来不错，但是有问题。如何存储密码并使用它来挂载加密的 fs？eCryptFS 可以从文件中读取密码或将其作为挂载参数。显然，我不能使用文件，因为它存储不安全。我还可以编写一个程序，它将硬编码（和混淆）密码短语作为 cli 参数或从标准输入提供给 mount.ecryptfs。但在这种情况下，也可以运行该程序并在进程列表中查看带有密码的整个命令行。

现在我正在考虑在 ecryptfs 本身中对我的密码进行硬编码（或者甚至从受保护的 eeprom 中读取它），因此它只能在我的设备上使用。或者我可以使用其他加密系统，但它们都必须在某个地方采用密钥形式。因此，正如我所见，这样做的唯一方法是 eeprom 或硬编码。

有没有更好的方法将敏感数据安全地存储在 Raspberry 的 SD 卡上？

I've been trying to set up encrypted folder following the instructions in https://wiki.archlinux.org/index.php/ECryptfs#Without_ecryptfs-utils. In that case a mount passphrase is manually created and wrapped using a chosen password ("Arch" in that example). This is working as expected.

There is yet another possibility how to manually set up things. Namely using simple mount e.g.: mount -t ecryptfs ~/.Private/ ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=n,ecryptfs_enable_filename_crypto=y

In this case I'm prompted for a [password] and after that folder is mounted.

My question is: where is the mount passphrase hidden in the second example? And how is my entered [password] related to it and to the FEKEK in this case.

Could anybody please explain?

Thank you in advance.

我一直在尝试通过和ecryptfs手动挂载/卸载私人商店。当我以配置的用户身份登录时（即：用户名是bob），它会询问我的 Linux 用户帐户的登录密码，以便挂载私人商店。如果我在通过命令行实用程序登录系统时更改了密码，则需要我的新密码才能挂载私有存储。ecryptfs-mount-privateecryptfs-umount-privateecryptfspasswdecryptfs

如果我以root用户身份（即：sysadmin）登录并通过更改bob帐户的密码sudo passwd bob，然后登录到 Bob 的帐户，ecryptfs-mount-private当我使用我在登录时设置的新密码时将失败root。

我的理解是ecryptfs使用用户密码的哈希来生成另一个哈希/密钥，用于“包装”私人存储中的加密文件。但如果是这样的话，为什么当我以实际用户身份登录时更改密码时它“正常工作”，但当我以 root 身份重置密码时却不行？

到目前为止，我最好的猜测是，可能某些设置被传递给passwd实用程序，导致它在完成后运行辅助脚本。有谁知道这是如何工作的ecryptfs？

谢谢！

我已经设置了一个带有加密主目录的 Ubuntu Server 14.04。ssh 公钥位于主目录之外，因此当主目录卸载时，我可以在重新启动后登录。

我ecryptfs-mount-private用来挂载目录，但在我注销后，目录似乎又被卸载了。我怎样才能保持它安装？

我注意到，当我在重新启动后通过 VNC 登录一次并随后注销时，主目录保持挂载状态！

我正在尝试在 C 中的程序中使用 ecryptfs 安装 fs。但我没有设法将密钥提供给内核部分

在 /var/log/messages 中：

我在 opt 字符串中尝试了这个：

但它不起作用

和 ：

这里的日志：

感谢帮助

有没有人使用自定义加密算法来加密数据ecryptfs？

自定义是指除标准内核加密 API 之外的Algorithm任何其他加密？ library/algorithmecryptfs