问题标签 [ecryptfs]

不要问为什么，但我做到了

在我的主目录中。它删除了软链接 /home/user/.private 而不是 /home/.ecryptfs/user。

我做了

但我明白了

我?????????? ? ? ? ? ? 。私人的

如何重新创建原始链接？

Scenario: using git to push to a remote repo. Local and remote are regular git repos, not encrypted. Putting a possible ecryptfs filesystem within a folder within the repo to be pushed.

If: a git pre-hook would assure unmounting the folder(umount ~/encrypted_folder/), and echo to command line something like " the folder containing an encrypted ecrypfs file system was closed", then git would push the repo to it's remote location including the folder that contains the encrypted filesystem after having assured the folder was unmounted, so the encryption stands. To "umount" no password is asked for. No technical complications to regular git functionality to be observed.

What would be the undesirable consequences?

One is evident: version controlling an encrypted file or folder would be irrelevant. That is acceptable.

Second: instead of git being frugal, would every push write the whole of the encrypted folder to the remote, and bloat the remote repository?

Third: would git "corrupt" in any way the encrypted folder?

Incentive: copying a folder containing an encrypted ecryptfs filesystem is trivial, tarring also, using rsync or scp is the evident suggestion, excluding that folder from being inside the repo, using ".gitignore" also ...

but for workflow reasons: git being used for backup, disregarding the versioning of the folder that contains encrypted filesystem, not having to recourse to anything else and keep things user trivial. One single git push to multiple remote locations for now takes care of all desired data backup per user. For workflow reasons, per user, it would be nice to keep it that way.

White paper: one single backup blob, mostly versioned, and being able to have some encrypted data within the repo and it's remote clones. Prohibiting the folder concerned from being "open" by the git pre-hook. Everything in one single git operation. Ecryptfs contains within the encrypted part of the data, anything needed to "open and close" the data but the passphrase. This would make for high mobility, needing to clone the remote repo to any git-ecryptfs enabled device, in any remote location and have access to the encrypted data.

我正在使用 ecryptfs 加密目录 /opt/directory。我想使用 systemd 和 init.d 创建服务，提示用户输入加密密码并挂载目录。我尝试在 systemd 服务调用的脚本中使用 ssh-askpass，但是当我的计算机启动时它不会提示输入密码，因此该目录没有挂载。

以下是我挂载目录的脚本：

该脚本在直接调用时工作正常，但在启动时使用 systemd 调用时，它不会提示我输入密码。以下是我的 systemd 文件：

有没有办法配置 eCryptfs 为纯文本文件的相同内容生成相同的加密内容。我知道这可能存在安全风险，但我有一个具体案例。

例子：

谢谢M。

我想通过在 C++ 中执行“ecryptfs-mount-private”终端命令并从同一个 C++ 脚本提供密码短语/密码来解密和挂载默认的 eCryptfs 私有目录。

我曾尝试分叉然后执行 shell (/bin/sh) 并使用 sh 打开 I/O 管道，但是当我尝试通过管道写入时，出现以下错误：

stty：标准输入：设备的 ioctl 不合适

我猜这是因为 ecryptfs-mount-private 只接受来自键盘的密码输入。

我怎样才能实现这种类型的解密和挂载机制？执行此操作的可能方法或任何解决方法都会有所帮助。

PS。在我的场景中，将密码存储在 C++ 代码中的安全问题不是问题。

谢谢！

很快，我们就有了一个 Windows AD 域。我们有很多 18.04 的 Ubuntu 客户端，目前，我们想要加密这些用户的主目录。

我们的问题是当 ecryptfs 询问用户密码时，即使我们输入正确，它也会说密码错误。当我们的用户登录他们的设备时，他们通过 LDAP 进行身份验证。没有任何问题。但是 Ecryptfs-migrate-home 不适用于它。有什么建议吗？

这个项目只会越来越好

所以为了描述这个场景，我有一个从国外Raspberry Pi将密钥传输到我的家庭服务器的设备。Ecryptfs解密需要 2 个 USB 密钥。

如果我想远程解密，我会将 2 个 USB 密钥插入Raspberry Pi. 首先，我让 Pi 通过连接连接到服务器OpenVPN。从那里，主服务器将通过NFS连接挂载 USB 密钥并开始解密过程。第一个 USB 密钥解密第二个 USB 密钥，然后第二个 USB 密钥解密实际数据

问题： 上面的粗体部分是NFS. 密钥都以原始加密形式正常安装。第一个USB key解密第二个key的时候，会解密目录，但是不能读写；

cat/ls: "不可访问": "只读文件系统"

我已经完成的事情/附加信息： 通常这种类型的错误与disk/fs损坏有关。但事实并非如此，因为当我将密钥直接插入主服务器（而不是远程使用NFS）时，我可以很好地解密和读取数据。

远程完成时，/proc/mounts 表示该ecryptfs卷已使用 RW 挂载

我曾经使用过，CIFS直到它一直失败并几乎破坏了我的根 fs，但它实际上在解密过程中运行良好

"ls -la" returns "????"用于解密文件的所有者和组

TL;DR：Ecryptfs通过 NFS 共享挂载目录会生成一个解密的目录，其中的内容是"Not accessible: Read-only file system"

基本上在使用 eCryptfs 进行 /home 目录加密之后，由于我的客户端所需的安全原因，现在当我尝试提取最新的主服务器时，我收到这样的错误：“文件名”文件名太长。该文件现在实际上已丢失，如果我继续提交，它将消失（已删除）。据我了解，原因是加密的文件名限制（143 个字符开始需要> 255 个字符才能加密）。问题是有没有办法解决这个问题？文件名真的很长。

我正在尝试从 C++ 程序中安装 ecryptfs。通过在提示符下发出以下命令，我绝对可以安装它而无需提问：

请注意，实际上，我正在传递一条完整的规范路径，以防万一。

但是在程序中我errno=EINVAL尝试使用mount()具有相同参数的函数后失败了：

该程序确实以root特权启动，并且我检查了我是否有 CAP_SYS_ADMIN。

该mount()函数返回-1并设置errno为EINVAL。

我的论点正确吗？这可能是特权问题吗？

编辑：我通过在外部执行 mount via 让它工作system()，但由于某些原因仍想使用该功能。

I decided to figure out how to recover data on a disk if the system does not start. It's better to do it before it happens;)

Since there is no definitive correct answer for Linux Mint 18.3 KDE anywhere, I had to find a solution myself.

Good topic for other OS like "Ubuntu": https://askubuntu.com/questions/238047/how-do-i-mount-an-encrypted-home-directory-on-another-ubuntu-machine