Diretório privado montado sem passphrase?

6

Depois de configurar um diretório privado em ~ / Private, notei que o ecryptfs-mount-private é capaz de montar o diretório sem fornecer uma frase secreta.

Existe uma maneira de desabilitar esse comportamento, para forçar o ecryptfs a pedir uma senha (e desabilitar totalmente a automontagem usando uma chave no chaveiro)?

    
por Jorge Castro 28.10.2010 / 22:07

2 respostas

6

Do wiki EncryptedPrivateDirectory :

  

Podemos impedir que o ecryptfs desbloqueie a pasta Particular ao inicializar, removendo o arquivo vazio auto-mount que está localizado em ~/.ecryptfs/ , onde você também pode remover o arquivo auto-umount , se quiser que o ecryptsfs pare de desmontar a pasta privada no desligamento e logout.

UPDATE: Para corrigir o problema de ~/Private ser montável sem usar uma senha, siga as instruções neste Fóruns do Ubuntu post :

  

OK Pessoal, aqui está a verdadeira correção.

     

Eu estava lendo um artigo sobre ecryptfs (http://ecryptfs.sourceforge.net/ecryptfs-pam-doc.txt) e descobri que o PAM está envolvido e, assim, comecei a procurar em /etc/pam.d/ e encontrei 2 arquivos que precisam ser modificados:

     

/etc/pam.d/common-auth e /etc/pam.d/common-session

     

Faça o seguinte como root, mas primeiro faça uma cópia de backup em um diretório FORA DESTE diretório como ~/ ou ele possivelmente executará o backup que não foi modificado.

     

Em /etc/pam.d/common-session , procure uma linha que diz:

     

auth optional pam_ecryptfs.so unwrap
  e comente como: #auth optional pam_ecryptfs.so unwrap

     

Em /etc/pam.d/common-auth , procure uma linha que diz:

     

session optional pam_ecryptfs.so unwrap
  e comente como% #session optional pam_ecryptfs.so unwrap

     

Ambos os arquivos devem ser modificados. O arquivo de sessão comum é o que causa a montagem real e a autenticação comum desembrulha a senha.

     

Se apenas uma sessão comum for comentada (como tentei primeiro), tudo o que você precisa fazer é digitar ecrypt-mount-private e ela será montada sem a senha de login. Isto não é bom. Portanto, o common-auth deve ser modificado para evitar o carregamento da senha não-envolvida no kernel.

     

A ressalva para isso é que isso afeta todos os usuários. Acabei de descobrir o que precede, enraizando-me e satisfaz minhas necessidades. No entanto, isso tornará mais difícil em um sistema multiusuário para iniciantes, já que o Private não será montado automaticamente. Pode haver uma maneira de evitar isso em um nível de usuário (não em nível de sistema), mas não sei como fazer isso.

     

Espero que isso ajude alguém no futuro.

     

  Narnie

Você precisará reiniciar o computador depois de modificar esses arquivos.

    
por Isaiah 28.10.2010 / 23:21
2

A maneira absolutamente trivial, mas eficaz, de resolver a questão, como solicitado, é simplesmente remover ~/.ecryptfs/wrapped-passphrase (ou renomeá-la).

Isso impedirá totalmente que o pam_ecryptfs carregue as chaves no chaveiro.

    
por Dustin Kirkland 07.02.2012 / 16:38

Tags