O que você precisa é a frase secreta usada quando criou o usuário criptografado. Essa senha não é sua senha ! Depois de encontrá-lo, supondo que você o tenha mantido, execute:
ecryptfs-unwrap-passphrase
veja mais aqui
Eu tenho um usuário, digamos secretuser , com um diretório pessoal criptografado. Infelizmente eu esqueci a senha do usuário secretuser , porque era muito secreto. Então eu fiz logon com outro usuário admin, diga masteruser , e mudei a senha para secretuser via interface gráfica para, digamos, 'newpass'. Ao tentar fazer o login como secretuser , não havia "senha errada" ou quando eu uso 'newpass', mas sou enviado de volta para a tela de logon gráfico imediatamente após um flash da tela. Então eu entrei novamente como masteruser e fiz em uma janela do shell:
masteruser$ su secretuser
Eu digitei 'newpass' no prompt e consegui fazer logon em um shell. Mas o login gráfico ainda não foi possível. O mesmo efeito de antes. Então eu concluí que o diálogo gráfico não faz seu trabalho completamente e deu ao prompt de comando uma chance:
masteruser$ sudo passwd secretuser
Claro, tive que mudar para outra coisa, por exemplo, "newpass1". Infelizmente, o login gráfico mostra o mesmo problema de antes, mas agora, quando eu su
to secretuser , só vi um sistema de arquivos criptografados.
masteruser@zhadum:~$ su secretuser
Passwort: newpass1
Signature not found in user keyring
Perhaps try the interactive 'ecryptfs-mount-private'
secretuser@zhadum:/home/masteruser$ cd /home/secretuser
secretuser@zhadum:~$ ls
Access-Your-Private-Data.desktop README.txt
secretuser@zhadum:~$
Talvez eu tenha levado a segurança um pouco longe demais, porque agora estou completamente preso. Aparentemente, a senha é alterada, mas não funciona para o login gráfico e também não para a descriptografia do diretório do usuário. Tentar ecryptfs-mount-private
como sugerido também não funcionou, porque nem 'newpass' nem 'newpass1' foram aceitos. Deixar cair e recriar o usuário me perderia 3 semanas de trabalho porque o backup mais recente, que vergonha para mim, não é muito atual.
Tenho a chance de acessar novamente?
Atualização : Graças ao link dado por @mxdsp eu tentei:
masteruser@zhadum:~$ sudo ecryptfs-recover-private
[sudo] password for masteruser: ----
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]:
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: newpass1
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
masteruser@zhadum:~$ cd /var/log
masteruser@zhadum:/var/log$ tail syslog
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Incorrect wrapping key for file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]
Oct 9 06:05:19 zhadum ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap passphrase from file [/home/.ecryptfs/secretuser/.Private/../.ecryptfs/wrapped-passphrase]; rc = [-5]
Oct 9 06:05:21 zhadum wpa_supplicant[1625]: nl80211: send_and_recv->nl_recvmsgs failed: -33
e também:
masteruser@zhadum:/var/log$ sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/home/.ecryptfs/secretuser/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] n
INFO: To recover this directory, you MUST have your original MOUNT passphrase.
INFO: When you first setup your encrypted private directory, you were told to record
INFO: your MOUNT passphrase.
INFO: It should be 32 characters long, consisting of [0-9] and [a-f].
Enter your MOUNT passphrase: byebye secretuser...
Acho que já terminei. Eu agora vou lamentar minha idiotice e depois faço outra pergunta sobre como remover verdadeiramente os 32 GB de secretuser do meu disco rígido - para ter certeza de não deixar mais bagunça ...
Você precisa
a última frase secreta de login (aquela antes de você forçar uma nova senha de login com sudo
)
ou
O arquivo wrapped-passphrase
contém a senha de montagem da sua casa criptografada e é criptografado com sua senha de login. Ao forçar uma nova senha com o sudo, sem ter o antigo ou estar logado, o arquivo wrapped-passphrase
não foi descriptografado e criptografado novamente com a nova senha de login. Isso é por design para fornecer segurança real que qualquer usuário sudo
-armed não pode ignorar.
Quando você configura sua casa criptografada com a ferramenta eCryptFS ecryptfs-migrate-home
, ele solicita que você faça uma cópia de segurança da senha de montagem real, caso um problema como esse apareça (você esqueceu sua senha de login ou o wrapped-passphrase
arquivo foi perdido ou danificado.
Ter apenas a senha de login de quando você criou o usuário provavelmente não será útil, a menos que você também tenha uma cópia do arquivo wrapped-passphrase
ao mesmo tempo, usando a mesma senha de login.
Auto-resposta apenas para compartilhar minhas ideias deste incidente:
Com um diretório pessoal criptografado, não esqueça sua senha e sua frase secreta. Você será perdido mesmo quando tiver outros usuários administradores nessa máquina.
Esta resposta a uma pergunta semelhante pode fornecer informações de fundo úteis para outras pessoas. Isso também explica porque eu posso deletar secureuser e não criptografarei um diretório home novamente.
Juntamente com a experiência de esta joia eu realmente pense que criptografar a partição home (e somente a partição home) tem a melhor relação segurança-risco. Pelo menos todas as outras opções provaram ser mais arriscadas do que divertidas ...