使用 eCryptfs 加密主目录
source link: https://blog.lilydjwg.me/2012/1/28/use-ecryptfs-to-encrypt-your-home-directory.31868.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
使用 eCryptfs 加密主目录
本文来自依云's Blog,转载请注明。
本文根据回忆记述在 Arch Linux 上为某一新用户建立使用 eCryptfs 加密的 $HOME 目录并使之在登录时自动解密挂载的过程。大量参考了 Unknown and partly hidden 的 eCryptfs and $HOME 一文。
依赖的软件包:ecryptfs-utils。
# mkdir -p /home/.ecryptfs/user/private# chmod 755 /home/.ecryptfs# chmod -R 700 /home/.ecryptfs/user# chown -R user:user /home/.ecryptfs/user# ln -s /home/.ecryptfs/user/private /home/user/.private# chmod 700 /home/user
注意:最后一步原文使用的是500权限,这里改成了700。
第一次挂载加密目录:
# mount -t ecryptfs /home/user/.private /home/usereCryptfs 会询问一些加密的选项,其中 Cypher(加密方法)和 Key byte 可自行选择:
Key type: passphrasePassphrase: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxCypher: twofishKey byte: 32Plaintext passtrough: yesFilename encryption: yesAdd signature to cache: yes一定要记住密码,虽然可能并不怎么会用到。
在mount命令的输出中找到这次挂载使用的参数,经过一些变更,把类似于以下的设置添加到/etc/fstab中:
/home/user/.private /home/user ecryptfs rw,user,noauto,exec,ecryptfs_sig=XYZ,ecryptfs_cipher=twofish,ecryptfs_key_bytes=32,ecryptfs_passthrough,ecryptfs_fnek_sig=XYZ,ecryptfs_unlink_sigs 0 0
注意:在登录挂载时,noexec、nosuid和nodev将会是默认选项。这里加上exec选项来覆盖掉noexec,这样加密的 $HOME 中才支持执行可执行文件。
挂载时生成了/root/.ecryptfs目录。我们先在里边保存些文件:
# touch /root/.ecryptfs/auto-mount# ecryptfs-wrap-passphrase /root/.ecryptfs/wrapped-passphrasePassphrase to wrap: [输入加密口令]Wrapping passphrase: [输入用户的登录口令]
现在,使用用户的登录口令可以从文件/root/.ecryptfs/wrapped-passphrase中得到 eCryptfs 的加密口令。即使加密口令很强,如果登录口令弱的话,文件信息还是会泄漏的。所以,得选个强的登录口令,不然就不要玩登录时自动挂载加密 $HOME 了。
或者,你也可以玩点有趣的,把这个wrapped-passphrase文件放在 U 盘里,只留下一个指向 U 盘里的此文件的软链接。然后配置好 U 盘自动挂载,就做成了个简单的「U 盾」!
好了,现在卸载 $HOME:
# umount /home/user
先把 eCryptfs 的那个在/root下的目录弄回来:
# mv /root/.ecryptfs /home/.ecryptfs/user# chown -R user:user /home/.ecryptfs/user/.ecryptfs# ln -s /home/.ecryptfs/user/.ecryptfs /home/user/.ecryptfs
接下来,创建一个挂载用的脚本,暂时叫它/home/profile.sh吧。它将被写到用户登录时的自动执行脚本中,如~/.profile,或者~/.zprofile,如果你用 Zsh 的话。
if [ -r "$HOME/.ecryptfs/auto-mount" ]; thengrep -qs "$HOME ecryptfs" /proc/mountsif [ $? -ne 0 ]; thenmv $HOME/.Xauthority /tmp 2>/dev/nullmount -i "$HOME"cd "$HOME"mv /tmp/.Xauthority $HOME 2>/dev/null(systemctl --user daemon-reloadsystemctl --user default) &fifi
注意到这里加入了对~/.Xauthority文件的处理,不然从图形界面登录时,执行挂载命令后,会因授权文件不见了而失败。之前把 $HOME 的权限设置成700也是为了这个。单纯地允许写~/.Xauthority不行,因为 xauth 需要创建临时文件以防止此文件同时被多个进程修改。
现在,我们需要在用户登录时自动 unwrap 之前创建的那个wrapped-passphrase文件。在/etc/pam.d/login中添加几行(注意顺序):
#%PAM-1.0#...auth required pam_unix.so nullokauth required pam_ecryptfs.so unwrap#...password required pam_ecryptfs.so#password required pam_unix.so sha512 shadow use_authtok#...好了,我们先手动试试:
# su user$ ecryptfs-insert-wrapped-passphrase-into-keyring /home/user/.ecryptfs/wrapped-passphrasePassphrase: [输入用户密码]$ mount -i /home/user
如果正确挂载的话,接下来就可以开始建设你的新 $HOME 了,比如把你以前的各种文件复制过去,等等。注意不要在加密的目录内进行 BT 下载哦。你可以建立个/home/.ecryptfs/user/public目录然后软链接到 $HOME 内来使用。
我同时还修改了/etc/pam.d/slim,似乎这样才能在使用 slim 登录时也有效。
呃,还没有结束呢。得把之前的/home/profile.sh文件弄进来。这里演示时只是创建了一个新的.profile文件。如果你已经有了此文件的话,一定不要将其加密,而要将其与此挂载脚本合并。它只能不加密,否则挂载后会出现两个.profile(一个加密了的,一个未加密、passthrough 来的),从而导致一些问题。
# umount /home/user# chmod 600 /home/profile.sh# chown user:user /home/profile.sh# mv /home/profile.sh /home/.ecryptfs/user/private/.profile# ln -s /home/.ecryptfs/user/private/.profile /home/user/.profile好了,到此一切结束。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK