eCryptfs ने घर - विवरण को एन्क्रिप्ट किया है


9

मैं यह समझने की कोशिश कर रहा हूं कि ecryptfs आंतरिक रूप से कैसे काम करता है और ecryptfs.org पर प्रलेखन मदद नहीं करता है। शायद कोई यह समझाने में सक्षम है कि यह वास्तव में कैसे काम करता है। बेशक मैं इन छिपी के बारे में पता कर रहा हूँ। मेरे प्रश्न अधिक विस्तृत हैं:

  • सिस्टम को कैसे पता चलता है कि जब मैं लॉग इन कर रहा हूं तो मेरा घर एन्क्रिप्टेड है और इसे डिक्रिप्ट किया है?
  • यह प्रमुख निर्देशिकाओं के लिए कैसे खोज करता है (एन्क्रिप्टेड डेटा वाले लोग, इसके लिए माउंटपॉइंट (कभी-कभी यह घर, कभी-कभी / घर / निजी), लिपटे पासफ़्रेज़ आदि के साथ निर्देशिका)। इन निर्देशिकाओं को आम तौर पर /home/.ecryptfs/ में डाल दिया जाता है और घर में जोड़ दिया जाता है। किस स्थान की कुंजी है? क्या ".ecryptfs" और ".Pirt" निर्देशिका नाम आरक्षित और हार्डकोड या कॉन्फ़िगर करने योग्य हैं?
  • कीरिंग के बारे में: मान लीजिए कि मेरी कीरिंग में मेरी कई चाबियाँ हैं - यह कुछ एन्क्रिप्टेड डायरेक्टरी के साथ उचित कुंजी से कैसे मेल खाती है?

जवाबों:


11

यह मानक एन्क्रिप्टेड होम सेटअप का वर्णन करता है। यदि आप विभिन्न पासफ़्रेज़ या फ़ोल्डर, एन्क्रिप्शन एल्गोरिथ्म, कुंजी आकार आदि का उपयोग करना चाहते हैं ... तो आप mount.ecryptfsसीधे उपयोग कर सकते हैं ।

जब आप एक एन्क्रिप्ट किए गए घर के साथ एक उपयोगकर्ता बनाते हैं, या ecryptfs-migrate-homeकिसी मौजूदा उपयोगकर्ता का उपयोग करते हैं, तो यह eCryptfs का उपयोग करता है और /home/.ecryptfs/नए उपयोगकर्ता के "असली घर" के साथ फ़ोल्डर युक्त निर्देशिका सेट करता है /home/.ecryptfs/user/:

  • आपकी वास्तविक एन्क्रिप्टेड फाइलें /home/.ecryptfs/user/.Private/और इसमें मौजूद eCryptfs कॉन्फिग डायरेक्टरी /home/.ecryptfs/user/.ecryptfs/:

    • ऑटो-माउंट - यदि यह मौजूद है, तो यह ecryptfs-mount-privateनिजी (घर) फ़ोल्डर बढ़ते हुए लॉगिन पर चलने के लिए कहता है। देखman ecryptfs-mount-private

    • ऑटो-ऑमाउंट - यदि यह मौजूद है, तो यह ecryptfs-umount-privateलॉगआउट पर चलने के लिए कहता है, निजी (घर) फ़ोल्डर को अनमाउंट करते हुए। देखman ecryptfs-umount-private

    • Private.mnt - mount.ecryptfs_privateलॉगिन पर एक कॉन्फ़िगरेशन फ़ाइल पढ़ी जाती है जो परिभाषित करती है कि आपकी एन्क्रिप्ट की गई निर्देशिका को कहां रखा जाना चाहिए। यदि आपने अपनी होम निर्देशिका को एन्क्रिप्ट किया है, तो यह होगा $HOME
    • Private.sig - में माउंटपॉइंट पासफ़्रेज़ के हस्ताक्षर शामिल हैं। यह निर्धारित करने के लिए कि आप सही कुंजी का उपयोग कर रहे हैं या नहीं , यह निर्धारित करने के लिए एक सुरक्षित, सुरक्षित तंत्र प्रदान करता है । (निजी के बारे में क्यू देखें । एसआईएस और Private.mnt )
    • लिपटे-पासफ़्रेज़ - आपके लॉगिन पासफ़्रेज़ के साथ वास्तविक (यादृच्छिक) eCryptfs पासफ़्रेज़, एन्क्रिप्टेड ("लिपटे")।

पर नियमित रूप से घर निर्देशिका /home/user/केवल लिंक करने के लिए होता है /home/.ecryptfs/user/.ecryptfsऔर /home/.ecryptfs/user/.Privateऔर एक मदद फ़ाइल और करने के लिए दो और अधिक लिंक /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop(बस चलाता है ecryptfs-mount-private)।

eCryptfs ने PAM को सेट किया है (फाइलों को देखें /etc/pam.d/) /home/.ecryptfs/लॉगिन और लॉगआउट पर एन्क्रिप्ट किए गए होम फ़ोल्डर्स को माउंट और umount में एन्क्रिप्ट करने के लिए स्वचालित रूप से देखने के लिए देखें , क्या auto-mountऔर auto-umountफाइलें मौजूद हैं या नहीं, इसके आधार पर । अधिक विवरण के लिए eCryptfs स्रोत कोड और .deb पैकेज की प्रीस्टीन और पोस्टम स्क्रिप्ट (ऊपर लिंक) और इस क्लिप को देखें man ecryptfs-setup-private:

[T] वह PAM_ecryptfs.so मॉड्यूल को PAM स्टैक में देता है जो माउंट पासफ़्रेज़ को खोलने के लिए लॉगिन पासफ़्रेज़ का उपयोग करेगा, उपयोगकर्ता के कर्नेल कीरिंग में पासफ़्रेज़ जोड़ेगा और स्वचालित रूप से माउंट प्रदर्शन करेगा। Pam_ecryptfs (8) देखें।

  • इस उबंटू सहायता पृष्ठ पर निर्देश है कि " बूट पर एक स्वचालित रूप से एन्क्रिप्टेड फ़ाइल सिस्टम को स्वचालित रूप/root/.ecryptfsrc से कैसे माउंट किया जाए ... एक माउंट कुंजी के साथ एक फाइल का उपयोग करते हुए , एक USB कुंजी पर एक पासफ़्रेज़ फ़ाइल के साथ। "

एक बार अलिखित होने के बाद, चाबियाँ आपके उपयोगकर्ता कर्नेल कीरिंग में संग्रहीत हो जाती हैं, आप इसके साथ एक नज़र डाल सकते हैं keyctl show, क्योंकि यदि यह रूट कीरिंग ( sudo keyctl show) का उपयोग करता है तो एक व्यवस्थापक पासफ़्रेज़ का पता लगा सकता है। आप ecryptfs-unwrap-passphraseवास्तविक ecryptfs पासफ़्रेज़ को देखने के लिए उपयोग कर सकते हैं। eCryptfs मिलान कुंजी के हस्ताक्षर (ecryptfs विकल्पों का उपयोग कर अपनी फ़ाइलें decrypts ecryptfs_sig=(fekek_sig)और ecryptfs_fnek_sigफाइल में) Private.sig


और जानकारी

उबंटू में आपके घर में एन्क्रिप्टेड फ़ाइलों और Ubuntu सर्वर गाइड में eCryptfs जैसी अच्छी मदद फाइलें हैं

आर्क लिनक्स में कुछ आम तौर पर उत्कृष्ट सहायता होती है, https://wiki.archlinux.org/index.php/System_Enc एन्क्रिप्शन_with_eCryptfs देखें

और (विशेष रूप से ऑनलाइन या आपके सिस्टम पर) manपेजों को देखें ecryptfsऔर यह सभी उपकरण हैं, विशेष रूप से ecryptfs-setup-private

आप एक एन्क्रिप्टेड होम का उपयोग करके एक नया उपयोगकर्ता जोड़ सकते हैं adduser --encrypt-home(अधिक जानकारी के लिए, -b विकल्प का उल्लेख करें ecryptfs-setup-private) और इस बात पर एक नज़र डालें कि फाइलें अपने लिए कैसे सेट की जाती हैं। और वास्तव में अपने पैरों को उन सभी विवरणों से गीला कर लें जो आप शायद कभी नहीं जानना चाहते थे कि स्रोत कोड देखें :


में / etc / crypttab मेरे पास cryptswap के लिए केवल एक पंक्ति है; fstab में भी कुछ खास नहीं। मेरा घर एन्क्रिप्टेड है। अभी भी पता नहीं है कि सिस्टम को कैसे पता चलता है कि मेरा घर एन्क्रिप्टेड है और लॉगऑन में sth स्पेशल जरूरी है।
ardabro 14

मुझे लगता है कि यह स्वचालित रूप से किया जाता है जब घर को @login पर देखा जाता है। क्या आपने धनुर्विद्या सहायता के माध्यम से पढ़ा, वहाँ कहीं भी कुछ भी मददगार नहीं था? लेकिन कृपया "sth special" को परिभाषित करें, मैं और न ही "प्रोफेसर google" इससे परिचित हैं। "कुछ विशेष" के लिए लघु? जैसे क्या?
एक्सएन २०५० १२'१४

sth विशेष कुंजी को लेने और एन्क्रिप्टेड निर्देशिका को माउंट करने के लिए है जो लॉगिन प्रक्रिया में अतिरिक्त पथ है। आर्च विकी बहुत मददगार था। इसके अलावा मैंने ecryptfs source code में कुछ जाँच की। लेकिन मुझे अभी भी नहीं पता है कि लॉगिन प्रक्रिया में निर्देश "यदि" कहां है और वास्तव में यह क्या जांचता है।
ardabro

यह थोड़ा और लगता है कि कैसे लिनक्स किसी भी घर के फ़ोल्डर को खोजेगा और उसका उपयोग करेगा, मुझे लगता है कि कुछ जानकारी /etc/passwd(घर और शेल में कम से कम) संग्रहीत है , क्या यह एन्क्रिप्टेड होम उपयोगकर्ता के लिए अलग दिखता है? मैं अपने उत्तर के लिए कर्नेल कीरिंग के बारे में थोड़ी जानकारी
जोड़ूंगा

1
क्षमा करें, मैं अपडेट से चूक गया। महान व्याख्या। बहुत धन्यवाद!
अद्रब्रो
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.