web-dev-qa-db-fra.com

Répertoire privé monté sans mot de passe?

Après avoir configuré un répertoire privé dans ~/Private, j'ai remarqué que ecryptfs-mount-private est capable de monter le répertoire sans fournir de phrase secrète.

Existe-t-il un moyen de désactiver ce comportement, de forcer ecryptfs à demander une phrase secrète (et de désactiver entièrement le montage automatique à l'aide d'une clé dans le trousseau)?

ecryptfs
6
user2817

Depuis le EncryptedPrivateDirectory wiki:

Nous pouvons empêcher ecryptfs de déverrouiller le dossier privé au démarrage, en supprimant le fichier vide auto-mount situé dans ~/.ecryptfs/, où vous pouvez également supprimer le fichier auto-umount, si vous souhaitez ecryptsfs. pour arrêter le démontage du dossier privé à l’arrêt et à la déconnexion.

UPDATE: Pour résoudre le problème de montage de ~/Private sans utiliser de mot de passe, suivez les instructions ci-dessous message sur les forums Ubunt :

OK les gens, voici la vraie solution.

Je lisais un article sur ecryptfs (http://ecryptfs.sourceforge.net/ecryptfs-pam-doc.txt) et découvris que PAM était impliqué et commençais donc à chercher dans /etc/pam.d/ et trouvai 2 fichiers qui en avaient besoin. à modifier:

/etc/pam.d/common-auth
/etc/pam.d/common-session

Procédez comme suit en tant qu'utilisateur root, mais faites d'abord une copie de sauvegarde dans un répertoire OUT OF ce répertoire, tel que ~/, sinon la sauvegarde sera éventuellement exécutée sans modification.

Dans /etc/pam.d/common-session cherchez une ligne qui dit:

auth optional pam_ecryptfs.so unwrap
et commentez comme:
#auth optional pam_ecryptfs.so unwrap

Dans /etc/pam.d/common-auth cherchez une ligne qui dit:

session optional pam_ecryptfs.so unwrap
et commentez comme
#session optional pam_ecryptfs.so unwrap

Les deux fichiers doivent être modifiés. Le fichier common-session est la cause du montage et de l'authentification-commune ouvre la phrase secrète.

Si seulement la session commune est commentée (comme je l'ai essayé en premier), il suffit de taper ecrypt-mount-private, qui se montera sans mot de passe composé. Ce n'est pas bien. Par conséquent, common-auth doit être modifié pour empêcher le chargement de la phrase secrète non enveloppée dans le noyau.

La mise en garde à ceci est que CECI AFFECTE TOUS LES UTILISATEURS. Je viens de découvrir ce qui précède en m'enracinant et cela répond à mes besoins. Cependant, cela compliquera la tâche des novices sur un système multi-utilisateurs, car le système Private ne sera pas monté automatiquement. Il y a peut-être un moyen d'empêcher cela au niveau utilisateur (pas au niveau système) mais je ne sais pas comment faire.

J'espère que cela aidera quelqu'un dans le futur.

Bien à vous, Narnie

Vous devrez redémarrer votre ordinateur après avoir modifié ces fichiers.

6
Isaiah

Le moyen absolument trivial, mais efficace, de résoudre la question posée consiste à supprimer simplement ~/.ecryptfs/wrapped-passphrase (ou à le renommer).

Cela empêchera totalement pam_ecryptfs de charger des clés dans le trousseau.

2
Dustin Kirkland