ecryptfs dan login frasa sandi vs frasa sandi mount

Saya menginstal ecryptfs-utilsdan menggunakannya untuk membuat Privatefolder terenkripsi di direktori home saya.

Selama pembuatan Privatefolder terenkripsi, saya diminta untuk memasukkan kata sandi masuk dan kata sandi pemasangan. Sejauh yang saya mengerti kata sandi login harus sesuai dengan kata sandi login pengguna Ubuntu saya dan kata sandi mount harus diperlukan untuk mengakses folder terenkripsi.

Yang mengejutkan saya, sebaliknya, setiap kali saya ingin me-mount perintah menjalankan folder Pribadi saya ecryptfs-mount-private, saya diminta untuk memasukkan kata sandi login saya bukan kata sandi mount saya. Apakah begitu yang ecryptfsdiharapkan untuk berperilaku?

Saya berpikir bahwa dua passfrase adalah perlindungan ganda jika seseorang memecahkan kata sandi login saya, untuk melindungi data saya yang paling pribadi.

Jadi, untuk apa passphrase mount berguna dan kapan seseorang (siapa) diminta untuk menggunakannya?

Ini bukan kata-kata saya tapi saya tidak bisa menjelaskannya dengan lebih baik ...

kata sandi masuk

Ini adalah kata sandi yang harus Anda masukkan setiap kali Anda ingin memasang direktori terenkripsi. Jika Anda ingin pemasangan otomatis pada saat masuk berfungsi, kata sandi tersebut harus sama dengan yang Anda gunakan untuk masuk ke akun pengguna Anda.

pasang frasa sandi

Ini digunakan untuk mendapatkan kunci master enkripsi file yang sebenarnya. Dengan demikian, Anda tidak boleh memasukkan yang khusus kecuali Anda tahu apa yang Anda lakukan - sebagai gantinya tekan Enter untuk membuatnya secara otomatis menghasilkan yang acak yang aman. Ini akan dienkripsi menggunakan frasa sandi masuk dan disimpan dalam formulir terenkripsi ini di ~/.ecryptfs/wrapped-passphrase. Nanti akan secara otomatis didekripsi ("tidak dibuka") lagi dalam RAM saat dibutuhkan, sehingga Anda tidak perlu memasukkannya secara manual. Pastikan file ini tidak hilang, jika tidak Anda tidak akan pernah bisa mengakses folder terenkripsi Anda lagi! Anda mungkin ingin menjalankan ecryptfs-unwrap-passphraseuntuk melihat frasa sandi pemasangan dalam bentuk yang tidak dienkripsi, menuliskannya di selembar kertas, dan menyimpannya di brankas (atau serupa), sehingga Anda dapat menggunakannya untuk memulihkan data terenkripsi Anda jikawrapped-passphrase file tidak sengaja hilang / rusak atau jika Anda lupa frasa sandi masuk.

_Sumber

Saya mendapatkan masalah yang sama persis seperti yang Anda alami, saya sangat bingung dengan keseluruhan proses, dan penandaan semua frasa sandi itu. Setelah menggali, saya menemukan situs web yang dirujuk oleh @AB dan itu membantu.

Saya akan menambahkan beberapa hal:

The masuk passphrase juga disebut passphrase pembungkus . Nama belakang ini lebih masuk akal bagi saya karena itu adalah frasa sandi yang membungkus dan membuka bungkusan frasa sandi mount . Disebut kadang-kadang kata sandi login karena secara default, ecryptfs ingin menggunakan kata sandi login pengguna Anda sebagai frasa sandi pembungkus .

IMHO, saya menemukan benar-benar tidak praktis dan berbahaya untuk memiliki kata sandi pembungkus menjadi kata sandi login Anda, karena jika seorang penyusup menemukan kata sandi login Anda, maka tidak ada gunanya memiliki direktori terenkripsi, karena ia dapat mendekripsi dengan kata sandi yang sama.

Melihat apa yang Anda katakan, saya hanya bisa membayangkan bahwa Anda memiliki pendapat yang sama:

Saya berpikir bahwa dua passfrase adalah perlindungan ganda jika seseorang memecahkan kata sandi login saya, untuk melindungi data saya yang paling pribadi.

Semua itu membawa kita ke poin terakhir saya: Ada cara sederhana (namun tidak begitu jelas bagi seseorang yang baru dalam masalah ini) untuk memilih frasa sandi pembungkus yang berbeda dari kata sandi login pengguna Anda. Saat membuat direktori pribadi Anda, gunakan opsi -w, --wrapping(lihat halaman manual untuk info lebih lanjut):

ecryptfs-setup-private -w

Mungkin juga berfungsi pada folder yang sudah ada, tapi saya pikir Anda juga harus menggunakan -funtuk memaksa pembaruan.