Estoy tratando de entender cómo funciona ecryptfs internamente y la documentación en ecryptfs.org no ayuda. Tal vez alguien pueda explicar cómo funciona realmente. Por supuesto, soy consciente de estas estructuras de directorio ocultas .Private / .ecryptfs. Mis preguntas son más detalladas:

• ¿Cómo sabe el sistema que mi casa está encriptada y la desencripta cuando inicio sesión?
• ¿Cómo busca directorios clave? Estos directorios generalmente se colocan en /home/.ecryptfs/ y se vinculan a inicio. ¿Qué ubicación es la clave? ¿Están los nombres de directorio ".ecryptfs" y ".Private" reservados y codificados o configurables?
• Acerca del llavero: suponiendo que tengo varias claves en mi llavero, ¿cómo coincide la clave adecuada con cierto directorio cifrado?

Esto describe la configuración de inicio encriptada estándar. Si desea utilizar diferentes frases de contraseña o carpetas, algoritmo de cifrado, tamaño de clave, etc., puede usarlo mount.ecryptfsdirectamente.

Cuando crea un usuario con un hogar encriptado, o lo usa ecryptfs-migrate-homeen un usuario existente, usa eCryptfs y configura un directorio que /home/.ecryptfs/contiene carpetas con el "hogar real" del nuevo usuario, que /home/.ecryptfs/user/contiene:

• sus archivos cifrados reales /home/.ecryptfs/user/.Private/y el directorio de configuración de eCryptfs que /home/.ecryptfs/user/.ecryptfs/contiene:

  • auto-mount : si existe, le indica ecryptfs-mount-privateque se ejecute al iniciar sesión, montando la carpeta privada (inicio). Verman ecryptfs-mount-private

  • auto-umount : si existe, le indica ecryptfs-umount-privateque se ejecute al cerrar sesión, desmontando la carpeta privada (inicio). Verman ecryptfs-umount-private

  • Private.mnt : un archivo de configuración leído mount.ecryptfs_privateal iniciar sesión que define dónde se debe montar el directorio cifrado. Si ha encriptado su directorio de inicio, esto será $HOME.
  • Private.sig : contiene la firma de la frase de contraseña del punto de montaje. Proporciona un mecanismo seguro para que eCryptfs determine si está utilizando la clave correcta o no. (Ver Q sobre Private.sig y Private.mnt )
  • frase de contraseña envuelta: la frase de contraseña de eCryptfs real (aleatoria), cifrada ("envuelta") con su frase de contraseña de inicio de sesión

El directorio principal regular en /home/user/sólo contiene enlaces a /home/.ecryptfs/user/.ecryptfsy /home/.ecryptfs/user/.Privatey dos enlaces más a un archivo de ayuda y /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop(sólo se ejecuta ecryptfs-mount-private).

eCryptfs conjuntos de hasta PAM (ver archivos en /etc/pam.d/) para buscar automáticamente carpetas personales cifrados en /home/.ecryptfs/y montaje y umount cifrado carpetas de inicio de sesión / cierre de sesión, dependiendo de si o no el auto-mounty auto-umountarchivos existen. Consulte el código fuente de eCryptfs y los scripts preinst y postrm del paquete .deb (vinculados anteriormente) para obtener más detalles, y este clip de man ecryptfs-setup-private:

[E] l módulo pam_ecryptfs.so a la pila PAM que utilizará automáticamente la contraseña de inicio de sesión para desenvolver la frase de contraseña de montaje, agregar la frase de contraseña al llavero del núcleo del usuario y realizar el montaje automáticamente. Ver pam_ecryptfs (8).

• Esta página de ayuda de Ubuntu tiene instrucciones sobre cómo " montar automáticamente un sistema de archivos cifrado ecryptfs en el arranque ... usando un /root/.ecryptfsrcarchivo que contiene opciones de montaje, junto con un archivo de frase de contraseña que reside en una llave USB " .

Una vez desenvueltas, las claves se almacenan en el conjunto de claves del kernel del usuario, puede echarle un vistazo keyctl show, ya que si utilizara el conjunto de claves raíz ( sudo keyctl show), un administrador podría encontrar la frase de contraseña. Puede usar ecryptfs-unwrap-passphrasepara ver la frase de contraseña ecryptfs real. eCryptfs descifra sus archivos usando la firma clave correspondiente (opciones ecryptfs ecryptfs_sig=(fekek_sig)y ecryptfs_fnek_sig) en el archivo Private.sig.

Más información

Ubuntu tiene buenos archivos de ayuda como archivos cifrados en su página de inicio y eCryptfs en la guía del servidor Ubuntu .

Arch Linux tiene una ayuda generalmente excelente, consulte https://wiki.archlinux.org/index.php/System_Encryption_with_eCryptfs

Y vea las manpáginas para ecryptfs(en línea allí o en su sistema) y todas sus herramientas, especialmente ecryptfs-setup-private.

Puede agregar un nuevo usuario con un hogar encriptado usando adduser --encrypt-home(Para obtener más información, consulte la opción -b de ecryptfs-setup-private) y ver cómo se configuran los archivos usted mismo. Y para realmente mojarse los pies con todos los detalles que probablemente nunca quisiste saber, mira el código fuente :

• ecryptfs-setup-private desde el espejo de Dustin Kirlkand en github

• Código fuente de Ubuntuecryptfs-utils (en versión utópica)

• Desde eCryptfs en Launchpad :

  • El código de espacio de usuario ecryptfs-utils se almacena en Launchpad / Bazaar, y se puede obtener con:
    https://code.launchpad.net/~ecryptfs/ecryptfs/trunk

  • El código del núcleo ecryptfs se almacena en Git / Kernel.org, y se puede obtener con:
    https://git.kernel.org/?p=linux/kernel/git/tyhicks/ecryptfs.git;a=summary