Le changement de mot de passe rechiffrera-t-il mon répertoire personnel?

26

Je dois changer mon mot de passe utilisateur. Dois-je prendre des mesures supplémentaires pour que mon répertoire personnel chiffré devienne inaccessible avec mon ancien mot de passe et accessible uniquement avec mon nouveau mot de passe?

encryption  password  ecryptfs 
Septagram
source

Réponses:

38

Il n'est pas nécessaire de rechiffrer votre répertoire personnel et aucune autre étape n'est nécessaire.

Votre répertoire personnel n'est pas directement chiffré avec votre mot de passe. Au lieu de cela, la phrase secrète utilisée pour chiffrer le répertoire personnel est elle-même chiffrée avec votre mot de passe.

Lorsque vous modifiez votre mot de passe, la phrase secrète du répertoire personnel est rechiffrée avec votre nouveau mot de passe, vous devez donc continuer à accéder à vos fichiers avec le nouveau mot de passe.

Ceci est géré via PAM (Pluggable Authentication Modules), donc devrait fonctionner avec n'importe quel outil de changement de mot de passe. L'exception concerne les modifications du mot de passe administratif lorsque le mot de passe d'origine n'est pas fourni. C'est un comportement attendu cependant: si l'administrateur pouvait décrypter vos fichiers sans connaître votre mot de passe, il n'y aurait aucune protection réelle.

Dans le cas où vous effectuez un changement de mot de passe administratif, après avoir monté votre répertoire personnel avec

ecryptfs-mount-private

et votre ancien mot de passe, problème

ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

pour changer le mot de passe déballant pour correspondre à votre nouveau. De cette façon, votre répertoire personnel sera monté automatiquement lors de la connexion, comme il le faisait auparavant.

James Henstridge
source
D'accord. De plus, passwd de bash le fera-t-il correctement ou dois-je utiliser des outils GUI?
septembre 2011
3
Oui. Le système de répertoire personnel chiffré est connecté via PAM (Pluggable Authentication Modules), donc tout outil qui utilise PAM (comme l' passwdoutil de ligne de commande) devrait fonctionner.
James Henstridge
8
Une autre remarque qui pourrait ne pas être immédiatement évidente: si vous utilisez une sorte de réinitialisation du mot de passe administratif là où le mot de passe d'origine n'est pas fourni, il ne sera pas possible de recrypter la phrase secrète du répertoire personnel. Il est possible de se remettre de cette situation si vous connaissez votre ancien mot de passe, mais c'est quelque chose à garder à l'esprit.
James Henstridge
En modifiant votre réponse, vous devez y ajouter vos commentaires pour la rendre agréable.
Takkat
Dans le cas où vous effectuez un changement de mot de passe administratif, après avoir monté votre répertoire personnel avec ecryptfs-mount-privateet votre ancien mot de passe, émettez ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrasepour changer le mot de passe de déballage pour qu'il corresponde au nouveau.
zakkak
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.