Vous ne regardez que les scripts super-faciles comme ecryptsfs-setup-private
et ecryptsfs-mount-private
, ils utilisent les outils les plus "génériques" que vous cherchez: mount.ecryptfs
et ecryptfs-add-passphrase
. Voir leurs man
pages pour plus d'informations.
Et le lien que Rinzwind a publié contient toutes les informations dont vous avez besoin, plus bas sur la page sous Configuration manuelle . Ils sont assez longs, mais la version très très courte serait:
Choisissez d'abord un ALIAS à votre guise. Grâce à cette section, ALIAS sera secret. Créez les répertoires / fichiers requis:
$ mkdir ~/.secret ~/secret ~/.ecryptfs
$ touch ~/.ecryptfs/secret.conf ~/.ecryptfs/secret.sig
Le ~/.secret
répertoire contiendra les données cryptées. Le ~/secret
répertoire est le point de montage où ~/.secret
sera monté en tant que système de fichiers ecryptfs.
[Maintenant, créez la phrase secrète de montage réelle (les scripts faciles sélectionneront 32 caractères pseudo-aléatoires /dev/urandom
), faites-en une bonne]
$ echo "$HOME/.secret $HOME/secret ecryptfs" > ~/.ecryptfs/secret.conf
$ ecryptfs-add-passphrase
Passphrase:
Inserted auth tok with sig [78c6f0645fe62da0] into the user session keyring
Écrivez la signature de sortie (ecryptfs_sig) de la commande précédente dans ~ / .ecryptfs / secret.sig:
$ echo 78c6f0645fe62da0 > ~/.ecryptfs/secret.sig
Une deuxième phrase secrète pour le cryptage du nom de fichier peut être utilisée. Si vous le souhaitez, ajoutez-le au trousseau de clés:
$ ecryptfs-add-passphrase
Passphrase:
Inserted auth tok with sig [326a6d3e2a5d444a] into the user session keyring
Si vous exécutez la commande ci-dessus, ajoutez sa signature de sortie (ecryptfs_fnek_sig) à ~ / .ecryptfs / secret.sig:
$ echo 326a6d3e2a5d444a >> ~/.ecryptfs/secret.sig
Enfin, pour monter ~ / .secret sur ~ / secret:
$ mount.ecryptfs_private secret
Pour démonter ~ / .secret:
$ umount.ecryptfs_private secret
Ou vous pourriez vraiment vous salir les mains et suivre les instructions Sans ecryptfs-utils .
Ou si vous avez déjà regardé les scripts faciles ecryptsfs-setup-private
& ecryptsfs-mount-private
, vous pourrez peut-être les copier et les modifier pour pointer vers vos répertoires préférés, avec un peu de compétence et de patience.
Ou enregistrez simplement la ou les phrases secrètes vous-même (de préférence en toute sécurité) et faites comme l' man ecryptfs
exemple de la page (vous devez lire les pages de manuel):
The following command will layover mount eCryptfs on /secret with a passphrase
contained in a file stored on secure media mounted at /mnt/usb/.
mount -t ecryptfs -o key=passphrase:passphrase_passwd_file=/mnt/usb/file.txt /secret /secret
Where file.txt contains the contents "passphrase_passwd=[passphrase]".
Mis à part les dossiers de départ chiffrés et un dossier chiffré à l'intérieur de la maison - dossiers eCryptfs imbriqués
De plus, un dossier personnel chiffré stocke normalement des fichiers /home/.ecryptfs/user/
, tandis qu'un dossier privé chiffré contient des fichiers dans votre propre dossier personnel. Vous ne pouvez pas utiliser les deux en même temps, eCryptfs ne fera pas de dossiers chiffrés imbriqués. Mais avoir une maison cryptée et des dossiers cryptés à l'extérieur de votre maison est correct.
Je viens d'essayer de créer un nouvel utilisateur avec une maison cryptée sudo adduser --encrypt-home jack
Il a créé un /home/.ecryptfs/
dossier, avec:
/home/.ecryptfs/jack/.ecryptfs/
- mot de passe enveloppé et fichiers de configuration pour le montage automatique de la prise jack lors de la connexion
/home/.ecryptfs/jack/.Private/
- fichiers d'accueil chiffrés réels, montés sur /home/jack/
lorsque vous êtes connecté.
Et aussi le /home/jack/
dossier, mais il contenait un lien qui y reste, qu'il soit connecté ou non:
/home/jack/.ecryptfs/ -> /home/.ecryptfs/jack/.ecryptfs
Ensuite, je me suis connecté en tant que jack, mais le lien était toujours là, donc essayer de l'exécuter l'a ecryptfs-setup-private
fait regarder /home/jack/.ecryptfs/
mais vraiment voir les fichiers existants /home/.ecryptfs/jack/.ecryptfs
donc il n'a pas pu créer un autre fichier de mot de passe et échouer avecERROR: wrapped-passphrase file already exists, use --force to overwrite.
La tentative des étapes "ALIAS" ci-dessus, en utilisant un dossier .secret à l'intérieur de la maison chiffrée a échoué, avec ces erreurs:
Mount on filesystem of type eCryptfs explicitly disallowed due to known incompatibilities
Reading sb failed; rc = [-22]
"L'imbrication de répertoires chiffrés à l'intérieur de répertoires chiffrés n'est pas prise en charge avec eCryptfs. Désolé." - Auteur et mainteneur eCryptfs
Changer le dossier ALIAS en dehors de la maison de jack, en essayant /tmp/.secret/
et /tmp/secret/
fonctionne . MAIS si la connexion jack est déconnectée, le nouveau dossier chiffré restera monté , vous devez donc le démonter ( umount.ecryptfs_private secret
).