問題タブ [ecryptfs]

eCryptfs ファイルのヘッダーを解析するプログラム (C ではなく Free Pascal を使用) を作成しています。

ヘッダーの値の 1 つはバイト 7 で始まり、15 で終わります (8 バイト値)。ファイルを eCryptfs ファイルとして一意に識別する値であるため、私にとっては役に立ちます。そのため、ファイルにそのような値が見つかったときにそれを認識するようにアプリをコーディングしようとしています。

ただし、マーカー自体は、ランダムに生成された 4 バイト値 (X) と別の 4 バイト静的 16 進値 0x3c81b7f5 (Y) を XOR することによって生成されます。生成された値は 4 バイトの Z です。X + Z を合わせて 8 バイトの特殊マーカーを形成します。Y 自体はファイル ヘッダーに格納されません。したがって、値 0x3c81b7f5 (Y) がヘッダーに格納されることは決してないので、それを探すようにアプリケーションをコーディングすることはできません。他の 4 バイトは、ある静的な値と別のランダムな値との XOR の結果であることを確認できます。 、どのように認識されているのかわかりません。

eCryptfs Launchpad サイト ( https://answers.launchpad.net/ecryptfs/+question/152821 ) で eCryptfs プログラムがこの値を「eCryptfs ファイル」として認識する方法を尋ねたところ、コミュニティの 1 人が関連する C ソース コードを紹介してくれました。以下にリンクしています.しかし、私はCが特別なマーカーをどのように認識しているかを理解するのに十分なほどよく理解していません.同じ種類の認識プロセスを自分のアプリにコーディングできるように、誰か助けてもらえますか?ソースコードは必要ありませんが、C コードがどのように機能するかを誰かに説明してもらいたいだけです。

http://fxr.watson.org/fxr/source/fs/ecryptfs/crypto.c?v=linux-2.6;im=excerpts#L1029

「ecryptfs」はダイレクト I/O をサポートしていますか? 一般に、ユーザーが提供するバッファを変更する「スタック可能な」ファイルシステムは、ダイレクト I/O をどのようにサポートできますか?

私は困惑しています。ハードディスクがいっぱいで、ほとんどの領域が .eryptfs/$MYUSERNAME (810.4 GB) によって使用されています。奇妙なことに、私のホーム ディレクトリ /home/MYUSERNAME (22.2GB) が消費するディスク容量は大幅に少なくなっています。何が間違っているのか、「不足している」空き領域を探す場所はありますか?

MySQL で透過的データ暗号化 (TDE)を有効にしたいと考えています。データベース全体が暗号化されていてもかまいません (いくつかの列、行、またはテーブルとは対照的に)。勉強で使っているので、オープンで無料のものを探しています。zNcryptを見つけましたが、これは商用製品です。彼らは基本的にオープンソースのeCryptfsを使用していますが、MySQL 用に適切に構成する方法を見つけることができませんでした。MySQL で eCryptfs を使用する方法や、MySQL で TDE を有効にするためのその他のソリューションを使用する方法については、非常に役立ちます。ありがとう！

私は現在、クライアントのローカル サーバーに配布される Java 検索プロジェクトに取り組んでいます。このプロジェクトには、マシン上で直接アクセスできないようにしたい貴重なデータが含まれていますが、プロジェクト サービス/API からのみアクセスできます。データは毎日更新され、24 時間年中無休でクエリを実行できる必要があります。私はeCryptFsを考えていますが、いくつかのテストの後、暗号化されたデータがサービスユーザー、たとえば「root1」の下にマウントされると、クエリをサポートするために暗号化されたデータをマウントされた状態に保つ必要があるようです。他のすべてのログインユーザーは、パスワードなしで復号化されたデータにアクセスできます。とにかく私のシナリオをサポートするものはありますか? ありがとう。

I think I need to add a key from the user keyring to the kernel keyring on login for this, but let me just explain the whole thing:

I have a custom ecryptfs directory set up with a huge annoying passphrase, because Ubuntu refuses to implement support for key files:

2011: Unfortunately, we're not building ecryptfs against ssl at this time, due to license incompatibilities (as noted below). I'm going to leave this bug open, though, and try and get those sorted out.

2012: there are no plans to improve this feature in the near term. It is a considerable amount of work, yet no developers have shown interest in the feature.

I want to mount/'unlock' this ecryptfs directory automatically when I log in, without having to enter this annoying passphrase manually. With an encrypted home in Ubuntu (also ecryptfs) this happens with a key that is unwrapped using the login password, but this does not work for custom mounts.

For other uses (e.g. LUKS) you can simply store the key/passphrase in your user keyring. But because ecryptfs works in the kernel, this key needs to be stored in the kernel keyring, not the user keyring.

Manually, you would add the key to the kernel keyring using ecryptfs-add-passphrase or ecryptfs-manager, after which you can mount and unmount the ecryptfs directory as much as you want. But after a reboot, this key is gone again, and with good reason.

But I want it back automatically after I login with my user so I can mount/unmount the ecryptfs directory again without having to enter it's password. How can I do this?

update

On Archlinux there is this tool called ecryptfs-simple developed specifically for this purpose: ecryptfs-simple is a utility for users that want to work with eCryptfs in the simplest way possible. The idea is to make eCryptfs as easy to use as EncFS.

Apparently, you can setup automatic mounting with ecryptfs-simple -a, but this tool is not available for Ubuntu, and I don't know if this setup survives a reboot.

Linuxでecryptfsのソースを読もうとしていました。Linuxカーネルサブシステムのdm-cryptとecryptfsの違いを説明するのを手伝ってくれる人はいますか。ecryptfs のソースを紹介している参考書はありますか。私を助けてくれてありがとう 。

Linux で暗号化ツールを使用して、フォルダーを暗号化し、特別なユーザーに対してのみ復号化できますか? この場合、他のユーザーは復号化されたフォルダー内のファイルを表示できません。フォルダーにアクセスするためのアクセス許可を使用する方法がありますが、別の方法がありますか?

eCryptfs を使用して、次の方法で特定のディレクトリをマウントおよび暗号化しています。

fstab を使用して、起動時に ecryptfs を使用して自動的にマウントする例を見てきました。

必要に応じてテスト目的で実行できるように、これを新興スクリプトとして実行することが可能/賢明かどうか疑問に思っていますか?

理想的には、暗号化されているディレクトリに依存する他の Upstart スクリプトの前に実行することです。

背景:次のように機能するパスワード ジェネレーターを作成しました。

• 130 のランダム ビットを生成する
• の 26 要素としてランダム ビットを解釈します。GF(32)
• 要素を係数として使用して、25 次多項式を構築します。
• 32 の可能なすべての入力について多項式を評価する
• 変更された base32 エンコーディングを使用して結果をエンコードします

これにより、セキュリティを損なうことなく、パスワード入力中のいくつかのタイプミスを許容できる強力なパスワード (130 ビットのエントロピー) が得られます。

これまでのところ、アルゴリズムのエラー修正部分をssh-addコマンドに統合しましたが、これは問題なく機能しています。ログインパスワードを同じようにスムーズに使用したいと思います。

質問:pamユーザーが入力したパスワードを他のモジュールに表示される前に変更するモジュールを作成することは可能ですか? 特にecryptfs、アルゴリズムがユーザーが入力したパスワードのタイプミスを修正した後にホームディレクトリをマウントできるように、修正されたパスワードを確認したいと思いますか?