問題タブ [ecryptfs]

eCryptfs を使用して、次の方法で特定のディレクトリをマウントおよび暗号化しています。

fstab を使用して、起動時に ecryptfs を使用して自動的にマウントする例を見てきました。

必要に応じてテスト目的で実行できるように、これを新興スクリプトとして実行することが可能/賢明かどうか疑問に思っていますか?

理想的には、暗号化されているディレクトリに依存する他の Upstart スクリプトの前に実行することです。

背景:次のように機能するパスワード ジェネレーターを作成しました。

• 130 のランダム ビットを生成する
• の 26 要素としてランダム ビットを解釈します。GF(32)
• 要素を係数として使用して、25 次多項式を構築します。
• 32 の可能なすべての入力について多項式を評価する
• 変更された base32 エンコーディングを使用して結果をエンコードします

これにより、セキュリティを損なうことなく、パスワード入力中のいくつかのタイプミスを許容できる強力なパスワード (130 ビットのエントロピー) が得られます。

これまでのところ、アルゴリズムのエラー修正部分をssh-addコマンドに統合しましたが、これは問題なく機能しています。ログインパスワードを同じようにスムーズに使用したいと思います。

質問:pamユーザーが入力したパスワードを他のモジュールに表示される前に変更するモジュールを作成することは可能ですか? 特にecryptfs、アルゴリズムがユーザーが入力したパスワードのタイプミスを修正した後にホームディレクトリをマウントできるように、修正されたパスワードを確認したいと思いますか?

ecryptfs を使用して、Ubuntu ボックスの内容全体を外付けハード ドライブ エンクロージャにバックアップしています。私はこのガイドに従っており、必要に応じて適切にバックアップおよび暗号化されています。

暗号化されたバックアップを実際に使用する必要があるまでは、これで問題ありません。プライマリ ハード ドライブ全体を紛失した場合、バックアップを復号化するために、どのファイル/情報にすぐにアクセスできるようにする必要がありますか? 初期暗号化の設定に使用するオプションの他に、必要なものは次の 2 つだけですか?

• パスフレーズ
• 署名キー

ラズベリーで実行されているソフトウェアが使用できるように、ラズベリーに機密データを保存する必要がありますが、他の誰も使用できません。ハードパスワードを設定したり、tty を無効にしたりできますが、SD カードを取り外して PC で調べるのは簡単です。

私の最初の試みは eCryptFS です。良さそうに見えますが、問題があります。パスフレーズを保存し、それを使用して暗号化されたファイルをマウントするにはどうすればよいですか? eCryptFS は、ファイルからパスフレーズを読み取るか、マウント引数として取得できます。明らかに、ファイルは安全に保存されていないため使用できません。また、ハードコードされた (難読化された) パスフレーズを cli パラメーターとして、または stdin から mount.ecryptfs に供給するプログラムを作成することもできます。ただし、この場合、このプログラムを実行して、パスフレーズを含むコマンド ライン全体をプロセス リストに表示することもできます。

現在、パスフレーズを ecryptfs 自体にハードコーディングする (または保護された eeprom から読み取る) ことを検討しているため、デバイスでのみ機能します。または、別の暗号化システムを使用することもできますが、それらはすべてどこかで鍵の形を取る必要があります。したがって、これを行う唯一の方法は、eeprom またはハードコーディングです。

ラズベリーのSDカードに機密データを安全に保存するより良い方法はありますか?

https://wiki.archlinux.org/index.php/ECryptfs#Without_ecryptfs-utilsの指示に従って、暗号化されたフォルダーをセットアップしようとしています。その場合、マウント パスフレーズは手動で作成され、選択したパスワード (この例では「Arch」) を使用してラップされます。これは期待どおりに機能しています。

手動で設定する方法は他にもあります。つまり、単純なマウントを使用する例: mount -t ecryptfs ~/.Private/ ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=n,ecryptfs_enable_filename_crypto=y

この場合、[パスワード] の入力を求められ、その後、そのフォルダーがマウントされます。

私の質問は、2 番目の例でマウント パスフレーズが隠されている場所はどこですか? そして、入力した [パスワード] は、この場合、それと FEKEK にどのように関連していますか。

誰か説明してくれませんか？

前もって感謝します。

暗号化されたホーム ディレクトリを使用して Ubuntu Server 14.04 をセットアップしました。ssh 公開鍵はホーム ディレクトリの外にあるため、再起動後にホーム ディレクトリがアンマウントされたときにログインできます。

以前はecryptfs-mount-privateディレクトリをマウントしていましたが、ログアウトした後、ディレクトリが再びマウント解除されたようです。マウントしたままにするにはどうすればよいですか？

再起動後に VNC 経由でログインしてからログアウトすると、ホーム ディレクトリがマウントされたままになることに気付きました。

Cのプログラムでecryptfsを使用してfsをマウントしようとしていますが、カーネル部分にキーを渡すことができません

/var/log/messages :

私は opt 文字列でこれを試します:

しかし、それは動作しません

と ：

ここにログ：

手伝ってくれてありがとう