ecryptfs e password di login

settembre 4, 2011
By

A breve dovrei riuscire a pubblicare un post abbastanza corposo sul passaggio che ho fatto da encfs a ecryptfs per la cifratura completa delle /home/*

Intanto segnalo una cosa tutto sommato ovvia, ma che può dare qualche grattacapo.

Cifrare la /home è cosa buona e giusta, ma se manteniamo inalterata la password di login per tanto tempo la sicurezza scende. Qui ovviamente sorge un problema: la passphrase che realmente decifra i file è cifrata a sua volta tramite la password che usiamo per il login e quindi quando cambiamo quest’ultima bisogna ricordarsi di “rewrappare” la prima.

Dato che non sto usando UnionFs quando la /home è montata non riesco a vedere la passphrase dato che rimane nel layer sotto, quindi per cambiare la password di login e rewrappare la passphrase faccio login come root e cambio forzosamente tutto

Il problema sorge se non ci si ricorda che il comando

ecryptfs-rewrap-passphrase /home/utente/.ecryptfs/wrapped-passphrase

cambia anche l’owner mettendolo a quello che ha eseguito il comando, e i permessi a 600

Ne consegue che a guerra finita l’utente si trova una wrapped-passphrase di proprietà di root e che non può nemmeno leggere. Conseguentemente, pur fornendo credenziali corrette il processo di mount non va a buon fine. La cosa che m’ha fatto perdere più tempo è che il successivo eventuale mount a mano della .Private funziona se si aggiunge la passphrase al proprio keyring con

ecryptfs-add-passphrase --fnek

Ricordate, se usate ecryptfs e rewrappate la passphrase usando root come utente, sistemate l’ownership della wrapped-passphrase. Vi salverà da un brutto quarto d’ora 🙂

Tags: , , , ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


*