当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 39 篇帖子 ]  前往页数 1, 2, 3  下一页
作者 内容
1 楼 
 文章标题 : 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-05 20:18 
头像

注册: 2008-12-29 21:16
帖子: 112
送出感谢: 0 次
接收感谢: 1
从ubuntu9.10开始,全新安装时多了一个登入时需要密码并加密我的主目录的选项,简单的说就是把整个主目录都加密了,如果电脑丢失或者重新安装系统时,没有关键密码此主目录则永远无法恢复,数据则可保无忧。不管有没有用,用各种方法试验恢复主目录时总是遇到各种各样的问题,其中最好的情况是目录恢复了,但其中的文件名称是乱码,根本无法解读,在网上找了很久的资料,最后才发现原因,不敢独享,贴在此处:

如果安装时选择了加密主目录,登入系统后要做的第一件事情就是保存好密钥,在终端中输入:
ecryptfs-unwrap-passphrase
则可以得到一串长长的字符串,保存在安全的地方,这是关键;
假设准备重新安装系统,有两种方式可保数据无忧,第一种是在安装前把已经被加密的主目录中需要保存的数据文件拷贝出来——不准打人、扔鸡蛋;第二种则是这篇文章要讲的东西。
仔细检查安装的系统,你会发现,被加密的整个主目录实际上只是一个被挂载的空目录,里面只有四个文件,真正的文件实际上存放在 /home/.ecryptfs/你的主目录名/.Private中,是加密存放的,所以重新安装系统时,这个目录一定不能被删除,否则神仙也救不了你。

假设已经重新安装了系统,则进行如下操作:
确认先前的/home/.ecryptfs/被加密的目录名/.Private 里面的文件在不在,如果不在,不用继续了
如果先前忘记保存的密钥串或者密钥串丢了,检查
/home/.ecryptfs/被加密的目录名/.ecryptfs/wrapped-passphrase文件在不在,如果不在,也不用继续了,如果在,
安装ecryptfs:
sudo aptutide install ecryptfs-utils
如果已经安装,此步略。
在终端中输入:
sudo ecryptfs-unwrap-passphrase wrapped-passphrase 不用我说要在哪个目录中运行了吧,就是你以前的那个旧的wrapped-passphrase所在的目录,当然你拷贝出来也随便你
Passphrase: 输入以前主目录被加密的用户密码
得到密钥串,保存起来

在现在的主目录下新建一个目录restore
在终端输入:
sudo ecryptfs-add-passphrase --fnek 注:–fnek 有两个 - 一定要sudo
Passphrase:输入先前保存在安全位置的那一长串字符串
Inserted auth tok with sig [6ceb75c6208b3c78] into the user session keyring
Inserted auth tok with sig [01bda2c2fc25d863] into the user session keyring
记住方括号中的两串字符串,后面要用到。其中第二串是解密文件名用的
注:这一步相当重要,很多时候就是因为这一步没有做,没有将先前保存的密钥导入密钥环中(我是这么理解的),结果要不恢复出错,要不恢复出来的文件名称、目录名称全部是看不懂的东东。在终端输入:
sudo mount -t ecryptfs /home/.ecryptfs/以前那个被加密主目录名称/.Private ~/restore
Passphrase:同样输入先前保存的字符串
Select cipher:
1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
2) blowfish: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded)
4) twofish: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
5) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
6) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded)
Selection [aes]:直接回车
Select key bytes:
1) 16
2) 32
3) 24
Selection [16]:直接回车
Enable plaintext passthrough (y/n) [n]:直接回车
Enable filename encryption (y/n) [n]: y 这一步很关键,因为加密主目录时文件名称是默认加密的,一定要回答y
Filname Encryption Key (FNEK) Signature [6ceb75c6208b3c78]: 01bda2c2fc25d863 将前面提到的那两串字符串中的第二串输入
Attempting to mount with the following options:
ecryptfs_unlink_sigs
ecryptfs_fnek_sig=01bda2c2fc25d863
ecryptfs_key_bytes=16
ecryptfs_cipher=aes
ecryptfs_sig=6ceb75c6208b3c78
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key
before. This could mean that you have typed your
passphrase wrong.
Would you like to proceed with the mount (yes/no)? yes 你从未用这个密码挂载过,是否继续?
Would you like to append sig [86a764759a1f7625] to
[/root/.ecryptfs/sig-cache.txt]
in order to avoid this warning in the future (yes/no)? no 是否将此次挂载信息记录下来以免下次报警?
Not adding sig to user sig cache file; continuing with mount.

到此,去访问主目录中的restore文件夹,应该不会出现问题了。把要恢复的文件拷贝出来,不然下次开机想再进去又要来一次。如果你没有在最开始那一步进行
ecryptfs-add-passphrase –fnek
的操作的话,应该会出现以下的出错信息:
Error mounting eCryptfs: [-2] No such file or directory
目录挂载失败。莫名其妙。找不到文件?就是这个问题困扰了我很长一段时间,总是挂载失败

这是比较简单的方式,对于ecryptfs复杂运用,欢迎和我讨论。500years@lizhenyu.com
另:命令之间的空格请多注意,最好直接贴到终端中去

http://blog.lizhenyu.com/restore-encryp ... yptfs.html


_________________
http://blog.lizhenyu.com


最后由 fpoint 编辑于 2012-03-26 12:06,总共编辑了 3 次


_________________
评价: 3.85% ywmy210
 
页首
 用户资料  
 
2 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-07 16:09 

注册: 2007-09-02 17:46
帖子: 147
送出感谢: 2
接收感谢: 0 次
好东西谢谢楼主罗


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-07 18:22 
头像

注册: 2008-09-05 23:31
帖子: 1363
系统: LinuxMint17
送出感谢: 35
接收感谢: 11
厉害呀。 :em09


_________________
茕茕
问题大海之一粟:http://forum.ubuntu.org.cn/viewtopic.php?f=74&t=212497
NEMO-Actions使用方法:http://forum.ubuntu.org.cn/viewtopic.php?f=175&t=456548
在线编码转换:http://2cyr.com/decode/?lang=en


页首
 用户资料  
 
4 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-08 12:01 
头像

注册: 2008-03-28 10:18
帖子: 578
地址: 淮安and徐州
送出感谢: 1
接收感谢: 3
从8.04升级安装到9.10的怎么再选择加密主目录


_________________
今天下午和一群女的聊天,突然有人说我不是男人。
我火了,我说,你说我不是,我掏出来给你看。
女生都笑了,有一个最牛,说,你掏啊……
于是我就把身份证掏出来了。


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-08 16:52 
头像

注册: 2008-12-29 21:16
帖子: 112
送出感谢: 0 次
接收感谢: 1
kissdb 写道:
从8.04升级安装到9.10的怎么再选择加密主目录
从旧版本升级到新版本需要加密主目录的,情况类似于新安装时没有选择加密主目录,相信楼上也认同这一点。我们可以进行加密主目录的操作,不过相对比较复杂,有一个简单的方法可以做到:
删除原用户,再新建一次,这次使用主目录加密新建用户:

sudo adduser -encrypt-home username
这样就可以了,新建的用户是主目录加密的。新建后注意事项请看一楼。 :em11


_________________
http://blog.lizhenyu.com


页首
 用户资料  
 
6 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-09 9:28 
头像

注册: 2008-03-28 10:18
帖子: 578
地址: 淮安and徐州
送出感谢: 1
接收感谢: 3
fpoint 写道:
kissdb 写道:
从8.04升级安装到9.10的怎么再选择加密主目录
从旧版本升级到新版本需要加密主目录的,情况类似于新安装时没有选择加密主目录,相信楼上也认同这一点。我们可以进行加密主目录的操作,不过相对比较复杂,有一个简单的方法可以做到:
删除原用户,再新建一次,这次使用主目录加密新建用户:

sudo adduser -encrypt-home username
这样就可以了,新建的用户是主目录加密的。新建后注意事项请看一楼。 :em11

不错,这样就可以了


页首
 用户资料  
 
7 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-09 10:06 
头像

注册: 2008-03-25 15:49
帖子: 25876
地址: 谁知道?
送出感谢: 8
接收感谢: 10
暂时用不着加密 还是要 :em11


页首
 用户资料  
 
8 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-09 21:30 

注册: 2007-09-02 17:46
帖子: 147
送出感谢: 2
接收感谢: 0 次
装机时没有采用加密主目录,原因在于担心加密主目录会拖慢开机速度
不知到楼主在使用这么久后,有没有这样的感觉呢 


页首
 用户资料  
 
9 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-09 21:36 

注册: 2008-10-27 22:28
帖子: 369
送出感谢: 0 次
接收感谢: 0 次
幸好我当时没选加密主目录,否则看起来还很麻烦呢!!

PS:俺不是冠希哥,俺不怕修电脑!


页首
 用户资料  
 
10 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-09 21:37 
头像

注册: 2008-12-29 21:16
帖子: 112
送出感谢: 0 次
接收感谢: 1
hogsonik 写道:
装机时没有采用加密主目录,原因在于担心加密主目录会拖慢开机速度
不知到楼主在使用这么久后,有没有这样的感觉呢 
这就要谈到ecryptfs加密系统的缺点了,有消息称,此加密系统在读的方面损失不大,不过在写的方面,将近29%的效率将损失。还有,对于喜欢重新安装系统来做测试的玩家而言,也是不建议使用此种加密系统的。因为在不加密的系统中,普通的一个剪切、粘贴操作是几乎不需要什么时间的,不论内容有多大,只要在同一个分区,不过是改变分区表的结构的指向而已,而对于加密系统,将已经加密的文件剪切然后粘贴到另一个加密目录或者未加密目录,等于复制然后删除,所需要的时间是一样的。对于一般使用者而言,此加密系统的安全性相对于所谓的开机速度而言,肯定是幣大于利的。加密是用于数据安全的,不是用来玩的,9楼的朋友这个问题其实不应该问。别说没多少影响,就算影响再大,真是为了数据安全而加密,这点损耗又算得了什么呢?

最后,我并没有使用加密主目录的方式来使用这个系统,只是加密了应该加密的目录。留了一个加密了主目录的用户用来做测试。至今仍然没有搞定自动安全挂载已经加密的指定目录。 :em06


_________________
http://blog.lizhenyu.com


最后由 fpoint 编辑于 2009-11-09 21:40,总共编辑了 1 次

页首
 用户资料  
 
11 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-09 21:38 
头像

注册: 2008-12-13 19:39
帖子: 13284
地址: 物华天宝人杰地灵
送出感谢: 1
接收感谢: 6
没有加密习惯的路过学习,顶楼主的钻研和共享精神。 :em11


_________________
行到水穷处,坐看云起时。
海内生明月,天涯共此夕。
--------------------吾本独!


页首
 用户资料  
 
12 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-09 21:54 
头像

注册: 2007-01-22 23:23
帖子: 453
地址: 42 39'18.85"N,94 10'00.80"E
送出感谢: 1
接收感谢: 0 次
ecryptfs能否做到加密一个文件夹而不是整个系统,访问时需要输入密码?


页首
 用户资料  
 
13 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-09 21:58 
头像

注册: 2008-12-29 21:16
帖子: 112
送出感谢: 0 次
接收感谢: 1
没有问题。如果只是加密一个文件,不如用gpg,ubuntu自己就带了。
ecryptfs加密文件简单来讲是用挂载的方式进行的。没有被正确挂载时,文件和文件名都可以是乱码,使用正确的密码和参数挂载后才可以恢复正常。也可以做到不加密文件名,只加密文件内容。如果不使用正确的密钥和方式来挂载,虽然也可以通过,不过文件都是不可读的。可以让偷你硬盘的人不知所措。具体可以上其官网看看。目前为止,这是我在linux上所用过的比较灵活的一种加密系统。你甚至可以将加密了的文件拷贝到另一个linux系统中再解密。


_________________
http://blog.lizhenyu.com


页首
 用户资料  
 
14 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-10 13:16 
头像

注册: 2008-03-25 15:49
帖子: 25876
地址: 谁知道?
送出感谢: 8
接收感谢: 10
躺在桌子上 写道:
幸好我当时没选加密主目录,否则看起来还很麻烦呢!!

PS:俺不是冠希哥,俺不怕修电脑!

lz 名字很神似...


页首
 用户资料  
 
15 楼 
 文章标题 : Re: 原创:总算初步解决ecryptfs加密主目录的问题了
帖子发表于 : 2009-11-10 21:41 
头像

注册: 2007-08-23 16:25
帖子: 178
送出感谢: 0 次
接收感谢: 0 次
如果楼主早点发布这篇文章多好。。。。。。。可惜了。。。。真不是玩的。。


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 39 篇帖子 ]  前往页数 1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译