Danke hugin grimnirson für Deine schnelle und ausführliche Antwort! Werde ich in Ruhe durcharbeiten. Danke auch an V for Vortex!
eCryptfs: Ein weiteres einzelnes Verzeichnis einrichten?
(Themenstarter)
Anmeldungsdatum: Beiträge: 873 |
|
||||
(Themenstarter)
Anmeldungsdatum: Beiträge: 873 |
Ok, hier hat sich noch mal eine Frage aufgetan. Hab alle Ordner gelöscht und versuche erneut einen Ordner ~/Wolke zu erstellen. Der Ordner ~/Wolke soll mit dem Verzeichnis ~/Private beim Login automatisch gemountet und entschlüsselt werden:
In Zeile 3 muss also das wrapped-passphrase von ~/Private eingetragen werden (hat hugin grimnirson ja im letzten Post geschrieben) Frage zu Zeile 19: Was muss man denn hier jetzt eintragen? Hab hier was gefunden und es mit der 2.Ausgabe von
versucht. Gibt leider eine Fehlermeldung... |
||||
Anmeldungsdatum: Beiträge: 55 Wohnort: Wien |
Ich weiß nicht, ob es ein Tippfehler ist, oder du es wirklich verwechselt hast, aber zur Sicherheit: du brauchst die unwrapped Passphrase (die Ausgabe von ecryptfs-unwrap-passphrase)
Habe ich einfach bestätigt, alles andere hat iirc nicht funktioniert. Die ecryptfs_sig scheint sich aus der Passphrase abzuleiten. Diese war (bei manueller Einrichtung mit der gleichen Passphrase) bei mir die gleiche wie auch die der vorkonfigurierten Verzeichnisse (sprich /home/ oder /home/user/Private). Die vorkonfigurierten Verzeichnisse verwendeten allerdings eine davon abweichende ecryptfs_fnek_sig, bei manueller Einrichtung wird aber für ecryptfs_sig und ecryptfs_fnek_sig ein identer String generiert. EDIT: Wenns hilft, kann ich dann noch gerne eine Zusammenfassung schreiben, was beim Login passiert, um die Zusammenhänge zu erklären und um das Thema so etwas zu erhellen. Hab nur jetzt im Moment grad keine Zeit, muß dann weg. Aber wenn die Zeit vorhanden ist, gerne ... |
||||
Anmeldungsdatum: Beiträge: 12085 Wohnort: Berlin |
Soweit ich es verstanden habe, dient die Signatur (nur?) der Erkennung von Tippfehlern beim Öffnen eines zuvor erzeugten eCryptfs-Verzeichnisses. $ sudo mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=yes test test Passphrase: Filename Encryption Key (FNEK) Signature [799737c50d06bd27]: Attempting to mount with the following options: ecryptfs_unlink_sigs ecryptfs_fnek_sig=799737c50d06bd27 ecryptfs_key_bytes=16 ecryptfs_cipher=aes ecryptfs_sig=799737c50d06bd27 WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt], it looks like you have never mounted with this key before. This could mean that you have typed your passphrase wrong. Would you like to proceed with the mount (yes/no)? : yes Would you like to append sig [799737c50d06bd27] to [/root/.ecryptfs/sig-cache.txt] in order to avoid this warning in the future (yes/no)? : yes Successfully appended new sig to user sig cache file Mounted eCryptfs |
||||
(Themenstarter)
Anmeldungsdatum: Beiträge: 873 |
Ok, hatte versucht in Zeile 3 die ecryptfs-unwrap-passphrase mit Copy-Paste (also Strg+Shift+v) einzutragen. Hab das jetzt nochmal zweimal ausprobiert und alles "blind" eingetippt. Gab keine Fehlermeldung. Wenn ich mich nur ab- und anmelde, ist der Inhalt von ~/Wolke wieder da. Bei einem Neustart leider nicht. Dann ist ~/Wolke leider leer...!? |
||||
Anmeldungsdatum: Beiträge: 55 Wohnort: Wien |
Es scheint auf jeden Fall eine Art Hash des Passwortes zu sein. Die Funktion des Passwortüberprüfens kommt aber ihmo nur beim interaktiven Mount zum tragen. Wenn man ecryptfs-add-passphrase für einen fstab-Mount verwendet, dann wird, IIRC, auch die ecryptfs-sig aus der Passphrase generiert und diese gemeinsam im Keyring hinterlegt. Die sig scheint generell für die Zuordnung von Passphrasen gebraucht zu werden. |
||||
Anmeldungsdatum: Beiträge: 55 Wohnort: Wien |
@grillparzer Das ist jetzt schwer zu beantworten, da ich nicht weiss, was du genau (fstab, pam_mount) bereits eingerichtet hast. Ist der Mountpoint in der /etc/fstab bereits angelegt? Falls nein, dann kanns nicht gehen. Gib mal ein bisserl Informationen dazu ... |
||||
(Themenstarter)
Anmeldungsdatum: Beiträge: 873 |
Danke für Deine Geduld. Ich versuche gerade Abschnitt Mounting umzusetzen. Bin ich da hoffentlich an der richtigen Stelle? Oder hab ich einen LINK von Euch bezügl. /etc/fstab übersehen? Sorry, kann gut sein, dass ich hier den Überblick verloren habe... Also in die /etc/fstab muss folgendes eingetragen werden: /home/user/.Wolke /home/user/Wolke ecryptfs [... user ... ecryptfs_sig=XY,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs 0 0 bzw. mit
/home/user/.Wolke /home/user/Wolke ecryptfs [... user ... ecryptfs_sig=XY,ecryptfs_fnek_sig=XY,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs 0 0 1. Frage zu ecryptfs_sig=XY: In der /root/.ecryptfs/sig-cache.txt stehen drei Einträge. Welcher muss hier eingetragen werden? 2. Frage: Angenommen die Einträge in der fstab passen, dann im Terminal ein
Das "ThisIsAVeryWeakPassphrase" ist doch das ecryptfs-unwrap-passphrase, oder? |
||||
Anmeldungsdatum: Beiträge: 55 Wohnort: Wien |
Np. Wenn man das Gefühl hat, das von der Gegenseite auch was kommt, hab ich ja kein Problem ...
Nein. Du versuchst damit mittels pam_ecryptfs zu mounten. Das funktioniert aber nur für ein Verzeichnis. Sobald du "~/Private" oder "/home/user" schon eingerichtet hast (mit den Ubuntu-Bordmitteln), kannst du kein weiteres mehr automounten. Du willst das mit pam_mount erledigen.
JA, und damit das nicht nochmals passiert: 😀 Im Ernst: Die Arch-Wiki-Anleitung ist nett, weil da wirklich alles drinsteht, aber für den Anfang halt erschlagend viel. Das war auch das, was mich einige Zeit gekostet hat. Im oben verlinkten Post, habe ich die paar Schritte zusammengefasst, die es braucht. Lass das Arch-Wiki mal beiseite, und probier es genau noch meinem Post, das sollte eigentlich funktionieren.
Ja, in etwa. Halt dich an die /etc/mtab, dort sind die Informationen von aktuell gemounteten Verzeichnisse hinterlegt ... copy-paste ist am sichersten. Natürlich muß noch zumindest users und noauto dazu, aber nochmal, schau in meinem Post, da stehts genau, der Abschnitt fängt an mit - Damit das Verzeichnis dann vom User gemountet werden kann, muss es mit allen Optionen in die /etc/fstab.
Du hast offenbar verschiedenfach Einrichtungen vorgenommen und in zumindest drei Fällen die Frage, ob in die sig-cache.txt gespeichert werden soll, mit Ja beantwortet. Aber vergiss die sig-cache.txt. Die Signatur ist jene, die in der /etc/mtab steht, wenn das Dateisystem aktuell gemountet ist. (Und wenn du die gleiche Passphrase wie für "Private" verwendet hast, sollte die beiden Signaturen übereinstimmen.)
Lg Christian |
||||
(Themenstarter)
Anmeldungsdatum: Beiträge: 873 |
Ja!
Ok, dann meld ich mich am besten hier unter Deiner Anleitung wieder. Hab die Anleitung durch, aber leider funktionierts noch nicht ganz. Ich geh das gleich noch mal Schritt für Schritt durch.... Edit: Mit der Anleitung von hugin grimnirson konnte ich mein Problem schließlich lösen... |