ubuntuusers.de

Wenn der Hauptbenutzer des Computers, dessen Profil mit ecryptfs verschlüsselt wurde, sein Passwort verloren hat, ist es möglich, dies als Admin neu zu setzen, ohne den Zugriff aufs verschlüsselte Profil zu verlieren?

Vorgehen: Frische OS-Installation, Anlage von Useraccount via

sudo adduser username

sudo ecryptfs-migrate-home -u username

Abmelden des Adminaccounts und unmittelbares Anmelden mit dem Useraccount.

Es folgt eine Sicherung des Passphrase mit

ecryptfs-unwrap-passphrase

Beispielausgabe: 9e625336d61fac8c3a65a1c2931842egc

Zudem wird die Profilsicherungsdatei /home/username.q8KRCTBc wie empfohlen gelöscht.

Wenn der User nun sein Loginpasswort für den Desktop verliert, kann der Admin es zwar mit zum Beispiel

sudo passwd user

zurücksetzen, ein Login ist damit für den User jedenfalls nicht mehr möglich.

Wie kann man also in so einem Fall vorgehen?

Herzlichst!

humid_gimmick schrieb:

Wenn der Hauptbenutzer des Computers, dessen Profil mit ecryptfs verschlüsselt wurde, sein Passwort verloren hat, ist es möglich, dies als Admin neu zu setzen

Wenn der Admin das verlorene Passwort kennt, natürlich – dann ist aber die Verschlüsselung sowieso unsinnig.

In allen andern Fällen: Nein.

Lesestoff: Archiv/ecryptfs

Gemeint ist wohl, ob der root das Passwort zurücksetzen kann wie bei den normalen Useraccounts.

Und die Antwort ist wie schon gesagt: nein. Bei einer Verschlüsselung werden die Daten mit den "Passwort" verschlüsselt abgelegt und lassen sich auch nur damit (bzw mit allen anderen vergebenen Passwörtern, je nach System können das mehrere sein) wieder öffnen. Ohne gültigen Schlüssel - keine Chance. Das ist ja der Witz daran.

Danke für eure Rückmeldungen. Jetzt habe ich verstanden.

Zusatzfrage: Der reguläre User wurde mit Passwort "abcdefg" angelegt und damit wurde auch die Profilverschlüsselung erstellt und die Passphrase gesichert. Wenn der User nun das Passwort über die Desktop-GUI ändert (Kontodetails) auf "123456", welche Auswirkungen hat dies auf die Profilverschlüsselung?

Ein Login ist auf diese Weise weiterhin möglich und alle Dateien zugreifbar, nur müsste dann eine neue Passphrase erzeugt werden mit "ecryptfs-unwrap-passphrase", weil der alte Output ungültig wäre?

Mit dieser Passphrase kann man bei einem korrupten verschlüsselten Profil noch etwas retten.

humid_gimmick schrieb:

Wenn der User nun das Passwort über die Desktop-GUI ändert (Kontodetails) auf "123456", welche Auswirkungen hat dies auf die Profilverschlüsselung?

Das ist das genaue Gegenteil zu „User hat Passwort vergessen“. Wenn er sich mit seinem vorhandenen Passwort an der grafischen Oberfläche anmelden kann, dann darf er selbst sein Passwort auch ändern. Steht auch in der verlinkten, archivierten Artikelserie (Ja, viel Text, aber Einarbeiten sollte schon sein, wenn es um wichtige Daten geht).

Welche Auswirkung hat das? Aus Nutzersicht kaum eine; Das Passwort ist halt anders. Technisch bleiben die Daten mit der Passphrase verschlüsselt, aber die Verschlüsselung wird mit dem neuen Passwort „gesalzen“ (salted password).

Nur eine Änderung des Passwortes von außen, sprich durch den Administrator, ist nicht vorgesehen, weil dies – wie vom Vorredner bereits benannt – der Idee der Verschlüsselung widerspricht.