本文根据回忆记述在 Arch Linux 上为某一新用户建立使用 eCryptfs 加密的 $HOME 目录并使之在登录时自动解密挂载的过程。大量参考了 Unknown and partly hidden 的 eCryptfs and $HOME 一文。
依赖的软件包:ecryptfs-utils。
加密目录
# mkdir -p /home/.ecryptfs/user/private
# chmod 755 /home/.ecryptfs
# chmod -R 700 /home/.ecryptfs/user
# chown -R user:user /home/.ecryptfs/user
# ln -s /home/.ecryptfs/user/private /home/user/.private
# chmod 700 /home/user
注意:最后一步原文使用的是500
权限,这里改成了700
。
第一次挂载加密目录:
# mount -t ecryptfs /home/user/.private /home/user
eCryptfs 会询问一些加密的选项,其中 Cypher(加密方法)和 Key byte 可自行选择:
Key type: passphrase
Passphrase: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Cypher: twofish
Key byte: 32
Plaintext passtrough: yes
Filename encryption: yes
Add signature to cache: yes
一定要记住密码,虽然可能并不怎么会用到。
在mount
命令的输出中找到这次挂载使用的参数,经过一些变更,把类似于以下的设置添加到/etc/fstab
中:
/home/user/.private /home/user ecryptfs rw,user,noauto,exec,ecryptfs_sig=XYZ,ecryptfs_cipher=twofish,ecryptfs_key_bytes=32,ecryptfs_passthrough,ecryptfs_fnek_sig=XYZ,ecryptfs_unlink_sigs 0 0
注意:在登录挂载时,noexec
、nosuid
和nodev
将会是默认选项。这里加上exec
选项来覆盖掉noexec
,这样加密的 $HOME 中才支持执行可执行文件。
挂载时生成了/root/.ecryptfs
目录。我们先在里边保存些文件:
# touch /root/.ecryptfs/auto-mount
# ecryptfs-wrap-passphrase /root/.ecryptfs/wrapped-passphrase
Passphrase to wrap: [输入加密口令]
Wrapping passphrase: [输入用户的登录口令]
现在,使用用户的登录口令可以从文件/root/.ecryptfs/wrapped-passphrase
中得到 eCryptfs 的加密口令。即使加密口令很强,如果登录口令弱的话,文件信息还是会泄漏的。所以,得选个强的登录口令,不然就不要玩登录时自动挂载加密 $HOME 了。
或者,你也可以玩点有趣的,把这个wrapped-passphrase
文件放在 U 盘里,只留下一个指向 U 盘里的此文件的软链接。然后配置好 U 盘自动挂载,就做成了个简单的「U 盾」!
好了,现在卸载 $HOME:
# umount /home/user
自动挂载
先把 eCryptfs 的那个在/root
下的目录弄回来:
# mv /root/.ecryptfs /home/.ecryptfs/user
# chown -R user:user /home/.ecryptfs/user/.ecryptfs
# ln -s /home/.ecryptfs/user/.ecryptfs /home/user/.ecryptfs
接下来,创建一个挂载用的脚本,暂时叫它/home/profile.sh
吧。它将被写到用户登录时的自动执行脚本中,如~/.profile
,或者~/.zprofile
,如果你用 Zsh 的话。
if [ -r "$HOME/.ecryptfs/auto-mount" ]; then
grep -qs "$HOME ecryptfs" /proc/mounts
if [ $? -ne 0 ]; then
mv $HOME/.Xauthority /tmp 2>/dev/null
mount -i "$HOME"
cd "$HOME"
mv /tmp/.Xauthority $HOME 2>/dev/null
(
systemctl --user daemon-reload
systemctl --user default
) &
fi
fi
注意到这里加入了对~/.Xauthority
文件的处理,不然从图形界面登录时,执行挂载命令后,会因授权文件不见了而失败。之前把 $HOME 的权限设置成700
也是为了这个。单纯地允许写~/.Xauthority
不行,因为 xauth 需要创建临时文件以防止此文件同时被多个进程修改。
现在,我们需要在用户登录时自动 unwrap 之前创建的那个wrapped-passphrase
文件。在/etc/pam.d/login
中添加几行(注意顺序):
#%PAM-1.0
#...
auth required pam_unix.so nullok
auth required pam_ecryptfs.so unwrap
#...
password required pam_ecryptfs.so
#password required pam_unix.so sha512 shadow use_authtok
#...
好了,我们先手动试试:
# su user
$ ecryptfs-insert-wrapped-passphrase-into-keyring /home/user/.ecryptfs/wrapped-passphrase
Passphrase: [输入用户密码]
$ mount -i /home/user
如果正确挂载的话,接下来就可以开始建设你的新 $HOME 了,比如把你以前的各种文件复制过去,等等。注意不要在加密的目录内进行 BT 下载哦。你可以建立个/home/.ecryptfs/user/public
目录然后软链接到 $HOME 内来使用。
我同时还修改了/etc/pam.d/slim
,似乎这样才能在使用 slim 登录时也有效。
呃,还没有结束呢。得把之前的/home/profile.sh
文件弄进来。这里演示时只是创建了一个新的.profile
文件。如果你已经有了此文件的话,一定不要将其加密,而要将其与此挂载脚本合并。它只能不加密,否则挂载后会出现两个.profile
(一个加密了的,一个未加密、passthrough 来的),从而导致一些问题。
# umount /home/user
# chmod 600 /home/profile.sh
# chown user:user /home/profile.sh
# mv /home/profile.sh /home/.ecryptfs/user/private/.profile
# ln -s /home/.ecryptfs/user/private/.profile /home/user/.profile
好了,到此一切结束。