web-dev-qa-db-ja.com

Ubuntuから移動し、私の(暗号化された)データにアクセスできるか心配

しばらくUbuntuを使用した後、Fedoraに戻ることにしました。ありがたいことに、11.04にアップグレードしたばかりなので、暗号化についての警告が頭に浮かびましたが、Fedoraをインストールするとデータにアクセスできなくなるのではないかと心配になりました。

Fedora 15のライブCDを試しましたが、Ubuntuインストールのホームディレクトリにアクセスできません。生成された暗号化キーをメモしましたが、すぐに書き留めたので、疑問に思います。

  1. 暗号化キーをもう一度表示して、正しく書き留めたことを確認する方法はありますか?

  2. 暗号化キーを持っている場合、Fedoraから復号化できますか、それともUbuntuインストールに関連付けられていますか?

  3. Fedoraをインストールする前にホームフォルダを復号化する方法はありますか?これは問題ではありませんか?

  4. Ubuntuの暗号化プロセスは私のホームフォルダ以外のものを暗号化しますか? (バックアップを忘れそうなものはありますか?!)

  5. (誰かが以前にこのプロセスの経験がありますか?それはどのように進みましたか?)


もちろん、ホームフォルダのバックアップを取ります。この質問は少し無意味だと思われるかもしれませんが、今後の参考のために、また巻き込まれないようにしたいと思います。厄介な驚きがあります。

ご協力いただきありがとうございます。

7
tjm

参照している暗号化が、インストール時に指定されたUbuntuの「ホームフォルダーを自動的に暗号化する」オプションであり、LUKSなどのフルパーティション暗号化ではないと仮定します。

  1. ターミナルでコマンド「ecryptfs-unwrap-passphrase」を実行し、プロンプトが表示されたらパスワードを入力すると、ラップされていない暗号化キーが表示されます。これは、最初のログイン時に自動的に表示されるものと同じである必要があります。

  2. 理論的には(そしてセキュリティの観点から)、復号化を実行するために必要なのはキーだけですが、私が知る限り、ホームディレクトリを自動的に復号化するために使用されるスクリプトとマウントヘルパーはUbuntuでのみ使用されます。その結果、Fedoraを別のユーザー/ホームディレクトリにインストールしてから、手動のecryptfs mountコマンドを使用して、暗号化されたUbuntuディレクトリにアクセスする必要がある場合があります(同じホームディレクトリを再利用して、作業)。

  3. ホームディレクトリを「インプレース」で復号化する簡単な方法はおそらくありませんが、十分なハードディスク容量がある場合は、復号化されたコンテンツを/ var/tmpのtarアーカイブにバックアップできます(ログイン中)。 (たとえば)、起動して実行したら、このアーカイブを新しいFedoraホームディレクトリに抽出します。

  4. 私はそうは思わない、暗号化はログイン時にEcryptFSを使用してマウントされたホームディレクトリにのみ適用されます。

  5. 私はこれを自分で行ったことがありません(ホームディレクトリの暗号化は私にとって「キラー機能」のようなものであり、別のディストリビューションに切り替えない主な理由です)が、これを行う必要がある場合は、おそらく「新しいディストリビューションからecryptfsmountコマンドを手動で使用するのではなく、項目3で説明した「tarを使用したバックアップ」アプローチ。

2
user89061

Ubuntuはホームディレクトリのみを暗号化し、他には何も暗号化しません。ホームディレクトリは、アカウントにアクセスするまで暗号化されたままになり、その後、ホームディレクトリに透過的にマッピングされます(その場で暗号化/復号化されます)。最も簡単な方法は、ログインしてホームディレクトリの内容を他のディレクトリにコピーすることです。これにより、内容が自動的に復号化されます。

すべての仕組み

Encfsは、/ home/testuser内に作成するすべてのファイル/フォルダーに対して、/ home/.encfs/testuser内に暗号化されたファイル/フォルダーを作成します。暗号化されたフォルダが「マウント」されると、ファイルはその場で復号化され、マウントポイント(/ home/testuser)でアクセスできます。

Pam_encfsをそのまま設定すると、ユーザーがログインしようとするたびに、アカウントのパスワードを使用して「encfs/home/.enc/$ USERNAME/home/$ USERNAME」を実行しようとします。暗号化を設定していないユーザーの場合、これは単に失敗し、すべてが通常と同じです。設定したユーザーの場合、空の/ home/$ USERNAMEフォルダーは、復号化されたファイルとフォルダーへのアクセスを突然提供します。わーい!

Pam.d/common-auth設定は、ログインが完了する前にpam_encfs.soが実行を試みることを意味します。 use_first_pass行は、pam_encfs.soが失敗した場合でも、このモジュールが新しいパスワードの入力を求めずに、入力された最初のパスワードの使用を試みることを意味します。これは、暗号化されたフォルダーを持たないユーザーがパスワードの入力を2回求められないようにするために必要です。

ソース: https://wiki.ubuntu.com/EncryptedHomeFolder

1
DrNoone

私はあなたの正確な状況を経験していませんが、あなたの心を和らげるのに役立つと思ういくつかの一般的な情報を提供したいと思います。

Linuxには多くのディストリビューションがありますが、ほとんどの場合、それらはすべてまったく同じ基盤テクノロジーを使用しています。確かに可能性ありあるディストリビューションには、他のディストリビューションにはない特別なサポートが付属している可能性がありますが、これはまれであり、通常、非常に特殊なケースのLinuxディストリビューションでのみ発生します。これは、一般的に、多額の費用がかかるサードパーティの商用ソフトウェアのみがLinuxに「追加」バンドルされているためです。それ以外はすべて無料なので、すべてのディストリビューションが同じコア機能を提供します。

これが、「私のXYZモデムはFedoraで動作しますか?」のような質問がする理由です。または「私のABCビデオカードはUbuntuで動作しますか?」または「FOOワイヤレスネットワークカードをCentOSで使用できますか?」 「Linuxで動作しますか?」以外は、一般的に役立つ質問ではありません。

ハードウェアドライバーは、すべてカーネルの一部であり、すべてのLinuxディストリビューションが同じカーネルを使用するため、概してLinuxディストリビューション間で同一です。

(誰かが私にひっくり返る前に、異なるディストリビューションが異なるカーネルで出荷されることに気付きましたバージョン、そして時々ハードウェアサポートがそれらの間で異なります。また、いくつかのディストリビューションがベータ、不安定、または私の説明に必ずしもうまく収まらないユーザースペースドライバー。しかし、ほとんどの場合、これは非常にまれにしか発生しません。特に、誰もが実際に使用するハードウェアの場合はそうです。)

暗号化されたファイルシステムを含むファイルシステムは、同じカテゴリに分類されます。すべてのディストリビューションには同じオプションが付属しています。 (これは、暗号化されたファイルシステムのサポートが新しく非公式だった10年前には必ずしも当てはまりませんでしたが、今日ではほとんど問題になりません。)

つまり、私が言おうとしているのは... Linuxディストリビューションでファイルシステムを暗号化すると、他の(現在の)ディストリビューションでも問題なく読み取ることができるはずです。

編集:

「XYZはFedora/Ubuntu/CentOSで機能しますか」という質問は、「XYZは私のDell/HP/ToshibaのWindows7で機能しますか」とよく似ています。コアOSはすべての場合で同じです。

1
Flimzy

これは将来、他の人に役立つかもしれません。

Ubuntuのインストール後にホームフォルダーの暗号化を無効にする方法:

http://www.howtogeek.com/116179/how-to-disable-home-folder-encryption-after-installing-ubuntu/

1
Risto