linux - ecryptfs - passwd 实用程序如何更新非管理员密码更改的哈希值？

Question

我一直在尝试使用 ecryptfs 通过 ecryptfs-mount-private 和 ecryptfs-umount-private 手动挂载/卸载私有(private)存储>。当我以配置了 ecryptfs 的用户身份登录时(即:用户名是 bob)，它会询问我的 Linux 用户帐户的登录密码，以便安装私有(private)商店。如果我在通过 passwd 命令行实用程序登录系统时更改密码，ecryptfs 需要我的新密码才能安装私有(private)存储。

如果我以 root 用户身份登录(即:sysadmin)并通过 sudo passwd bob 更改 bob 帐户的密码，然后登录 Bob 的帐户，当我使用以 root 身份登录时设置的新密码时，ecryptfs-mount-private 将失败。

我的理解是 ecryptfs 使用用户密码的散列生成另一个散列/ key ，用于“包装”私有(private)存储中的加密文件。但如果是这样的话，为什么当我以实际用户身份登录时更改密码时它“正常工作”，但当我以 root 身份重置密码时却不起作用？

到目前为止，我最好的猜测是可能某些设置被传递给了 passwd 实用程序，这导致它在完成后运行辅助脚本。有谁知道这如何与 ecryptfs 一起使用？

谢谢!

Answer 1

当用户更改自己的密码时，将调用 PAM(here 或 here)以使用新的用户密码重新包装 eCryptfs 密码，这样您就可以在下次登录时解密您的家。

不知何故，我不知道确切的逐行细节，但我想我在 /etc/pam.d/common-password 中发现了可疑行:

password        optional        pam_ecryptfs.so

如果 root 尝试解包 eCryptfs 密码应该会失败，因为它没有您的用户登录密码。 eCryptfs 还明确告诉您在创建加密主页(可能是任何加密的私有(private)文件夹)时备份实际的 eCryptfs 密码，因为如果 eCryptfs 包装的密码文件出现问题，或者您忘记了登录密码，文件将有效丢失。

如果 root 可以随时通过更改您的登录密码来更改您的 eCryptfs 密码，那么除了 root 之外，您将没有真正的安全性。