Apakah mengubah kata sandi akan mengenkripsi ulang direktori rumah saya?

26

Saya perlu mengubah kata sandi pengguna saya. Apakah saya perlu mengambil langkah tambahan untuk direktori home terenkripsi saya menjadi tidak dapat diakses dengan kata sandi lama saya dan hanya dapat diakses dengan kata sandi baru saya?

Septagram
sumber

Jawaban:

38

Tidak perlu mengenkripsi ulang direktori home Anda, dan tidak ada langkah lebih lanjut yang perlu diambil.

Direktori rumah Anda tidak secara langsung dienkripsi dengan kata sandi Anda. Sebaliknya, frasa sandi yang digunakan untuk mengenkripsi direktori home dienkripsi dengan kata sandi Anda sendiri.

Ketika Anda mengubah kata sandi Anda, frasa sandi direktori rumah dienkripsi ulang dengan kata sandi baru Anda, jadi Anda harus terus mengakses file Anda dengan kata sandi baru.

Ini ditangani melalui PAM (Modul Otentikasi Pluggable), jadi harus bekerja dengan alat pengubah kata sandi apa pun. Pengecualian adalah perubahan kata sandi administratif di mana kata sandi asli tidak disediakan. Ini adalah perilaku yang diharapkan: jika administrator dapat mendekripsi file Anda tanpa mengetahui kata sandi Anda maka tidak akan ada perlindungan yang sebenarnya.

Jika Anda melakukan perubahan kata sandi administratif, setelah memasang direktori home Anda dengan

ecryptfs-mount-private

dan kata sandi lama Anda, masalah

ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

untuk mengubah kata sandi buka bungkus agar sesuai dengan yang baru. Dengan cara ini direktori home Anda akan dipasang secara otomatis saat login, seperti dulu.

James Henstridge
sumber
Baik. Juga, akankah passwd dari bash melakukannya dengan benar atau apakah saya perlu menggunakan alat GUI?
Septagram
3
Iya nih. Sistem direktori rumah terenkripsi dihubungkan melalui PAM (Modul Otentikasi Pluggable), sehingga alat apa pun yang menggunakan PAM (seperti passwdalat baris perintah ) harus berfungsi.
James Henstridge
8
Satu catatan lain yang mungkin tidak segera jelas: jika Anda menggunakan semacam reset kata sandi administratif di mana kata sandi asli tidak disediakan, maka tidak akan mungkin untuk mengenkripsi ulang frasa sandi direktori rumah. Dimungkinkan untuk pulih dari situasi ini jika Anda mengetahui kata sandi lama Anda, tetapi itu adalah sesuatu yang perlu diingat.
James Henstridge
Dengan mengedit jawaban Anda, Anda harus menambahkan komentar Anda di sana untuk membuatnya hebat.
Takkat
Jika Anda melakukan perubahan kata sandi administratif, setelah memasang direktori home dengan ecryptfs-mount-privatedan kata sandi lama Anda, masalah ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphraseuntuk mengubah kata sandi yang terbuka untuk mencocokkan dengan yang baru.
zakkak