ryfsには、ファイルシステムをマウントするにはパスワード/パスワードフレーズエントリが必要です。
起動時にファイルシステムを自動的にマウントしたいと思います(たとえば、rc.local内でスクリプトを呼び出すなど)。
(マウントする暗号化されたファイルシステムはすでに存在します。)
パスワードをハッシュとして提供できますか?
起動スクリプトにプレーンテキストとして保存したくありません。
この問題を克服する方法についてのアイデアはありますか?
よろしくお願いします!
Linuxシステム...
答え1
ここにデッドスペースがあるので申し訳ありません。しかし、私がこのプロジェクトを始めて以来、常にこの答えが最初に出てきました。次の方法を使用して、セキュリティ上のリスクなしにこの問題を解決できました(私が知っている限り、私は専門家ではありません)。もちろん、これは「gnome keyring」を使用し、ユーザーのログインパスワードをマスターキーリングと共有することに依存します。
インストール:
libsecret-tools
とexpect
端末で以下を実行してください。
secret-tool store --label="cryfs" cryfs cryfs
cryfs
パスワードを入力最初のスクリプトを書く(私の場合
cryfs.sh
)#!/usr/bin/expect -f set password [lindex $argv 0]; spawn cryfs ~/Dropbox/cryfs-vault ~/cryfs-source expect "Password: " send "$password\r" expect eof
2番目のスクリプトを書く(
autocryfs.sh
)#!/bin/bash password=$(/usr/bin/secret-tool lookup cryfs cryfs) /path/to/script/cryfs.sh $password
両方のスクリプトを実行可能にします。
chmod +x /path/to/script/scriptname.sh
最後に、起動時に実行するスクリプトを表示します(私の場合は、Linux Mint - システム設定に追加>アプリケーションの実行>追加>カスタムコマンド>名前:Cryfs、Command/path/to/script/autocryfs.sh startup delay: 5
答え2
これが可能であれば、誰でもパスワードを知らなくても、ブートファイルからハッシュを読んだ後にシステムをマウントできます。したがって、ハッシュをプレーンテキストとして保持することは、パスワードをプレーンテキストとして保持するのと同じくらい本質的に安全ではありません。いいえ、できません。
答え3
ハッシュされたパスワードを使用してファイルシステムにアクセスできる場合は、ハッシュされたパスワードを暗号化されていないファイルに保存すると危険です。
文字パスワード、指紋、顔写真、目写真などの認証手順がない場合、暗号化は何の意味もありません。
もう1つの質問は、この認証プロセスを通過した後に自動的にインストールしたいかどうかです。私の考えではこれが可能だと思います。このためにハッシュされたパスワードを保存する必要はありません。
ユーザーパスワードが選択したeCryptfsパスワードと一致すると、eCryptfsが自動的にマウントされます。これを行う方法の詳細については、以下を参照してください。ここ。 GNOMEパスワードを入力すると、ホームディレクトリが自動的にマウントされます。