安全地還原ecryptfs加密備份

Question

我正在使用ecryptfs將Ubuntu盒子的全部內容備份到外部硬盤驅動器機箱中。 我已按照本指南進行操作，並根據需要正確備份和加密了內容。

在我必須實際使用加密備份之前，一切都很好，這讓我感到奇怪。 如果我丟失了整個主硬盤驅動器，我應該可以訪問哪些文件/信息來解密備份？ 除了用於設置初始加密的選項之外，這些是我唯一需要的兩件事嗎？

• 密碼短語
• 信號鍵

Answer 1

對於備份，您可能只需要記住密碼短語和用於設置加密文件夾的選項，因此鏈接的示例頁面中的所有內容：

要再次查看文件，只需使用ecryptfs文件系統掛載目錄。

 # mount -t ecryptfs /home/sk/unixmen/ /home/sk/unixmen/ Select key type to use for newly created files: 1) tspi 2) passphrase Selection: 2 <---- Type 2 and press enter Passphrase: <---- Enter the passphrase Select cipher: 1) aes: blocksize = 16; min keysize = 16; max keysize = 32 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16 Selection [aes]: <---- Press Enter Select key bytes: 1) 16 2) 32 3) 24 Selection [16]: <---- Press Enter Enable plaintext passthrough (y/n) [n]: <---- Press Enter Enable filename encryption (y/n) [n]: <---- Press Enter Attempting to mount with the following options: ecryptfs_unlink_sigs ecryptfs_key_bytes=16 ecryptfs_cipher=aes ecryptfs_sig=5c116acdf1d0dd89 Mounted eCryptfs 

ecryptfs_sig是從密碼短語派生的，因此實際上只是為了驗證您是否輸入了正確的密碼短語，對於mount命令而言，它並不是必不可少的。

我不能說我喜歡自動安裝部分的“在此文件中添加密碼”部分，因為密碼以純文本形式存在會降低安全性。 您的系統可以使用eCryptFS＆PAM在登錄時自動安裝加密的文件夾，並使用登錄密碼“包裝” /加密eCryptFS密鑰。 有關工具，請參見man ecryptfs及其手冊頁，例如ecryptfs-setup-private

Answer 2

經過上述幾個小時的努力，我找到了一個更好的解決方案。

sudo ecryptfs-recover-private

它非常易於使用，只需運行它，它將找到您的舊私有目錄，然后為您將其安裝在/tmp中。

從手冊頁：

ecryptfs-recover-private-查找並掛載任何加密的私有目錄

該實用程序旨在幫助eCryptfs從其加密的主分區或加密的專用分區中恢復數據。 從LiveISO或恢復映像運行此命令很有用。 它必須在sudo（8）或具有root權限下運行，以便搜索文件系統並執行掛載。