eCryptfs:如果我移除~/.

Question

我正在学习如何使用eCryptfs：https://wiki.archlinux.org/index.php/ECryptfs

我从链接中得到了如下内容：

这用于派生实际的文件加密主密钥。因此，你不应该输入一个自定义的，除非你知道你在做什么-相反，按回车让它自动生成一个安全的随机的。它将使用登录密码进行加密，并以这种加密形式存储在~/..ecryptfs/包装-口令中。稍后，它将在需要时再次在RAM中被自动解密(“解包装”)，因此您不必手动输入它。确保此文件不会丢失，否则您再也无法访问您的加密文件夹！

所以我做了一个简单的测试：

ecryptfs-setup-private
mkdir -p ~/test
mount -t ecryptfs ~/test ~/test
cd ~/test && vim data
umount -t ecryptfs ~/test

现在，我确实得到了一个加密的文件，这意味着~/test/data是不可读的。当然，如果我再装一次，我就能读出来了。

现在，我删除~/..ecryptfs：rm -rf ~/.ecryptfs。然后我尝试挂载它：mount -t ecryptfs ~/test ~/test

令我惊讶的是，我仍然可以挂载它并阅读~/test/data。

现在我糊涂了。我想我可以把~/.encryptfs移动到一些USB中来保护我的秘密数据安全。但是它似乎不起作用，因为即使删除了~/.encryptfs，我仍然可以挂载它。我做错什么了吗？

Answer 1

读取命令页和快速浏览来源以确认这一点表明(除其他外) ecryptfs-setup-private在~/.Private上创建了一个带有加密数据的目录，在~/Private上创建了解密数据的挂载点，并在~/.ecryptfs/wrapped-passphrase上使用登录密码对加密密钥进行加密。这些路径是不可配置的。

您所做的是在~/.Private创建一个带有包装密码的ecryptfs目录，然后使用您的密码直接作为关键(不好的主意)在~/test上创建一个单独的ecryptfs目录。如果要测试包装密码正确工作，则需要使用~/Private目录，而不是尝试创建自己的目录。