eCryptfs Passwort ändern

By neffets, 18 Januar, 2013

eCryptfs ist eine feine Sache um das Home-Verzeichnis zu verschlüsseln, oder ganze Ordner (ich bevorzuge Letzteres). Das ist für die darin enthaltenen Dokumente eine gute Absicherung, um z.B. diese verschlüsselten Dateien via Dropbox über mehrere Rechner synchron zu halten. Um das ein wenig transparenter zu machen verschlüsseln viele Betriebssysteme den eigentlichen eCryptfs-Schlüssel mit dem Start-Password der Desktop-Umgebung. Da dies aber nicht die normale User-Datenhaltung benutzt, sondern sich den Hash selber merkt, habe ich mir damit ein anderes Sicherheitsproblem eingehandelt.

Wie komme ich an meine eCryptfs-Dateien heran, wenn ich in regelmäßigem Turnus mein eigenes User-Passwort ändere?

Die Lösung ist das Passwort gleichzeitig mit zu ändern. Wichtig wenn das Verzeichnis in Synchronisierung mit Dropbox oder UbunutuOne ist, sollte unbedingt das Ende der Synchronisation abgewartet werden (vorm Ändern, und nach dem Ändern)! Eine wichtige Informationsquelle ist für mich das Ubuntu-Wiki, hier ["Nutzung eCryptfs"](https://wiki.ubuntuusers.de/ecryptfs/Nutzung)
Hier nun die Zusammenfassung als Merkhilfe für mich:

# 1. Backup des Key
> cd ~/.ecryptfs || cd cd /home/.ecryptfs/$USER/.ecryptfs
> cp -f wrapped-passphrase wrapped-passphrase.old
# 2. Passphrase von eCryptfs zur Sicherheit notieren (= Verschlüsselungs-Passwort für eCryptfs selbst)
> ecryptfs-unwrap-passphrase wrapped-passphrase
# 3. OS neues User Passwort setzen
> passwd
# 4. Passphrase mit dem neuen User Passwort "wrappen"
# man braucht 1. die Passphrase aus Punkt (2) und 2. das neue User Passwort
> ecryptfs-wrap-passphrase wrapped-passphrase
# nun nach Sync-Ende aus- und einmounten, oder Rechner neu starten.

Hier noch gleich der Befehl um auch das Passwort für den SSH-Key mit zu ändern, was unter Ubuntu den Vorteil hat, dass man nach der OS Anmeldung das Passwort nicht ein zweites Mal eingeben muss.

> cd ~/.ssh
> ssh-keygen -f id_rsa -p
# wie üblich muss dann 1x das alte Passwort und 2x das neue Passwort eingegeben werden.

 

Bereich