我试图了解ecryptfs在内部的工作方式，而ecryptfs.org上的文档无济于事。也许有人能够解释它是如何工作的。当然，我知道这些隐藏的.Private / .ecryptfs目录结构。我的问题更详细：

当我登录时，系统如何知道我的房屋已加密并解密？
它如何搜索关键目录（包含加密数据的目录，用于其的挂载点（有时位于主目录，有时为/ home / Private），带有已包装密码的目录等）。这些目录通常放在/home/.ecryptfs/中并链接到home中。钥匙在哪个位置？“ .ecryptfs”和“ .Private”目录名称是保留的，硬编码的还是可配置的？
关于密钥环：假设我的密钥环中有多个密钥-它如何将正确的密钥与某些加密目录匹配？

— 阿达布罗
source

这描述了标准的加密家庭设置。如果要使用其他密码短语或文件夹，加密算法，密钥大小等，则可以mount.ecryptfs直接使用。

当您创建一个带有加密住宅的用户或ecryptfs-migrate-home在现有用户上使用时，它会使用eCryptfs并设置一个目录，该目录/home/.ecryptfs/包含带有新用户“真实住宅”的文件夹，/home/.ecryptfs/user/其中包含：

您在中的实际加密文件/home/.ecryptfs/user/.Private/，以及/home/.ecryptfs/user/.ecryptfs/包含以下内容的eCryptfs配置目录：
- 自动挂载 -如果存在，它会告诉ecryptfs-mount-private您在登录时运行，挂载私有（主）文件夹。看到man ecryptfs-mount-private
- 自动卸载 -如果存在，它会告诉ecryptfs-umount-private您在注销时运行，卸载专用（主）文件夹。看到man ecryptfs-umount-private
- Private.mnt-mount.ecryptfs_private登录时读取的配置文件，定义了应在何处安装加密目录。如果您已经加密了主目录，则该目录将为$HOME。
- Private.sig-包含安装点密码短语的签名。它提供了一个安全，可靠的机制eCryptfs，以确定是否你使用了正确的密钥或没有。（请参阅有关Private.sig和Private.mnt的问题）
- 包装的密码 -实际（随机）的eCryptfs密码，并使用您的登录密码加密（“包装”）

常规主目录/home/user/仅包含指向/home/.ecryptfs/user/.ecryptfs和的链接，以及/home/.ecryptfs/user/.Private指向帮助文件＆的另外两个链接/usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop（仅运行ecryptfs-mount-private）。

eCryptfs设置PAM（请参阅中的文件/etc/pam.d/），以/home/.ecryptfs/根据是否存在auto-mount和auto-umount文件，自动在其中查找加密的主文件夹并在登录/注销时装入和卸载加密的主文件夹。有关更多详细信息，请参见eCryptfs源代码以及.deb包的preinst和postrm脚本（以上链接），以及来自以下位置的剪辑man ecryptfs-setup-private：

将pam_ecryptfs.so模块添加到PAM堆栈中，该模块将自动使用登录密码来解开安装密码，将密码添加到用户的内核密钥环中，并自动执行安装。参见pam_ecryptfs（8）。

这Ubuntu的帮助页面提供了如何的方向“ 自动挂载ecryptfs加密文件系统在启动...使用/root/.ecryptfsrc含安装选项，与居住于一个USB密钥的密码文件一起文件。 ”

解开密钥后，密钥将存储在用户内核密钥环中，您可以使用来查看它keyctl show，因为如果sudo keyctl show管理员使用了根密钥环（），则管理员可以找出密码短语。您可以ecryptfs-unwrap-passphrase用来查看实际的ecryptfs密码短语。eCryptfs使用文件中匹配的密钥签名（ecryptfs选项ecryptfs_sig=(fekek_sig)和ecryptfs_fnek_sig）解密文件Private.sig。

eCryptfs加密主页-说明

更多信息