用户登录时安全地自动挂载加密驱动器

登录时，会自动为我安装一个加密的/ home目录。我还有第二个内置硬盘驱动器，该硬盘驱动器已使用“磁盘工具”进行了格式化和加密。我希望在登录时自动挂载它，就像加密的/ home目录一样。我该怎么做呢？

这里有几个非常相似的问题，但是答案不适用于我的情况。最好在这里关闭/合并我的问题，然后编辑下面的第二个问题，但是我认为它可能已被放弃（因此永远不要标记为已接受）。

此解决方案不是安全的方法，它规避了加密。
这需要进行编辑fstab，这需要在启动时输入其他密码。它不是像安装/ home一样自动的。
这个问题非常相似，但是不适用于加密驱动器。该解决方案无法满足我的需求。
这是一个，但它用于NTFS驱动器，我的是ext4。

如果解决方案需要，我可以重新格式化并重新加密第二个驱动器。我已经将所有数据备份到其他地方。

您不再需要上面的解决方案。

先决条件：

• Ubuntu 14.04 LTS安装
• 加密的主目录（请参阅https://help.ubuntu.com/community/EncryptedHome）
• 登录时希望自动挂载辅助加密驱动器[edit]。

注意：此方法不如手动安装加密驱动器安全。如果某人可以物理访问您的计算机，您不小心使用root密码或计算机具有多个用户/来宾帐户，则此方法不安全；当您注销时，辅助驱动器保持安装状态，但不关闭系统，因此其他用户可以看到其内容。

第1部分：加密辅助驱动器。

1. 在Unity破折号中输入“ disks”，然后按Enter。
2. 在“设备”下方，单击要加密的硬盘。
3. 在“音量”下方，点击齿轮/更多操作按钮。
4. 点击“格式化卷”。对于类型，选择“已加密，与Linux系统兼容”。命名您的驱动器，并给它一个强有力的密码。
5. 点击“格式”

第2部分：在系统启动时自动安装HDD。

1. 保持“磁盘”应用程序打开，然后单击齿轮。
2. 单击“编辑加密选项”。
3. “自动加密选项”将打开，并且下面的菜单为灰色。关闭自动加密选项。
4. 输入格式化磁盘时的密码。点击“确定”。

现在，您有了一个加密的硬盘驱动器，它将在计算机启动时自动安装。

几年前我写这个答案时，这是实施解决方案的最佳方法。我现在建议您使用mount.ecryptfs_private 查看下一个答案。

我也在寻找一种自动挂载第二个eCryptfs卷的方法。以下脚本和配置修改集合将在登录时安全且自动地将卷安装到GUI或CLI。

有一个更好的解决方案正在创建中（尽管我认为在用户登录时尚未准备好自动安装，因为此脚本的保存期限有限。）：

太小的硬盘驱动器上的ecryptfs-如何将链接添加到加密中？

脚本的安全性取决于您的主目录是否已使用eCryptfs加密，以便脚本和带有密码的密码可以解开密码。如果您在登录后用根外壳打开的情况下未锁定计算机，则可以访问密码，但是使用sudo NOPASSWD可以安全地安装分区，而无需输入密码或将密码短语保留在用户可读的文件中。

这些脚本的一个已知缺陷是注销时不会卸载您的第二个卷，因此它特别不适合多用户系统。

我的解决方案由几部分组成，包括两个Shell脚本，一个执行实际的安装，另一个充当包装。

这是包装器脚本，用于验证目录是否已安装，如果尚未安装，则它将使用sudo调用安装脚本：

/ home / johnf / scripts / automount_ecryptfs

#!/bin/bash

MOUNT_POINT=/home/johnf/slow

grep -q $MOUNT_POINT /proc/mounts
if [ $? -eq 1 ]; then
  sudo /home/johnf/scripts/mount_other_ecryptfs
fi

该脚本调用/ home / johnf / scripts / mount_other_ecryptfs，如下所示。

请注意，该脚本假定您已启用文件名加密，如果没有启用，则有必要修改脚本以处理检测（请查看ecryptfs-recover-private），或者可以删除ecryptfs_fnek_sig挂载选项。

以下是/ home / johnf / scripts / mount_other_ecryptfs脚本：

#!/bin/bash

ENCRYPTED_VOLUME=/vol0/.ecryptfs/johnf/.Private/
MOUNT_POINT=/home/johnf/slow
PASSFILE=/home/johnf/scripts/ecryptfs_passphrase
MOUNT_PASSWORD=secret_passphrase
ECRYPTFS_SIG=`head -1 ${ENCRYPTED_VOLUME}//../.ecryptfs/Private.sig`
ECRYPTFS_FNEK_SIG=`tail -1 ${ENCRYPTED_VOLUME}//../.ecryptfs/Private.sig`

printf "%s" $MOUNT_PASSWORD | ecryptfs-insert-wrapped-passphrase-into-keyring ${ENCRYPTED_VOLUME}/../.ecryptfs/wrapped-passphrase
mount -t ecryptfs -o key=passphrase:passfile=${PASSFILE},ecryptfs_sig=${ECRYPTFS_SIG},ecryptfs_fnek_sig=${ECRYPTFS_FNEK_SIG},ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n ${ENCRYPTED_VOLUME} ${MOUNT_POINT}

您还需要创建一个带有密码的文件，该文件将被eCryptfs mount命令使用：

/ home / johnf / scripts / ecryptfs_passphrase：

passwd=secret_passphrase

您需要修改几个文件的权限：

chmod +x /home/johnf/scripts/automount_ecryptfs
sudo chown root:root /home/johnf/scripts/mount_other_ecryptfs /home/johnf/scripts/ecryptfs_passphrase
sudo chmod a=x /home/johnf/scripts/mount_other_ecryptfs
sudo chmod 400 /home/johnf/scripts/ecryptfs_passphrase

在创建脚本之前，您需要创建一个sudoers配置，以允许使用sudo执行安装脚本，而无需输入您的sudo密码。

将以下内容添加到/ etc / sudoers（或/etc/sudoers.d中的文件）。您将要用用户名替换johnf。必须使用安装脚本的绝对路径。

johnf   ALL = NOPASSWD: /home/johnf/scripts/mount_other_ecryptfs

最后一步是在登录时调用automount_ecryptfs脚本。

在Ubuntu Unity（可能还有gnome）上，使用Startup Applications小程序创建一个新的启动程序，该程序调用/ home / johnf / scripts / automount_ecryptfs。

要将登录时自动将第二个eCryptfs卷挂载到bash shell中，您将需要修改〜/ .bashrc文件。添加以下内容：

/home/johnf/scripts/automount_ecryptfs

使用此配置后，您现在应该自动挂载第二个eCryptfs卷。

以@johnf的答案为基础，但改用mount.ecryptfs_private：

• 加密的 /home/bob/使用Ubuntu的常规加密家庭目录魔术进行（例如，在SSD上）。
• 加密/media/hdd/bob_extra/（例如在硬盘上），以挂载到/home/bob/extra。这应该在登录时自动挂载，就像home dir一样。
• 两者使用相同的密钥/凭证。

创造它

mkdir /media/hdd/bob_extra
cp /home/bob/.ecryptfs/Private.sig /home/bob/.ecryptfs/extra.sig
echo "/media/hdd/bob_extra /home/bob/extra ecryptfs none 0 0" > /home/bob/.ecryptfs/extra.conf

测试一下

mount.ecryptfs_private extra

运行mount，您应该看到：

...
/media/hdd/bob_extra on /home/bob/extra type ecryptfs (ecryptfs_check_dev_ruid,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs,ecryptfs_sig=12345678abcdef,ecryptfs_fnek_sig=abcdef12345678)

卸下：

sudo umount /media/hdd/bob_extra

设置自动挂载

创建/home/bob/bin/automount_ecryptfs.extra，如果尚未安装它，它将安装它。

#!/bin/bash

MOUNT_POINT=/home/bob/extra

grep -q $MOUNT_POINT /proc/mounts
if [ $? -eq 1 ]; then
  mount.ecryptfs_private extra
fi

将其设为可执行（chmod +x），然后将其添加到/home/bob/.bashrc：

...
/home/bob/bin/automount_ecryptfs.extra

然后将其也添加到Gnome的启动应用程序中。

在加密的主目录中创建一个脚本~/scripts/mount_storage.sh：

#!/bin/bash

sudo cryptsetup open --type luks UUID=12e26119-0ee2-4eb4-bd40-d8a3547ecf0c storage --key-file ~/keys/storage_keyfile
sudo mount /dev/mapper/storage /storage

添加到“启动应用程序”：

sh ~/scripts/mount_storage.sh

添加到/etc/sudoers：

%sudo   ALL= NOPASSWD: /sbin/cryptsetup open --type luks UUID=12e26119-0ee2-4eb4-bd40-d8a3547ecf0c storage --key-file *
%sudo   ALL= NOPASSWD: /bin/mount /dev/mapper/storage /storage

您需要创建/storage挂载点并在上述脚本中更改UUID（使用查找blkid）。

恐怕这不会成为流行的答案...

在不回避加密本身安全性的情况下，不可能自动安装任何加密分区。

考虑一下“ 自动 ”的含义，并理解为自动意味着他们也将看到您的数据。

请确保执行以下步骤。要求密码短语会阻止其他用户访问该卷，即使该卷已安装也是如此。

1.打开“磁盘”，选择驱动器，然后单击“ LUKS”卷。单击齿轮，然后取消选择“用户会话默认值”。选择“在系统启动时解锁”和“需要其他授权才能解锁”：

2.单击磁盘卷（位于LUKS卷下方）。单击齿轮，然后取消选择“用户会话默认值”。选择“在系统启动时安装”和“在用户界面中显示”：

您也可以选择要求其他身份验证来安装该卷，但在这种情况下，对于有问题的用户，该安装将不会自动进行。