Falha ao desembrulhar a senha e inserir no chaveiro da sessão do usuário

15

Após digitar a senha correta no comando ecryptfs-mount-private , estou recebendo este erro:

torben@torben-nettop:~$ sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/media/0f417b42-11a0-4539-9cae-e11ce3b289c3/home/.ecryptfs/
  torben/.Private].
Try to recover this directory? [Y/n]: y
INFO: Enter your LOGIN passphrase...
Passphrase: 
Error: Unwrapping passphrase and inserting into the user session keyring
  failed [-5]
Info: Check the system log for more information from libecryptfs
torben@torben-nettop:~$ 

O Syslog possui esta informação:

ecryptfs-insert-wrapped-passphrase-into-keyring:  
  Incorrect wrapping key for file [/home/torben/.ecryptfs/wrapped-passphrase]  
ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap
  passphrase from file [/home/torben/.ecryptfs/wrapped-passphrase]; rc = [-5]

-> Como tenho certeza absoluta de que estou inserindo a senha correta, o que posso fazer para corrigir esse problema e poder ler a pasta inicial criptografada?

Alguns antecedentes:

  • Instalei o Ubuntu 11.04 em uma nova unidade e quero copiar minha pasta pessoal da unidade antiga, que é criptografada (eu tenho a senha).
  • Com a ajuda de Marco Ceppi no chat , segui estas etapas precisas ontem e obtive acesso com êxito à pasta inicial criptografada. Isso prova que minha senha funciona de fato.
  • Em seguida, iniciei a máquina copiando da antiga pasta inicial criptografada para a nova pasta inicial não criptografada e fui para a cama. Quando voltei ao computador, vi que ele havia se suspendido :( e não havia terminado de copiar a pasta.
  • Reiniciei o computador, removi as pastas temporárias / de recuperação e segui exatamente as mesmas etapas novamente, mas foi quando encontrei o erro fornecido acima. Eu tentei isso várias vezes; sempre o mesmo resultado. Estou absolutamente certo de que estou digitando a senha correta.
Torben Gundtofte-Bruun
fonte
Não estou familiarizado com esta área - portanto, o comentário não é uma resposta - você tentou as etapas de "1awsomeguy" nesta postagem vinculada? ubuntuforums.org/archive/index.php/t-1471961.html
fossfreedom
Essa postagem no fórum se refere a instruções que não são mais válidas. A página de instruções declara claramente o uso de uma ferramenta mais recente , que é o que tentei usar na pergunta acima. A única diferença é que não estou inicializando em um "LiveCD" USB, mas executando-o localmente, porque a pasta criptografada em questão não é local, mas em um disco externo.
Torben Gundtofte-Bruun 12/09
Possivelmente uma maneira rápida - você tentou entrar em contato diretamente com o desenvolvedor do ecryptfs? Aqui estão seus contatos: launchpad.net/~kirkland Ele parece amigável. Enviar a ele o link para esta pergunta pode deixá-lo curioso, pois é muito específico e ainda sem resposta.
Strapakowsky 16/09
@strapa - boa ideia! Enviei uma pergunta no Launchpad, mas omiti esta página da web. Isso pode funcionar!
Torben Gundtofte-Bruun
1
Aparentemente, ninguém sabe o que essa mensagem de erro significa ... que desperdício infrutífero do meu representante! : '- (
Torben Gundtofte-Bruun 18/09/11

Respostas:

13

Atualizada : 19 de junho de 2018

Sumário

Recentemente, eu estava recebendo um erro semelhante ao tentar descriptografar alguns dados de uma unidade externa. Sempre que a mensagem de erro era de uma senha inválida, eu posso duplicá-la o dia inteiro. Em vez de usar ecryptfs-recover-private, eu estava usando a senha do ecryptfs-desembrulhar , que acho que é para dados específicos, embora não tenha vontade de procurar a diferença.

Nota: Este não é um guia de copiar / colar, é mais um registro do meu sucesso.

Desembrulhando a senha

Você precisará encontrar seu wrapped-passphrasearquivo. Se você não tem certeza de onde é, pode usar find. Depois de montar seu volume, você pode:

sudo find /media -name wrapped-passphrase

Você deseja substituir o caminho que retorna aos meus caminhos listados abaixo.

Meus passos depois de montar a unidade antiga.

cd /media/_UUID_/.ecryptfs/paulj/.encryptfs
ecryptfs-unwrap-passphrase ./wrapped-passphrase
Passphrase:

Ele sempre solicitará uma senha, essa é a senha inicialmente configurada quando você criou o diretório inicial criptografado ao instalar o Ubuntu. Na configuração, é altamente recomendável que você use uma senha diferente da sua senha de login ... se você estiver tentando sua senha de login pela última hora e falhando, tente algumas diferentes .. tente aquela senha que você raramente usa.

Eu tinha esquecido o que era meu, tentei todas as minhas senhas super impressionantes e continuei recebendo esta mensagem de erro:

Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

Depois de pesquisar no google por cerca de uma hora, imaginei que tentaria uma senha que sabia ser ruim, então coloquei a senha no prompt da senha .

O seguinte foi cuspido:

116b053e08564b53b2967e64e509bdc5

Executei novamente a senha ecryptfs-desembrulhe-senha e tentei uma senha diferente e recebi a mesma mensagem de erro -5 listada acima. Acontece que eu realmente havia definido a senha como senha , provavelmente devido às minhas frustrações com a descriptografia de dados no ubuntu no passado.

Adicionar frase secreta à codificação

Adicionando a senha a ecryptfs-add-passphrase, use a senha gerada na etapa anterior.

sudo ecryptfs-add-passphrase --fnek
Passphrase: 116b053e08564b53b2967e64e509bdc5

Saídas:

Inserted auth tok with sig [b69fed2a22932ba4] into the user session keyring
Inserted auth tok with sig [8aad0fb4482edab3] into the user session keyring

Montar ou recuperar

Neste ponto, você tem duas opções, sugiro tentar montar, se não conseguir montar, tente se recuperar.

Montagem da unidade

É fácil pensar no .Privatediretório como um volume desmontado.

Novamente aqui, você precisará especificar seus próprios diretórios.

sudo mkdir -p /home/paulj/Private
sudo mount -t ecryptfs /media/_UUID_/.ecryptfs/paulj/.Private /home/paulj/Private

Passphrase: 116b053e08564b53b2967e64e509bdc5
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (loaded)
 2) blowfish: blocksize = 16; min keysize = 16; max keysize = 56 (not loaded)
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded)
 4) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
 5) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded)
Selection [aes]: aes

Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 16

Enable plaintext passthrough (y/n) [n]: n

Enable filename encryption (y/n) [n]: y <-- If your filenames display oddly, toggle this to y or n.

{this is the second value from Inserted auth tok...}
Filename Encryption Key (FNEK) Signature: 8aad0fb4482edab3

Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=8aad0fb4482edab3
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=b69fed2a22932ba4
Mounted eCryptfs

Felizmente, quando você criou a unidade criptografada inicialmente, não mexeu com os bytes de código ou chave.

Mostra todos os dados no meu diretório pessoal antigo.

cd /home/paulj/Private
ls -la

Nota: Nesse momento, se você receber conjuntos de permissões / proprietários / grupos inválidos, deseja desmontar a unidade e pular para a seção Recuperar.

Se você obtiver um bom conjunto de permissões, copie esse lixo da unidade criptografada para a área de trabalho, por exemplo.

mkdir ~/Desktop/Backup
cp -Rv ./* ~/Desktop/Backup

Recuperar

Descobri que não conseguia montar meus ecryptfs com sucesso. lsestava exibindo configurações inválidas de permissão / proprietário / grupo. Parecia algo como o seguinte:

total ??
d????-??-?  ?? ??      ??      ??   ??            .
d????-??-?   6 root    root    4.0K Jun 19 11:42  ..
d???------  ?? ??      ??      ??   ??            .aptitude
d????-??-?  ?? ??      ??      ??   ??            .autoenv
-??-?--?--  ?? ??      ??      ??   ??            .autoenv_authorized
d????-??-?  ?? ??      ??      ??   ??            .aws
-??-?--?--  ?? ??      ??      ??   ??            .bash_aliases
-??-------  ?? ??      ??      ??   ??            .bash_history
-??-?--?--  ?? ??      ??      ??   ??            .bash_logout
-??-?--?--  ?? ??      ??      ??   ??            .bashrc
d????-??-?  ?? ??      ??      ??   ??            bin
d????-??-?  ?? ??      ??      ??   ??            .cache
d????-??-?  ?? ??      ??      ??   ??            code
d????-??-?  ?? ??      ??      ??   ??            .config

Não sei por que acabei tendo problemas com o uso mount, então comecei a brincar ecryptfs-recover-privatee tive alguma sorte.

Novamente, você terá que usar sua própria senha gerada a partir de cima. Observe que usei o --rwcomutador aqui para fazer a montagem de leitura / gravação; se você omitir o comutador, ele montará somente leitura.

sudo ecryptfs-recover-private --rw /media/_UUID_/.ecryptfs/paulj/.Private

INFO: Found [/media/_UUID_/.ecryptfs/paulj/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: 116b053e08564b53b2967e64e509bdc5
Inserted auth tok with sig [b69fed2a22932ba4] into the user session keyring
INFO: Success!  Private data mounted at [/tmp/ecryptfs.idv9OohY].

O tmpcaminho que ele exibe conterá sua montagem criptografada.

ls -la /tmp/ecryptfs.idv9OohY

Isso deve mostrar seu caminho completo com conjuntos de permissões adequados. Agora copie-o em algum lugar.

mkdir ~/Desktop/Recovered
sudo cp -Rv /tmp/ecryptfs.idv9OohY ~/Desktop/Recovered

Em Fechamento

BOA SORTE!!

Você deve poder usar isso para qualquer variante do Ubuntu, por exemplo, eu o usei dentro e entre o Ubuntu, o Mint e o Lubuntu.

Se você está apenas encontrando esse segmento, a menos que tenha usado especificamente a senha como sua senha, esses valores hexadecimais não funcionarão.

Paul J
fonte
3
Aceitarei esta resposta porque ela parece conter a solução exata. Minha senha não era realmente "senha", portanto minhas chaves seriam diferentes. Infelizmente, a unidade já foi formatada porque desisti de procurar uma solução, por isso não tem mais relevância para mim. E eu aprendi a não criptografar meu drive casa sem razão :-)
Torben Gundtofte-Bruun
2
@paulj Você ganhou o distintivo Ass Saviour.
Robertodecurnex
1
@robertodecurnex - Feliz em ajudar, eu desisti completamente do Ubuntu, devido a isso constantemente me ferrando de alguma maneira. Eu adiro ao Mint Desktop e às vezes ao servidor CENTOS.
Paul J
1
Corri para a mesma situação e consegui montá-lo depois de adicionar a senha, mas agora consigo ver apenas os arquivos ECRYPTFS_FNEK_ENCRYPTED .... Existe alguma maneira de obter arquivos não criptografados?
Roman Newaza
1
@paulj Obrigado! Essas etapas funcionaram precisamente para mim, embora minha situação fosse diferente (eu acho). Eu tinha um criptografado /homeem um Linux Mint e usei um stick usb ao vivo Debian para fazer o que você sugeriu. Eu já havia encontrado respostas semelhantes em outros lugares, mas sempre acabava com um erro estranho no final. A única coisa diferente que você faz é sudo mkdir -p /home/paulj/Private. Agora eu sei que o erro estava relacionado às permissões de alguma forma.
marcelocra
4

Esta é uma tentativa de corrigir isso sozinho:

  1. Dustin Kirkland escreveu em 2008 :

    [...] você está tentando desembrulhar a senha da montagem com a senha de login incorreta. Você pode tentar sua senha atual e sua nova senha ou qualquer outra que possa ter usado. Quando você pode desembrulhar sua senha de montagem com êxito, poderá executar a montagem.

  2. O nome de usuário e a senha de login do novo sistema são idênticos aos do sistema antigo. Eu ter escrito a senha e eu sei que é correto (ver a prova na minha pergunta).

  3. Vale a pena verificar esse problema semelhante: Tentando montar uma casa criptografada antiga

  4. Além disso, algo no novo sistema pode não estar funcionando corretamente. Para descartar isso, inicialize em um LiveCD e tente a partir daí.

... para ser atualizado à medida que avanças!

Torben Gundtofte-Bruun
fonte
0

Caso a senha não funcione (o que aconteceu comigo, embora eu não a tenha alterado), o uso da senha de backup para acessar me ajudou. Apenas respondi não se sabia minha senha e digitei o número hexadecimal de 32 caracteres que recebi e escrevi na inicialização inicial.

Às vezes, isso pode ser mais fácil do que adivinhar.

Hóspede
fonte
0

Se puder ser de alguma ajuda, enquanto eu estava enfrentando um problema semelhante (código -5durante a descriptografia do diretório inicial), descobri alguns arquivos sob .ecryptfse.Private não eram de minha conta de usuário, mas sim de root.

Isso aconteceu porque eu corri ecryptfs-rewrap-passphrase como root e, como tal, bloqueava arquivos importantes da minha própria conta.

Portanto, quando eu corria ecryptfs-mount-privatecom minha conta de usuário, ela falhava, pois a leitura e a gravação em alguns arquivos (a saber .ecryptfs/wrapped-passphrase) eram negadas.

Eu resolvi meu caso executando sudo chown -R USER:USER /home/USER/.ecryptfs /home/USER/.Private. Substitua USERpelo nome da sua conta real. YMMV

Dreadlockyx
fonte