Последнее изменение файла: 2009.03.03
Скопировано с www.bog.pp.ru: 2024.11.21

Bog BOS: eCryptfs - шифрованные файловые системы в Linux

eCryptfs - подсистема, обеспечивающая работу с шифрованными файловыми системами в Linux. Состоит из модуля ядра ecryptfs (в ядрах версии 2.6.19 и выше) и пакета ecryptfs-utils (ecryptfs-utils и ecryptfs-utils-devel версии 61-0.fc10). Требуются библиотеки и утилиты для пользователей (пакеты keyutils-libs-1.2-3.fc9, keyutils-1.2-3.fc9) и библиотека libgcrypt (входит в пакет glibc). Шифрование производится пофайлово, так что зашифрованные файлы можно перемещать. Лицензия - GPLv2. Начальное использование в Red Hat - Fedora 9.

Модуль ecryptfs. Параметры:

• ecryptfs_verbosity 0|1
• ecryptfs_message_buf_len штук
• ecryptfs_message_wait_timeout секунд (сколько ждать ответа от пользовательской программы)
• ecryptfs_number_of_users штук (ожидаемое число одновременных пользователей)

Тянет trousers (реализация стека TSS - Trusted Computing Group's Software Stack, поддержка TPM).

Монтирование и использование зашифрованного раздела:
mount -t ecryptfs /root/crypt /mnt/crypt
запрос парольной фразы
echo test > /mnt/crypt/test.txt

Утилита request-key вызывается ядром при отсутствии ключа. Не предназначена для вызова людьми. Ошибки записываются в syslog. Параметры передаются позиционно в командной строке:

1. операция (create, negate)
2. ключ
3. uid
4. gid
5. threadring?
6. processring?
7. sessionring?
8. дополнительная информация

Будучи вызванной ядром программа request-key использует файл /etc/request-key.conf для определения дальнейших действий, просматривая его строка за строкой в поисках первого соответствия входных параметров.

Утилита keyctl позволяет настраивать различные параметры системы управления ключами в ядре. Примеры:

• keyctl clear @u # сбросить ключи сессии

• сайт разработчиков (переехал)
• сайт keyutils
• документация Fedora
• anaconda и kickstart