Использование зашифрованных домашних каталогов ecryptfs с Dovecot
Я установил шифрование домашнего каталога на машине с Ubuntu 10.04, но ecryptfs кажется, не в состоянии работать с Dovecot (или же CourierIMAP, так далее).
После успешного входа в систему IMAP домашний каталог никогда не монтируется, и Dovecot, очевидно, не может найти почтовый каталог.
Я не уверен, что понимаю, как запускается монтирование, поэтому мне нужна помощь.
Dovecot использует PAM, поэтому я надеялся, что после успешного входа в систему домашний каталог будет смонтирован, но это все, что я получаю в журналах, а каталог не монтируется:
Jan 16 02:12:37 ubuntu dovecot-auth: pam_sm_authenticate: Called
Jan 16 02:12:37 ubuntu dovecot-auth: pam_sm_authenticate: username = [username]
Jan 16 02:12:37 ubuntu dovecot-auth: Passphrase file wrapped
Jan 16 02:12:38 ubuntu dovecot-auth: Error attempting to add filename encryption key to user session keyring; rc = [1]
Jan 16 02:12:38 ubuntu dovecot: imap-login: Login: user=<username>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Если я создаю сеанс SSH и затем выполняю вход в систему IMAP, это работает (очевидно), но я получаю это:
Jan 16 02:30:25 ubuntu dovecot-auth: pam_sm_authenticate: Called
Jan 16 02:30:25 ubuntu dovecot-auth: pam_sm_authenticate: username = [username]
Jan 16 02:30:25 ubuntu dovecot-auth: pam_sm_authenticate: /home/username is already mounted
Итак, похоже, Dovecot (хорошо, модуль PAM, я думаю) пытается смонтировать домашний каталог, но он либо монтирует и отключает его немедленно, либо происходит что-то еще - и я не могу понять эту часть.
Я также пытался использовать файл PAM SSHD для Dovecot, но на самом деле ничего не изменилось, за исключением того факта, что я не получаю сообщение об ошибке ("Ошибка при попытке добавить ключ шифрования имени файла в пользовательский сеанс keyring...").
На странице Dovecot сообщества Ubuntu ( https://help.ubuntu.com/community/Dovecot) есть параграф, который гласит:
ПРИМЕЧАНИЕ: Dovecot НЕ будет работать в зашифрованном каталоге / папке. Dovecot будет просто жаловаться на разрешения и не будет работать. Один из ответов - создать учетную запись второго пользователя с незашифрованным домашним каталогом. Мы не тестировали это решение на отдельном домашнем разделе, но, скорее всего, результат будет таким же.
Однако я не уверен, является ли это окончательным ответом (и я не понимаю, что они имеют в виду, имея вторую учетную запись пользователя).
Буду признателен, если кто-нибудь скажет мне, если это возможно использовать Dovecot (с почтовым каталогом внутри домашнего каталога пользователя) с ecryptfs,
Я видел этот вопрос (и позаимствовал у него некоторые формулировки:) на Launchpad's ecryptfs страница вопросов (но ответа на нее нет), поэтому кажется, что я не единственный, у кого проблема.
Благодарю.
2 ответа
Проблема в том, что pam_ecryptfs перехватывает и использует вашу пароль для дешифрования ~/.ecryptfs/wrapped-passphraseи выполните монтирование вашего домашнего каталога.
К сожалению, неинтерактивный сеанс pam dovecot, который вы описываете, на самом деле никогда не зацепит вашу пароль, поэтому он не может выполнить монтирование. Сожалею.
Я никогда не настраивал это сам. Кажется, ваша ошибка указывает на то, что Dovecot открывает сеанс PAM, а затем немедленно закрывает его. Не могли бы вы опубликовать соответствующие отрывки из вашей конфигурации Dovecot, а также /etc/pam.d/dovecot?
Я также пытался использовать PAM-файл SSHD для Dovecot, но ничего не изменилось, за исключением того, что я не получаю сообщение об ошибке ("Ошибка при попытке добавить ключ шифрования имени файла в цепочку ключей сеанса пользователя...").
Вы получаете сообщение об ошибке в этом случае? Включена ли отладка PAM в вашей конфигурации Dovecot? Если нет, используйте следующее:
passdb pam {
args = failure_show_msg=yes
}
Вот несколько элементов, которые я бы проверил:
- Вы проходите
session=yesв PAM? Вы не должны в этом случае. - Кэширование поиска отключено в Dovecot?
- Если вы используете Dovecot < 1.1, убедитесь, что вы используете не разветвленный поиск