¿Cómo me vuelvo a agregar al grupo sudo en un disco duro cifrado de 16.04 con políticas de seguridad estrictas?

Conozco los hilos ¿Cómo me vuelvo a agregar como usuario de sudo? , Montaje de la partición LUKS encriptada desde el Live CD , … Este hilo trata sobre cómo agregar un usuario sudo de vuelta sin root y otras estrictas políticas de seguridad en el entorno encriptado: encriptación de medios completos, encriptación de carpetas domésticas y sobrescritura de espacios vacíos , pero conoces la contraseña del cifrado. Aún así, el assembly de un dispositivo cifrado de este tipo no es tan sencillo. Esto no es duplicado!

Todo mi disco está encriptado. Contiene Ubuntu 16.04. Conozco el hilo ¿Cómo me vuelvo a agregar como usuario de sudo? Pero no es para el cifrado de todo el disco. Hice sudo usermod -G staff masi por accidente (opción perdida -a ) y cerré la sesión. Me sacó de todos los demás grupos aparte del staff . Para volver a los valores predeterminados, debería ejecutar

 sudo usermod -a -G adm cdrom sudo dip plugdev lpadmin sambashare masi 

Sin embargo, ya no soy parte del grupo sudo, así que no puedo ejecutarlo. No puede ir a Grub de Ubuntu> Modo de rescate en Grub> Opciones avanzadas porque el cifrado está en todo el disco; ninguna raíz está habilitada; los pasos de cifrado antes / después no se han realizado correctamente; entrada incorrecta al modo de recuperación como se describe aquí ; no Grub start después de la entrada exitosa de la contraseña en el paso de cifrado; no puede cambiar el /etc/default/grub solo lectura /etc/default/grub por lo que no puede agregar GRUB_CMDLINE_LINUX_DEFAULT="quiet splash single" para permitir que Grub funcione. Así que tienes que tener Ubuntu en vivo con ecryptfs-utils schroot .

Persistente Live Ubuntu 16.04 Intento

Crea un Live Ubuntu USB persistente aquí . Hago lo siguiente motivado por las fonts aquí y aquí donde no existe una solución lista

 > sudo apt-get update ... > sudo apt-get install lvm2 cryptsetup ... > sudo modprobe dm-crypt > sudo fdisk -l % find the appropriate disc sudo: unable to resolve host masi-CM6340: Connection refused ... > sudo cryptsetup luksOpen /dev/sda5 myvolume % my case sda5 ie linux, not extended sudo: unable to resolve host masi-CM6340: Connection refused Enter passphrase for /dev/sda5: % which I enter successfully > > sudo mkdir /media/test > % sudo vgscan not needed to activate the sockets > sudo vgchange -ay % will make volumes active sudo: unable to resolve host masi-CM6340: Connection refused 2 logical volume(s) in volume group "ubuntu-vg" now active % created also /dev/mapper/myvolume which can be mounted > > sudo mount /dev/sda5/home /media/test mount: special device /dev/sda5/home does not exist (a path prefix is not a directory) > > % JayEye's 2nd proposal > sudo mount /dev/mapper/myvolume /media/test mount: unknown filesystem type 'LVM2_member' % % chroot to the mounted device, add masi back to sudoers and work done 

Salida de sudo parted -l /dev/mapper/myvolume [JayEye]

 Model: ATA WDC WD64000AAKS-7 (scsi) Disk /dev/sda: 640 GB Sector size (logical/physical): 512B/512B Partition table: msdos Disk Flags: Number Start End Size Type File system Flags 1 1049kB 512MB primary ext2 boot 2 513MB 640GB extended 5 513MB 640GB logical Model: Kingston HyperX Fury 3.0 (scsi) Disk /dev/sdb: 31.5GB Sector size (logical/physical): 512B/512B Partition table: msdos Disk Flags Number Start End Size Type File system Flags 1 27.3MB 30.4GB 30.4GB primary ext4 boot 2 30.4GB 31.5GB 1049MB primary linux-swap(v1) Model: Linux device-mapper (linear) (dm) Disk /dev/mapper/ubuntu--vg-swap_1: 34.3GB Sector size (logical/physical): 512B/512B Partition table: loop Disk Flags: Number Start End Size Type File system Flags 1 0.00B 34.3GB 34.3GB linux-swap(v1) Model: Linux device-mapper (linear) (dm) Disk /dev/mapper/ubuntu--vg-root: 605GB Sector size (logical/physical): 512B/512B Partition table: loop Disk Flags: Number Start End Size Type File system Flags 1 0.00B 605GB 605GB ex4 Error: /dev/mappper/myvolume: unrecognized disk label Model: Linux device-mapper (crypt) (dm) Disk /dev/mapper/myvolume: 640GB Sector size (logical/physical): 512B/512B Partition Table: unknown Disk Flags: 

sudo mount /dev/mapper/myvolume--vg-root /mnt [JayEye] y obtengo

 mount: special device /dev/mapper/myvolume--vg-root does not exist 

sudo mount /dev/mapper/ubuntu--vg-root /mnt [DavidFoester] y obtengo la siguiente salida que aún puede indicar un assembly exitoso

sudo: no se puede resolver el host masi-CM6340: conexión rechazada

que es una advertencia que recibo tres veces antes en el script anterior. vi /mnt/home/masi/README.txt éxito al primer paso del dispositivo cifrado por vi /mnt/home/masi/README.txt

 THIS DIRECTORY HAS BEEN UNMOUNTED TO PROTECT YOUR DATA. From the graphical desktop, click on: "Access Your Private Data" From the command line, run: ecryptfs-mount-private 

donde el archivo Access Your Private Data está en /mnt/home/masi/Access-Your-Private-Data.desktop , pero hacer clic en él no lleva a ninguna salida de GUI (el icono se inicia pero se cierra automáticamente). También puedo encontrar ecryptfs-mount-private en la Terminal, pero no hay una página de manual o de ayuda. Lo ejecuto en la carpeta, y me sale

 ERROR: Encrypted private directory is not setup properly 

¿Cómo ejecutar ecryptfs-mount-private éxito?

Arranque al sistema: la propuesta de DavidFoerster (3) sin Live System

Mi sistema no tiene root habilitado. Arranco a Grub> Opciones avanzadas> Modo de recuperación. sudo adduser masi sudo pero obtengo el código de error 1

 Adding user 'masi' to group 'sudo' ... Adding user masi to group sudo gpasswd: cannot lock /etc/group; try again later adduser: '/usr/bin/gpasswd -a masi sudo' returned error code 1. Exiting. 

Reiniciando, volviendo a iniciar sesión en el sistema, hago sudo echo "masi" y obtengo que masi no está en el archivo sudoers.

Creo que el problema aquí es que no hay assembly y chroot.

Ubuntu 16.04 Intento de sistema en vivo

No puedo abrir el cifrado en el sistema normal de Live. Corro sin éxito

 > sudo modprobe dm-crypt > sudo fdisk -l % find the appropriate disc ... Device Boot Start End Sectors Size Id Type /dev/sdf1 ... 449.9G ... Linux /dev/sdf2 ... 15.9G ... Extended /dev/sdf5 ... 15.9G ... Linux swap / Solaris > sudo cryptsetup luksOpen /dev/sdf1 myvolume Device /dev/sdf1 is not a valid LUKS device > sudo cryptsetup luksOpen /dev/sdf2 myvolume Device /dev/sdf2 is not a valid LUKS device 

Sigo haciendo lo siguiente, pero me doy cuenta de que el paso anterior debe completarse con éxito antes de continuar

 sudo fdisk -l % find the correct sector [email protected]:~$ sudo mount /dev/sdf1 /mnt [email protected]:~$ sudo chroot /mnt sudo adduser masi sudo 

Salida

 sudo: unable to resolve host ubuntu: Connection refused The user `masi' is already a member of `sudo'. 

TODO Creo que debes ingresar la contraseña para el cifrado antes de hacer esto. Sin embargo, no me lo pidió en ninguna etapa.


¿Cómo puede volver a agregarse al grupo sudo en un disco duro cifrado de 16.04 con políticas de seguridad estrictas?

Para editar el estado de membresía del grupo y volver a agregarse al grupo sudo , primero debe acceder a los sistemas de archivos encriptados y administrados por volumen. La última parte es la misma que para la recuperación de archivos en tal situación.

Para resumir la secuencia de pasos necesarios y vincular cada uno de ellos con instrucciones más detalladas:

  1. Arranque desde un DVD / USB en vivo y elija “Probar Ubuntu”.

  2. ¿Montar volúmenes encriptados desde la línea de comandos? Para descifrar el contenedor LUKS.

  3. Montaje de la partición LUKS encriptada desde Live CD para exponer los volúmenes administrados por LVM dentro del contenedor LUKS.

    De acuerdo con el resultado de Parted, el volumen para la partición raíz de su instalación de Ubuntu sería /dev/mapper/ubuntu--vg-root que puede montar

     sudo mount /dev/mapper/ubuntu--vg-root  

    o

     udisks --mount /dev/mapper/ubuntu--vg-root 
  4. ¿Cómo me vuelvo a agregar como usuario sudo? para fijar la pertenencia al grupo en el volumen montado anteriormente. (No es necesario acceder al directorio de inicio para esto, por lo que no es necesario descifrarlo).

Prima:

  • ¿Cómo recupero mis datos de un directorio de inicio cifrado? Si desea acceder al directorio de inicio encriptado con eCryptFS. (Puede hacerlo en cualquier momento después del paso 2, pero no es un requisito previo para el paso 3).

Arranque desde los medios de instalación y seleccione “Probar ubuntu”.
Abra / descifre con cryptsetup, monte el disco local, chroot y vuelva a agregarse.

Estás intentando montar /dev/sda5/home . Dado que has ejecutado cryptsetup , deberías intentar montar /dev/mapper/myvolume

Imposible. No puede volver a agregarse al disco debido a las estrictas políticas de seguridad. Las respuestas aquí no han hecho el entorno de prueba para ellos. No han logrado poner a prueba sus propias respuestas. Mucha reproducción de lo que ya he probado allí.