Не могу зашифровать папку fscrypt паролем пользователя

[soulner]

Пытаюсь зашифровать папку в каталоге /home. Установил fscrypt, установил флаг encrypted на том, установил сам fscrypt в корень и в папку homе и начинаю шифровать.

Код: [Выделить]

[root@hu15 test_user]# fscrypt encrypt /home/test_user_new/ --user=test_user
The following protector sources are available:
1 - Your login passphrase (pam_passphrase)
2 - A custom passphrase (custom_passphrase)
3 - A raw 256-bit key (raw_key)
Enter the source number for the new protector [2 - custom_passphrase]: 1

IMPORTANT: Before continuing, ensure you have properly set up your system for
           login protectors.  See
           https://github.com/google/fscrypt#setting-up-for-login-protectors

Enter login passphrase for test_user:
[ERROR] fscrypt encrypt: Authentication service cannot retrieve authentication info
А в журнале немногословно:

Код: [Выделить]

сен 22 19:44:15 hu15.home sudo[348072]: pam_tcb(sudo:session): Session opened for root by test_user(uid=500)
сен 22 19:44:39 hu15.home fscrypt[348110]: pam_unix(fscrypt:auth): Credentials for user test_user unknown
сен 22 19:44:39 hu15.home fscrypt[348110]: pam_unix(fscrypt:auth): Authentication failed for UNKNOWN USER from test_user(uid=0)
Пробовал не раз, пароль вводил и правильный и не правильный, ошибка одинаковая. Тут явно проблема в PAM-авторизации. Облазил все форумы и официальную документацию, проверил наличие файла fscrypt в папке /etc/pam.d, есть с правильным содержимым.
Пишут, что нужно использовать pam_fscrypt.so и куда-то его прописать (это из официальной документации https://github.com/google/fscrypt). Да, он есть в /lib64/security, но файлов, в которые его нужно прописать (/etc/pam.d/common-password, /etc/pam.d/common-auth, /etc/pam.d/common-session) нет. И почему он сам не прописался куда надо при установке...
Уже не знаю, куда копать... Прошу помочь.

[ASte]

А почему выбрали fscrypt а не luks?
Если хотите зашифровать домашний каталог пользователя полностью - ИМХО самое оптимальное - шифрованный luks раздел на весь /home или на каталог этого пользователя. 

[soulner]

Спасибо, я знаю об этом. Только ОС уже стоит, а зашифровать диск можно только при установке. Если вы знаете способ, прошу поделиться.

[ASte]

отдельный раздел под home выделен?
если да, загрузится с live, скопировать содержимое /home на внешний диск, зашифровать, скопировать все обратно
если нет, то:
вариант 1: сделать резервную копию, загрузиться в live, gparted-м уменьшить какой-то раздел где есть место, создать новый раздел, зашифровать, скопировать на него /home 
вариант 2: создать крипртоконтейнер luks поверх файловой системы, перенести в него файлы из /home  и монтировать в качестве /home
после всех манипуляций с шифрованием, для автомонтирования не забыть подправить fstab и crypttab

Если решили шифровать /home то также советую подумать над тем чтобы зашифровать еще и swap

[soulner]

Спасибо. /home на отдельном разделе, попробую зашифровать. А как шифровать swap?

[ASte]

А как шифровать swap?

Точно также как все остальное. В сети много инструкций с одноразовым паролем, но тогда не будет работать hibernate.
Если хотите чтобы работал hibernate и  чтобы не запрашивало пароль от luks дважды при загрузке, добавьте файловый ключ для swap и положите его на шифрованный /home  и пропишите путь к ключу в crypttab. В crypttab лучше указывать имена устройств а не UUID - когда я указал UUID у меня makeinitrd ухитрился скопировать ключ от раздела в initrd образ, который лежит в нешифрованном разделе. Этот момент после настройки лучше проверить через initrd-ls

https://bugzilla.altlinux.org/45803

И еще - если делаете в первый раз на системе, сломать  которую может быть "жалко" стоит сначала потренироваться на виртуалке.

upd. после того как зашифруете swap кроме fstab и crypttab нужно еще поменять параметр resume в настройках grub

[soulner]

Спасибо. Не все слова понятны, буду разбираться