Vous pourriez toujours avoir des fichiers .ecryptfs ouverts par un processus, auquel cas ils pourraient ne pas avoir été réellement supprimés. S'ils apparaissent dans lsof, vous pourriez encore être en mesure de les copier/déplacer en arrière. Recherchez surtout le fichier wrapped-passphrase.
La meilleure solution serait d'avoir une copie de sauvegarde de l'intégralité de votre répertoire personnel, y compris le fichier wrapped-passphrase. Si tous les fichiers ont été supprimés, alors ils ont peut-être déjà été écrasés, et perdre la clé de connexion, le fichier wrapped-passphrase et la clé de montage signifierait qu'ils seraient verrouillés pour toujours. Avoir une copie de la clé de montage réelle serait utile si les fichiers sont encore là pour être lus.
Ou, si le dossier eCryptfs est toujours monté, la clé pourrait toujours être dans le trousseau du noyau. Jetez un œil avec
$ keyctl show
Session Keyring
802145592 --alswrv 999 65534 keyring: _uid_ses.999
542975566 --alswrv 999 65534 \_ keyring: _uid.999
414895587 --alswrv 999 999 \_ user: 1848e1d7b8a187fc
245849561 --alswrv 999 999 \_ user: 554c7c95a5b5d6ee
Et vous pourriez voir 1 (sans fnek) ou 2 (avec fnek) entrées comme les 2 dernières ci-dessus. La partie "1848e1d7b8a187fc" devrait correspondre à la signature du montage ou de la signature fnek utilisée par eCryptfs. Vous pourriez lire la ou les clés avec
keyctl read 414895587 - "read" l'imprime sur stdout sous forme de vidage hexadécimalkeyctl print 414895587 - "print" le fait basculer sur stdout directement s'il est entièrement imprimable ou sous forme de vidage hexadécimal précédé de ":hex:" s'il ne l'est paskeyctl pipe 414895587 > piped-keyfile - "pipe" fait basculer les données brutes sur stdout
(remplacez les chiffres par la première partie de la ligne pertinente de la sortie de keyctl show ci-dessus)
Si vous l'avez extrait avec pipe, alors plus tard cette commande devrait ajouter la clé de nouveau dans le trousseau :
cat piped-keyfile | keyctl padd user keydescription @u
Pour correspondre au format de ecryptfs-add-passphrase je crois qu'en changeant la description de la clé en la signature de 16 caractères pour correspondre à la sortie originale de keyctl show devrait fonctionner.
Un programme de récupération de fichiers supprimés pourrait être en mesure de récupérer le fichier récemment supprimé, s'il n'a pas encore été écrasé. Les programmes varient en fonction du système de fichiers sur lequel vous voulez récupérer des fichiers, ou essayez testdisk (dans les dépôts universe d'Ubuntu) qui a d'excellents résultats pour récupérer des fichiers supprimés de toutes sortes de systèmes de fichiers. Son programme frère photorec pourrait rechercher tout l'espace libre du lecteur et tenter de récupérer des fichiers aussi, bien que je ne sache pas si "ecryptfs wrapped-passphrase" est un type de fichier qu'il reconnaît.
