Цікаво, чи я використовую ecryptfs для шифрування моєї / домашньої папки
sudo ecryptfs-migrate-home -u username
Чи може інший користувач з привілеєм root змінити мій пароль, а потім увійти в обліковий запис, використовуючи новий пароль, побачити мій зашифрований / домашній?
Якщо я змінюю власний пароль, я вважаю, що все-таки можу отримати доступ до свого зашифрованого / домашнього, чим він відрізняється від кореня, що змінює свій пароль та логін як я?
Відповіді:
Коротка відповідь: Так і ні .
Чи може root бачити мою зашифровану / домашню папку?
Так . Поки ви зареєстровані, root, як і будь-який користувач sudo, можуть бачити ваші розшифровані файли. Також, коли ви прокидаєтеся від сну, ваш/home все одно буде розшифрований.
Також є помилка, ecryptfsяка запобігає демонтажу розшифрованої /homeпапки при виході. Натомість слід вимкнути або перезапустити машину або вручну відключити папку від іншого користувача sudo / root. Дивіться це запитання для отримання додаткової інформації.
Чи може інший користувач з привілеєм root змінити мій пароль, а потім увійти в обліковий запис, використовуючи новий пароль, побачити мій зашифрований / домашній?
Ні . Ваша/home папка зашифрована не вашим паролем, а парольною фразою, яка зашифрована вашим паролем. Інший користувач, що змінить ваш пароль, не вплине на пароль.
При першому вході після зміни адміністративного пароля ви повинні вручну змонтувати зашифрований дім і перемотати парольну фразу. Для цих завдань вам потрібен ваш старий і новий пароль
ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase
Коли ви зміните свій пароль, парольна фраза для домашнього каталогу повторно шифрується вашим новим паролем, тому вам слід було б продовжувати доступ до своїх файлів з новим паролем. Це обробляється через PAM (Pluggable Authentication Modules) ( через ).
Дивіться це пов'язане питання.
umountвийшов з дому, який залишив користувача? У моїй системі Debian немає такої помилки, тому я не можу її перевірити, але коли вхід у систему зашифрований eCryptfs увійшов у систему, у них є додаткове кріплення "типу encryptfs", просто umountцього повинно бути достатньо.
Єдина відповідь: так . Користовий користувач системи може легко встановити кейлоггер або інше програмне забезпечення, щоб беззвучно записувати вашу парольну фразу - тоді вони мають повний доступ до всіх ваших файлів і не знаючи, чи вони цього захочуть.
Користовий користувач системи може робити все в цій системі. Вони по суті володіють усіма даними, пов'язаними з цим. ВКЛЮЧЕННЯ ваші дані були зашифровані в іншій системі, а потім передані, і ви не розшифрували їх, але я не думаю, що ми говоримо про це ми.
ecryptfs. Після входу користувача, а домашня папка розшифрована, він залишається таким, чи залишається цей користувач, або він вийшов. Єдиний спосіб повторного зашифрування домашньої папки - це перезапуск системи. Ця помилка ще не виправлена.