Відповіді:
Якщо ввімкнути шифрування домашнього каталогу Ubuntu, ваш $HOMEкаталог матиме дозволи 700 ( rwx------), коли він встановлений, та дозволи 500 ( r-x------), коли він не встановлений. Це означає, що ви єдиний некористувальний користувач, який зможе читати / писати / переглядати ваш домашній каталог, коли його встановлено. А коли він не встановлений, ви зможете читати / переглядати, але не змінювати вміст домашнього каталогу. Це покликане запобігти ненавмисному запису незашифрованих даних у домашній каталог.
Це на відміну від дозволів Ubuntu Home Directory за замовчуванням, який становить 755 ( rwxr-xr-x). Цей дозвіл дозволяє будь-якому місцевому користувачеві в системі читати та переглядати ваш домашній каталог. Цей параметр за умовчанням був вибраний для Ubuntu дуже давно в інтересах "обміну" та "відкритості".
Вони називаються дискреційними контролями доступу (ЦАП) і походять з найдавніших днів самого UNIX.
Користувачу root (можливо, через sudo, як ви згадували вище), надається привілейований спосіб, який дозволяє їм отримати доступ до будь-якого файлу чи каталогу, незалежно від наявних дозволів DAC. Це означає, що так, хоча ваш домашній каталог встановлений, користувач root може переглядати ваш домашній каталог.
Однак, коли ваш домашній каталог не змонтований, користувачеві root буде потрібна ваша парольна фраза для входу (або, точніше, ваша випадково створена парольна фраза для монтажу), щоб змонтувати та розшифрувати ваші дані.
Загалом, зашифрована файлова система, яку ми використовуємо (eCryptfs), призначена для захисту ваших даних у спокої на жорсткому диску, а не для захисту від вашого власного кореневого користувача.
Повне розкриття: Я є автором функції шифрованої домашньої каталоги Ubuntu та поточним обслуговувачем eCryptfs.