Просто интересно, использую ли я ecryptfs для шифрования моей / домашней папки
sudo ecryptfs-migrate-home -u username
Может ли другой пользователь с правами суперпользователя изменить мой пароль, а затем войти в мою учетную запись, используя новый пароль, см. Мой шифрованный / home?
Если я изменю свой собственный пароль, я полагаю, что я все еще могу получить доступ к своему зашифрованному / домашнему, чем он отличается от root, меняя мой пароль и войдя под своим именем?
Ответы:
Краткий ответ: да и нет .
Может ли root видеть мою зашифрованную / домашнюю папку?
Да . Пока вы вошли в систему, root, как и любой пользователь sudo, может видеть ваши расшифрованные файлы. Кроме того, когда вы просыпаетесь ото сна, ваше /homeвсе равно будет расшифровано.
Также есть ошибка, ecryptfsкоторая не позволяет размонтировать расшифрованную /homeпапку при выходе из системы. Вместо этого вы должны выключить или перезагрузить компьютер или вручную размонтировать папку от другого пользователя sudo / root. Смотрите этот вопрос для получения дополнительной информации.
Может ли другой пользователь с правами суперпользователя изменить мой пароль, а затем войти в мою учетную запись, используя новый пароль, см. Мой шифрованный / home?
Нет . Ваша /homeпапка зашифрована не вашим паролем, а парольной фразой, зашифрованной вашим паролем. Другой пользователь, изменяющий ваш пароль, не повлияет на ключевую фразу.
При первом входе в систему после смены административного пароля вам необходимо вручную смонтировать зашифрованный дом и перефразировать фразу-пароль. Для этих задач вам нужен ваш старый и новый пароль
ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase
Когда вы меняете свой пароль, ключевая фраза домашнего каталога повторно шифруется вашим новым паролем, поэтому вы должны иметь постоянный доступ к вашим файлам с новым паролем. Это выполняется через PAM (сменные модули аутентификации) ( через ).
Смотрите этот связанный вопрос.
umountпокинуть дом слева от пользователя? В моей системе Debian такой ошибки нет, поэтому я не могу ее протестировать, но, когда домашний пользователь, зашифрованный eCryptfs, вошел в систему, у него есть дополнительное монтирование типа «ecryptfs», просто umountэтого должно быть достаточно.
Единственный ответ: да . Пользователь root может легко установить кейлоггер или другое программное обеспечение для тихой записи вашей парольной фразы - тогда он будет иметь полный доступ ко всем вашим файлам, и вы не будете знать, если они того пожелают.
Пользователь root может делать все в этой системе. Им по сути принадлежат все данные, связанные с ним тоже. ЕСЛИ ваши данные были зашифрованы в другой системе, а затем перенесены, и вы не расшифровали их, но я не думаю, что мы говорим об этом, мы.
ecryptfsи systemd. После того как пользователь вошел в систему и расшифровал домашнюю папку, он остается таким же, независимо от того, остается ли пользователь в системе или выходит из системы. Единственный способ перешифровать домашнюю папку - перезапустить систему. Эта ошибка еще не исправлена.