Может ли root видеть мою зашифрованную / домашнюю папку?


21

Просто интересно, использую ли я ecryptfs для шифрования моей / домашней папки

sudo ecryptfs-migrate-home -u username

Может ли другой пользователь с правами суперпользователя изменить мой пароль, а затем войти в мою учетную запись, используя новый пароль, см. Мой шифрованный / home?

Если я изменю свой собственный пароль, я полагаю, что я все еще могу получить доступ к своему зашифрованному / домашнему, чем он отличается от root, меняя мой пароль и войдя под своим именем?

Ответы:


28

Краткий ответ: да и нет .


Может ли root видеть мою зашифрованную / домашнюю папку?

Да . Пока вы вошли в систему, root, как и любой пользователь sudo, может видеть ваши расшифрованные файлы. Кроме того, когда вы просыпаетесь ото сна, ваше /homeвсе равно будет расшифровано.

Также есть ошибка, ecryptfsкоторая не позволяет размонтировать расшифрованную /homeпапку при выходе из системы. Вместо этого вы должны выключить или перезагрузить компьютер или вручную размонтировать папку от другого пользователя sudo / root. Смотрите этот вопрос для получения дополнительной информации.

Может ли другой пользователь с правами суперпользователя изменить мой пароль, а затем войти в мою учетную запись, используя новый пароль, см. Мой шифрованный / home?

Нет . Ваша /homeпапка зашифрована не вашим паролем, а парольной фразой, зашифрованной вашим паролем. Другой пользователь, изменяющий ваш пароль, не повлияет на ключевую фразу.

При первом входе в систему после смены административного пароля вам необходимо вручную смонтировать зашифрованный дом и перефразировать фразу-пароль. Для этих задач вам нужен ваш старый и новый пароль

ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

Когда вы меняете свой пароль, ключевая фраза домашнего каталога повторно шифруется вашим новым паролем, поэтому вы должны иметь постоянный доступ к вашим файлам с новым паролем. Это выполняется через PAM (сменные модули аутентификации) ( через ).


Смотрите этот связанный вопрос.


10
Есть проблема с ecryptfsи systemd. После того как пользователь вошел в систему и расшифровал домашнюю папку, он остается таким же, независимо от того, остается ли пользователь в системе или выходит из системы. Единственный способ перешифровать домашнюю папку - перезапустить систему. Эта ошибка еще не исправлена.
Повелитель

@Stormlord Не может ли другой пользователь [root / sudo] просто umountпокинуть дом слева от пользователя? В моей системе Debian такой ошибки нет, поэтому я не могу ее протестировать, но, когда домашний пользователь, зашифрованный eCryptfs, вошел в систему, у него есть дополнительное монтирование типа «ecryptfs», просто umountэтого должно быть достаточно.
Xen2050

да, этого действительно достаточно.
pLumo

Это вводит в заблуждение. Root может делать все, что захочет, в том числе обманывать других пользователей с помощью приглашений в стиле троянских программ, регистрировать все и т. Д. Подробности см. В моем ответе.
Джон Хант

Правда. Любой, кто имеет физический доступ, может сделать это тоже, если у вас нет полного шифрования диска. Но это не то, о чем идет речь. Это, и я не хотел копировать из вашего все еще действительного ответа ;-)
pLumo

11

Единственный ответ: да . Пользователь root может легко установить кейлоггер или другое программное обеспечение для тихой записи вашей парольной фразы - тогда он будет иметь полный доступ ко всем вашим файлам, и вы не будете знать, если они того пожелают.

Пользователь root может делать все в этой системе. Им по сути принадлежат все данные, связанные с ним тоже. ЕСЛИ ваши данные были зашифрованы в другой системе, а затем перенесены, и вы не расшифровали их, но я не думаю, что мы говорим об этом, мы.


5
Они могут даже модифицировать программное обеспечение для шифрования, чтобы оно передавало ключ или копировало дешифрованные файлы в / root или что-то еще… нет предела тому, что они могли бы сделать.
Джон Хант
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.