Открыта ли моя зашифрованная домашняя папка другим пользователям, когда я вошел в систему?


9

Я немного не уверен в том, как работает зашифрованная домашняя папка ubuntus по сравнению с разделом truecrypt (что я и использовал ранее). Когда я войду в систему, смогут ли другие пользователи на моем компьютере получить доступ к файлам в моей зашифрованной домашней папке?

Ответы:


11

Если вы включите Ubuntu Home Directory Encryption, ваш $HOMEкаталог будет иметь разрешения 700 ( rwx------), когда он смонтирован, и разрешения 500 ( r-x------), когда он не смонтирован. Это означает, что вы являетесь единственным пользователем без полномочий root, который сможет читать / писать / просматривать ваш домашний каталог, когда он подключен. А когда он не смонтирован, вы сможете читать / просматривать, но не изменять содержимое вашего домашнего каталога. Это сделано для того, чтобы предотвратить непреднамеренную запись незашифрованных данных в ваш домашний каталог.

Это отличается от стандартных разрешений Ubuntu Home Directory, которые составляют 755 ( rwxr-xr-x). Это разрешение позволяет любому локальному пользователю в системе читать и просматривать ваш домашний каталог. Это значение по умолчанию было выбрано для Ubuntu давным-давно в интересах «обмена» и «открытости».

Они называются Discretionary Access Controls (DAC) и происходят с самых ранних дней самой UNIX.

Пользователь root (возможно, через sudo, как вы упомянули выше) имеет привилегию, позволяющую ему получить доступ к любому файлу или каталогу, независимо от имеющихся разрешений DAC. Это означает, что да, пока ваш домашний каталог подключен, пользователь root может просматривать ваш домашний каталог.

Однако, когда ваш домашний каталог не смонтирован, пользователю root потребуется ваша пароль для входа в систему (или, более конкретно, ваша случайно сгенерированная пароль для подключения), чтобы смонтировать и расшифровать ваши данные.

Как правило, используемая нами зашифрованная файловая система (eCryptfs) предназначена для защиты ваших данных на жестком диске, а не для защиты от вашего собственного пользователя root.

Полное раскрытие: я являюсь автором функции зашифрованного домашнего каталога Ubuntu и в настоящее время поддерживаю eCryptfs.


1
Большой! Спасибо за объяснение мыслей, стоящих за системой. Мне было интересно, почему разрешения по умолчанию 755.
Лев

2

В принципе они могут, но разрешения по умолчанию для домашнего каталога ( rwxr-x---) запрещают это.


Итак, есть ли у других пользователей права root (sudo)?
Ams
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.