Sau khi mở, tất cả người dùng có thể mã hóa âm lượng bằng cách sử dụng cryptsetup không?

3

Một khối lượng được mã hóa bằng cryptsetup. Khi cryptsetup open ...đã được thực thi, không phải thiết bị được ánh xạ có thể đọc được bởi tất cả người dùng trên máy chủ? Nếu họ biết hệ thống tệp, họ có thể trích xuất nội dung của tất cả các tệp một cách tầm thường.

Googling xung quanh, tôi không thể hiểu tại sao điều này không được coi là một vấn đề.

linux  security  disk-encryption  luks 
frutiger
nguồn
isn't the mapped device then readable by all users on the host- nếu chúng không root và các quyền bị khóa, thì có thể không.
Zoredache

Câu trả lời:

2

Nói chung, nút thiết bị được tạo bởi trình ánh xạ thiết bị ( /dev/mapper/...) không thể đọc được trên thế giới. Trong /dev/mapperchúng tôi thấy:

lrwxrwxrwx. 1 root root       7 27. Jan 11:01 remote-backup -> ../dm-0

chỉ vào (lưu ý rằng các quyền của nút được trỏ đến, không phải các quyền của liên kết tượng trưng ở trên có liên quan):

brw-rw----. 1 root disk  253, 0 27. Jan 11:01 ../dm-0

Do đó, người dùng sẽ cần phải ở trong disknhóm hoặc được root để truy cập nội dung thô của thiết bị được ánh xạ. Một người dùng không tin cậy tất nhiên sẽ không bao giờ có những đặc quyền này, nếu không, không chỉ đọc, mà còn có thể phá hủy dữ liệu.

(Đầu ra trên nằm trên Fedora được cấu hình bình thường. Số dặm của bạn có thể thay đổi trên các hệ thống khác nhau)

Jonas Schäfer
nguồn
3

Vâng, đó là sự thật - tất nhiên phải tuân theo các hạn chế truy cập hệ thống tập tin thông thường.

Về lý do tại sao điều này không được coi là một vấn đề:

Điều này phụ thuộc vào mô hình mối đe dọa - nghĩa là vào các cuộc tấn công và kẻ tấn công mà bạn lo lắng. Nói chung, mã hóa hệ thống tập tin chỉ hữu ích khi bảo vệ khỏi các cuộc tấn công vật lý chống lại phần cứng (ví dụ như đánh cắp nó).

Nếu kẻ tấn công có quyền truy cập mạng trong khi hệ thống đang chạy hoặc thậm chí là một tài khoản trên hệ thống, mã hóa hệ thống tệp sẽ không giúp ích. Tuy nhiên, trong trường hợp đó, các quyền hệ thống tập tin thông thường có ích - cho thấy các biện pháp bảo mật khác nhau bổ sung cho nhau như thế nào.

Điều này là nổi tiếng. Ví dụ: "Cách mã hóa hệ thống tập tin mã hóa" của Ubuntu cảnh báo :

Panaceas và hộp đen

Đừng quên đây KHÔNG phải là một hệ thống hoàn hảo. Nó vẫn dễ bị tấn công bằng nhiều cách khác nhau, rõ ràng nhất là một cuộc tấn công khi trực tuyến. Nếu bạn có thể truy cập dữ liệu được mã hóa của mình thì bất kỳ ai khác vào hệ thống cũng sẽ như vậy. [...]

sleske
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.