Root có thể xem thư mục mã hóa / nhà của tôi không?


21

Chỉ cần tự hỏi nếu tôi sử dụng ecryptfs để mã hóa thư mục / nhà của tôi

sudo ecryptfs-migrate-home -u username

Người dùng khác có quyền root có thể thay đổi mật khẩu của tôi, sau đó đăng nhập tài khoản của tôi bằng mật khẩu mới có thể thấy mã hóa / nhà của tôi không?

Nếu tôi thay đổi mật khẩu của riêng mình, tôi cho rằng tôi vẫn có thể truy cập vào nhà / mã hóa của mình, nó khác với root thay đổi mật khẩu và đăng nhập như tôi như thế nào?

Câu trả lời:


28

Câu trả lời ngắn: Có và không .


Root có thể xem thư mục mã hóa / nhà của tôi không?

. Miễn là bạn đã đăng nhập, root cũng như bất kỳ người dùng sudo nào cũng có thể thấy các tệp được giải mã của bạn . Ngoài ra, khi bạn thức dậy khỏi giấc ngủ, bạn /homevẫn sẽ được giải mã.

Ngoài ra, có một lỗi trong ecryptfsđó ngăn chặn việc ngắt kết nối /homethư mục được giải mã khi đăng xuất. Thay vào đó, bạn nên tắt hoặc khởi động lại máy hoặc tự ngắt kết nối thư mục từ một người dùng sudo / root khác. Xem câu hỏi này để biết thêm thông tin.

Người dùng khác có quyền root có thể thay đổi mật khẩu của tôi, sau đó đăng nhập tài khoản của tôi bằng mật khẩu mới có thể thấy mã hóa / nhà của tôi không?

Không . /homeThư mục của bạn không được mã hóa bằng mật khẩu của bạn, nhưng với cụm mật khẩu được mã hóa bằng mật khẩu của bạn. Một người dùng khác thay đổi mật khẩu của bạn sẽ không ảnh hưởng đến cụm mật khẩu.

Ở lần đăng nhập đầu tiên sau khi thay đổi mật khẩu quản trị, bạn phải gắn kết ngôi nhà được mã hóa của mình theo cách thủ công và viết lại cụm mật khẩu. Đối với những tác vụ này, bạn cần mật khẩu cũ và mật khẩu mới

ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

Khi bạn thay đổi mật khẩu, cụm mật khẩu của thư mục chính được mã hóa lại bằng mật khẩu mới của bạn, vì vậy bạn nên tiếp tục truy cập vào các tệp của mình bằng mật khẩu mới. Điều này được xử lý thông qua PAM (Mô-đun xác thực có thể cắm) ( thông qua ).


Xem câu hỏi liên quan này .


10
Có một vấn đề với ecryptfsvà systemd. Khi người dùng đã đăng nhập và thư mục chính được giải mã, nó sẽ giữ nguyên như vậy cho dù người dùng đó vẫn đăng nhập hay họ đăng xuất. Cách duy nhất để mã hóa lại thư mục nhà là khởi động lại hệ thống. Lỗi này chưa được sửa.
Stormlord

@Stormlord Không thể người dùng [root / sudo] khác chỉ là người dùng umountđã đăng xuất bên trái? Hệ thống Debian của tôi không có lỗi đó, vì vậy tôi không thể kiểm tra nó, nhưng khi một người dùng gia đình được mã hóa eCryptfs đăng nhập thì họ có thêm một loại "mã hóa ecryptfs", chỉ cần sử dụng umountnó là đủ.
Xen2050

vâng, điều đó thực sự là đủ
pLumo

Điều này là sai lệch. Root có thể làm bất cứ điều gì họ muốn bao gồm lừa người dùng khác bằng cách nhắc nhở kiểu trojan, ghi nhật ký mọi thứ, v.v ... Xem câu trả lời của tôi để biết chi tiết.
John Hunt

Thật. Bất cứ ai có quyền truy cập vật lý cũng có thể làm điều này trừ khi bạn có mã hóa toàn bộ đĩa. Nhưng đây không phải là câu hỏi. Điều này và tôi không muốn sao chép từ câu trả lời vẫn còn hiệu lực của bạn ;-)
pLumo

11

Câu trả lời duy nhất: . Người dùng root của hệ thống có thể dễ dàng cài đặt keylogger hoặc phần mềm khác để âm thầm ghi mật khẩu của bạn - sau đó họ có quyền truy cập hoàn toàn vào tất cả các tệp của bạn và bạn không biết họ có chọn hay không.

Người dùng root của một hệ thống có thể làm mọi thứ trên hệ thống đó. Về cơ bản họ cũng sở hữu tất cả các dữ liệu liên quan đến nó. UNLESS dữ liệu của bạn đã được mã hóa trên một hệ thống khác và sau đó được chuyển đến và bạn không giải mã được nhưng tôi không nghĩ chúng ta đang nói về chúng ta.


5
Họ thậm chí có thể sửa đổi phần mềm mã hóa để nó trao khóa hoặc sao chép các tập tin đã giải mã vào / root hoặc bất cứ điều gì .. không có giới hạn đối với những gì họ có thể làm.
John Hunt
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.