Câu trả lời:
Nếu bạn bật Mã hóa $HOMEthư mục chính của Ubuntu, thư mục của bạn sẽ có quyền 700 ( rwx------) khi được gắn và quyền 500 ( r-x------) khi không được gắn. Điều này có nghĩa là bạn là người dùng không phải root duy nhất có thể đọc / ghi / duyệt thư mục chính của bạn khi được gắn kết. Và khi nó không được gắn kết, bạn sẽ có thể đọc / duyệt, nhưng không sửa đổi nội dung của thư mục chính của bạn. Điều này nhằm ngăn chặn bạn vô tình ghi dữ liệu không được mã hóa vào thư mục chính của bạn.
Điều này trái ngược với các quyền của Ubuntu Home Directory mặc định là 755 ( rwxr-xr-x). Sự cho phép đó cho phép bất kỳ người dùng cục bộ nào trên hệ thống đọc và duyệt thư mục chính của bạn. Mặc định này đã được chọn cho Ubuntu từ lâu, từ lâu vì lợi ích "chia sẻ" và "cởi mở".
Chúng được gọi là Điều khiển truy cập tùy ý (DAC) và xuất phát từ những ngày đầu tiên của UNIX.
Người dùng root (có thể thông qua sudo như bạn đã đề cập ở trên), được đặc quyền theo cách cho phép họ truy cập vào bất kỳ tệp hoặc thư mục nào, bất kể các quyền của DAC tại chỗ. Điều đó có nghĩa là có, trong khi thư mục chính của bạn được gắn kết, người dùng root có thể duyệt thư mục chính của bạn.
Tuy nhiên, khi thư mục chính của bạn không được gắn kết, người dùng root sẽ cần cụm mật khẩu đăng nhập của bạn (hoặc cụ thể hơn là cụm mật khẩu gắn kết được tạo ngẫu nhiên của bạn) để gắn kết và giải mã dữ liệu của bạn.
Nói chung, hệ thống tệp được mã hóa mà chúng tôi sử dụng (eCryptfs) nhằm bảo vệ dữ liệu của bạn ở phần còn lại trên ổ cứng, thay vì bảo vệ bạn khỏi người dùng root của chính bạn.
Tiết lộ đầy đủ: Tôi là tác giả của tính năng Thư mục nhà được mã hóa của Ubuntu và là người duy trì hiện tại của eCryptfs.