Czy root może zobaczyć mój zaszyfrowany folder / folder domowy?

Zastanawiam się tylko, czy używam ecryptfs do szyfrowania mojego folderu / home

sudo ecryptfs-migrate-home -u username

Czy inny użytkownik z uprawnieniami root może zmienić moje hasło, a następnie zalogować się do mojego konta przy użyciu nowego hasła, aby zobaczyć moje zaszyfrowane / home?

Jeśli zmienię własne hasło, przypuszczam, że nadal mogę uzyskać dostęp do mojego zaszyfrowanego / domowego, czym różni się to od zmiany hasła i zalogowania się jako root?

— albertma789
źródło

Krótka odpowiedź: tak i nie .

Czy root może zobaczyć mój zaszyfrowany folder / folder domowy?

Tak . Tak długo, jak jesteś zalogowany, zarówno użytkownik root, jak i każdy użytkownik sudo może zobaczyć odszyfrowane pliki. Ponadto, gdy obudzisz się ze snu, /homenadal będziesz odszyfrowany.

Jest też błąd, ecryptfsktóry uniemożliwia odmontowanie odszyfrowanego /homefolderu podczas wylogowywania. Zamiast tego powinieneś zamknąć lub ponownie uruchomić komputer lub ręcznie odmontować folder od innego użytkownika sudo / root. Zobacz to pytanie, aby uzyskać więcej informacji.

Czy inny użytkownik z uprawnieniami root może zmienić moje hasło, a następnie zalogować się do mojego konta przy użyciu nowego hasła, aby zobaczyć moje zaszyfrowane / home?

Nie . Twój /homefolder nie jest zaszyfrowany za pomocą hasła, ale za pomocą hasła, które jest szyfrowane za pomocą hasła. Inny użytkownik zmieniający hasło nie wpłynie na hasło.

Przy pierwszym logowaniu po zmianie hasła administracyjnego musisz ręcznie zamontować zaszyfrowany dom i ponownie zapakować hasło. Do tych zadań potrzebujesz starego i nowego hasła

ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

Kiedy pan zmienić swoje hasło, hasło katalog domowy jest ponownie szyfrowane z nowym hasłem, więc trzeba mieć stały dostęp do swoich plików z nowym hasłem. Jest to obsługiwane przez PAM (Pluggable Authentication Modules) ( przez ).

Zobacz to powiązane pytanie.

— pLumo
źródło

Wystąpił problem z ecryptfsi systemd. Gdy użytkownik jest zalogowany, a folder domowy jest odszyfrowany, pozostaje w ten sposób, czy użytkownik pozostaje zalogowany, czy się wylogowuje. Jedynym sposobem ponownego zaszyfrowania folderu domowego jest ponowne uruchomienie systemu. Ten błąd nie został jeszcze naprawiony.

— Stormlord,

@Stormlord Czy inny użytkownik [root / sudo] nie może po prostu umountwylogować się z lewej strony? Mój system Debian nie ma tego błędu, więc nie mogę go przetestować, ale kiedy zalogowany zaszyfrowany użytkownik domowy eCryptfs jest zalogowany, ma dodatkowe mocowanie typu „ecryptfs”, wystarczy, umountże powinno wystarczyć.

— Xen2050,

tak, to rzeczywiście wystarczy.

— pLumo,

To jest mylące. Root może robić wszystko, co chce, w tym oszukiwać innych użytkowników za pomocą podpowiedzi w stylu trojana, rejestrować wszystko itp. Zobacz moją odpowiedź w celu uzyskania szczegółowych informacji.

— John Hunt

Prawdziwe. Każdy z fizycznym dostępem może to zrobić, chyba że masz pełne szyfrowanie dysku. Ale to nie imo dotyczy tego pytania. To i nie chciałem kopiować z twojej wciąż ważnej odpowiedzi ;-)

— pLumo

Jedyna odpowiedź: tak . Użytkownik root systemu może łatwo zainstalować keylogger lub inne oprogramowanie do cichego rejestrowania hasła - wtedy mają pełny dostęp do wszystkich plików i bez Twojej wiedzy, czy to zrobią.

Użytkownik root systemu może zrobić wszystko w tym systemie. Zasadniczo są właścicielami wszystkich danych z nimi związanych. Chyba że twoje dane zostały zaszyfrowane w innym systemie, a następnie przeniesione, a ty ich nie odszyfrowałeś, ale nie sądzę, że o tym mówimy.

— John Hunt
źródło

Mogą nawet zmodyfikować oprogramowanie szyfrujące, aby przekazywało klucz lub kopiowało zdekodowane pliki do katalogu / root lub cokolwiek… nie ma ograniczeń co do tego, co mogą zrobić.

— John Hunt