Odpowiedzi:
Jeśli włączysz szyfrowanie katalogu domowego Ubuntu, twój $HOMEkatalog będzie miał uprawnienia 700 ( rwx------) po zamontowaniu i uprawnienia 500 ( r-x------), gdy nie zostanie zamontowany. Oznacza to, że jesteś jedynym użytkownikiem innym niż root, który będzie mógł czytać / zapisywać / przeglądać katalog domowy po jego zamontowaniu. A kiedy nie jest zamontowany, będziesz mógł czytać / przeglądać, ale nie modyfikować zawartości swojego katalogu domowego. Ma to na celu zapobieżenie przypadkowemu zapisaniu niezaszyfrowanych danych w katalogu domowym.
Jest to sprzeczne z domyślnymi uprawnieniami do katalogu domowego Ubuntu, które wynoszą 755 ( rwxr-xr-x). To uprawnienie pozwala każdemu lokalnemu użytkownikowi w systemie czytać i przeglądać katalog domowy. To domyślne ustawienie zostało wybrane dla Ubuntu dawno, dawno temu w interesie „udostępniania” i „otwartości”.
Są to tak zwane uznaniowe kontrole dostępu (DAC) i pochodzą z najwcześniejszych dni samego systemu UNIX.
Użytkownik root (być może za pośrednictwem sudo, jak wspomniano powyżej), jest uprzywilejowany w sposób, który umożliwia mu dostęp do dowolnego pliku lub katalogu, niezależnie od obowiązujących uprawnień DAC. Oznacza to, że tak, podczas gdy katalog domowy jest podłączony, użytkownik root może przeglądać katalog domowy.
Jednak gdy katalog domowy nie jest podłączony, użytkownik root potrzebuje hasła logowania (a ściślej mówiąc wygenerowanego losowo hasła dostępu) w celu podłączenia i odszyfrowania danych.
Zasadniczo używany przez nas zaszyfrowany system plików (eCryptfs) ma na celu ochronę danych spoczywających na dysku twardym, a nie ochronę użytkownika root.
Pełne ujawnienie: jestem autorem funkcji zaszyfrowanego katalogu domowego Ubuntu i bieżącym opiekunem eCryptfs.