Gostaria de saber se eu uso ecryptfs para criptografar minha pasta / home
sudo ecryptfs-migrate-home -u username
Outro usuário com privilégio de root pode alterar minha senha e fazer login na minha conta usando a nova senha, ver minha página inicial / criptografada?
Se eu alterar minha própria senha, suponho que ainda possa acessar minha casa criptografada / doméstica, como é diferente da alteração da raiz da minha senha e do login como eu?
Respostas:
Resposta curta: Sim e não .
O root pode ver minha pasta criptografada / home?
Sim . Enquanto você estiver logado, o root e qualquer usuário sudo poderão ver seus arquivos descriptografados . Além disso, quando você acorda do sono, você /homeainda será descriptografado.
Também existe um erro ecryptfsque impede a desmontagem da /homepasta descriptografada no logout. Em vez disso, você deve desligar ou reiniciar a máquina ou desmontar manualmente a pasta de outro usuário sudo / root. Veja esta pergunta para mais informações.
Outro usuário com privilégio de root pode alterar minha senha e fazer login na minha conta usando a nova senha, ver minha página inicial / criptografada?
Não . Sua /homepasta não é criptografada com sua senha, mas com uma senha que é criptografada com sua senha. Outro usuário alterando sua senha não afetará a senha.
No primeiro login após a alteração da senha administrativa, você deve montar sua casa criptografada manualmente e refazer a senha. Para essas tarefas, você precisa da sua senha antiga e da nova
ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase
Quando você altera sua senha, a senha do diretório inicial é criptografada com sua nova senha; portanto, você deve ter acesso contínuo aos seus arquivos com a nova senha. Isso é tratado via PAM (Pluggable Authentication Modules) ( via ).
Veja esta pergunta relacionada.
umounta casa montada à esquerda do usuário desconectado? Meu sistema Debian não possui esse bug, então não posso testá-lo, mas quando um usuário doméstico criptografado pelo eCryptfs está logado, ele tem uma montagem "tipo ecryptfs" extra, apenas umountdeve ser suficiente.
A única resposta: sim . O usuário root de um sistema pode instalar facilmente um keylogger ou outro software para gravar silenciosamente sua senha - eles terão acesso completo a todos os seus arquivos e sem que você saiba se o deseja.
O usuário root de um sistema pode fazer tudo nesse sistema. Eles também possuem todos os dados associados a ele. A menos que seus dados tenham sido criptografados em um sistema diferente e, em seguida, tenham sido trazidos para você, você não descriptografou, mas acho que não estamos falando sobre isso.
ecryptfse systemd. Depois que um usuário faz login e a pasta pessoal é descriptografada, permanece assim, se esse usuário permanecer conectado ou se sair. A única maneira de criptografar novamente a pasta pessoal é reiniciar o sistema. Este bug ainda não foi corrigido.