รูทสามารถดูโฟลเดอร์ที่เข้ารหัส / ที่บ้านได้หรือไม่?


21

แค่สงสัยว่าฉันใช้ ecryptfs เพื่อเข้ารหัส / โฟลเดอร์บ้านของฉัน

sudo ecryptfs-migrate-home -u username

ผู้ใช้รายอื่นที่มีสิทธิ์รูทสามารถเปลี่ยนรหัสผ่านของฉันจากนั้นลงชื่อเข้าใช้บัญชีของฉันโดยใช้รหัสผ่านใหม่ดูที่เข้ารหัส / หน้าแรก

หากฉันเปลี่ยนรหัสผ่านของตัวเองฉันคิดว่าฉันยังคงสามารถเข้าถึงการเข้ารหัส / ที่บ้านได้ฉันจะแตกต่างจากการเปลี่ยนรหัสผ่านและการเข้าสู่ระบบในฐานะฉันได้อย่างไร

คำตอบ:


28

คำตอบสั้น: ใช่และไม่


รูทสามารถดูโฟลเดอร์ที่เข้ารหัส / ที่บ้านได้หรือไม่?

ใช่แล้ว ตราบใดที่คุณลงชื่อเข้าใช้รูทรวมถึงผู้ใช้ sudo ทุกคนสามารถดูไฟล์ที่ถอดรหัสได้ นอกจากนี้เมื่อคุณตื่นจากการนอนหลับคุณ/homeจะยังคงถูกถอดรหัส

นอกจากนี้ยังมีข้อผิดพลาดในการecryptfsป้องกันการ unmounting /homeโฟลเดอร์ถอดรหัสเมื่อออกจากระบบ คุณควรปิดหรือรีสตาร์ทเครื่องหรือเลิกเมานท์โฟลเดอร์ด้วยตนเองจากผู้ใช้ sudo / root รายอื่น ดูคำถามนี้สำหรับข้อมูลเพิ่มเติม

ผู้ใช้รายอื่นที่มีสิทธิ์รูทสามารถเปลี่ยนรหัสผ่านของฉันจากนั้นลงชื่อเข้าใช้บัญชีของฉันโดยใช้รหัสผ่านใหม่ดูที่เข้ารหัส / หน้าแรก

ไม่ /homeโฟลเดอร์ของคุณไม่ได้เข้ารหัสด้วยรหัสผ่านของคุณ แต่มีวลีรหัสผ่านที่ถูกเข้ารหัสด้วยรหัสผ่านของคุณ ผู้ใช้รายอื่นที่เปลี่ยนรหัสผ่านของคุณจะไม่ส่งผลกระทบต่อข้อความรหัสผ่าน

ในการเข้าสู่ระบบครั้งแรกหลังจากเปลี่ยนรหัสผ่านของผู้ดูแลระบบคุณจะต้องติดตั้งบ้านที่เข้ารหัสของคุณด้วยตนเองและพิมพ์ข้อความรหัสผ่านใหม่ สำหรับภารกิจเหล่านี้คุณต้องมีรหัสผ่านเก่าและใหม่ของคุณ

ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

เมื่อคุณเปลี่ยนรหัสผ่านวลีรหัสผ่านโฮมไดเรกทอรีจะถูกเข้ารหัสอีกครั้งด้วยรหัสผ่านใหม่ของคุณดังนั้นคุณควรเข้าถึงไฟล์ของคุณด้วยรหัสผ่านใหม่ต่อไป สิ่งนี้ได้รับการจัดการผ่าน PAM (โมดูลการพิสูจน์ตัวตนแบบเสียบได้) ( ผ่าน )


ดูนี้คำถามที่เกี่ยวข้อง


10
มีปัญหากับecryptfsและ systemd เมื่อผู้ใช้เข้าสู่ระบบและถอดรหัสโฮมโฟลเดอร์มันจะยังคงอยู่ในลักษณะที่ว่าผู้ใช้นั้นยังคงเข้าสู่ระบบหรือพวกเขาออกจากระบบ วิธีเดียวที่จะเข้ารหัสโฮมโฟลเดอร์อีกครั้งคือการรีสตาร์ทระบบ ข้อผิดพลาดนี้ยังไม่ได้รับการแก้ไข
Stormlord

@Stormlord ไม่สามารถผู้ใช้ [root / sudo] อีกumountคนเป็นแค่บ้านที่อยู่ทางซ้ายของผู้ใช้ออกจากระบบหรือไม่? ระบบ Debian ของฉันไม่มีข้อผิดพลาดนั้นดังนั้นฉันจึงไม่สามารถทดสอบได้ แต่เมื่อผู้ใช้ที่บ้านที่เข้ารหัส eCryptfs เข้าสู่ระบบพวกเขามีการเมานต์ "ประเภท ecryptfs" เพิ่มเติมเพียงแค่umountควรเพียงพอ
Xen2050

ใช่ว่าเพียงพอแล้ว
pLumo

นี่เป็นสิ่งที่ทำให้เข้าใจผิด รูทสามารถทำทุกอย่างที่พวกเขาต้องการรวมถึงการหลอกลวงผู้ใช้รายอื่นด้วยการแจ้งเตือนสไตล์โทรจันการบันทึกทุกอย่าง ฯลฯ ดูคำตอบของฉันสำหรับรายละเอียด
John Hunt

จริง ใครก็ตามที่มีสิทธิ์เข้าถึงทางกายภาพก็สามารถทำได้เช่นกันเว้นแต่ว่าคุณมีการเข้ารหัสดิสก์เต็มรูปแบบ แต่นี่ไม่ใช่สิ่งที่เป็นคำถาม นี่และฉันไม่ต้องการคัดลอกจากคำตอบที่ถูกต้องของคุณ ;-)
pLumo

11

คำตอบเท่านั้น: ใช่ ผู้ใช้รูทของระบบสามารถติดตั้ง keylogger หรือซอฟต์แวร์อื่น ๆ เพื่อบันทึกข้อความรหัสผ่านของคุณได้อย่างเงียบ ๆ จากนั้นพวกเขาก็สามารถเข้าถึงไฟล์ทั้งหมดของคุณได้อย่างสมบูรณ์โดยที่คุณไม่ต้องเลือก

ผู้ใช้รูทของระบบสามารถทำทุกอย่างบนระบบนั้น พวกเขาเป็นเจ้าของข้อมูลทั้งหมดที่เกี่ยวข้องด้วยเช่นกัน เว้นแต่ว่าข้อมูลของคุณจะถูกเข้ารหัสในระบบที่แตกต่างกันและนำมาใช้แล้วและคุณไม่ได้ถอดรหัส แต่ฉันไม่คิดว่าเรากำลังพูดถึงสิ่งนั้น


5
พวกเขายังสามารถปรับเปลี่ยนซอฟต์แวร์การเข้ารหัสเพื่อส่งมอบคีย์หรือคัดลอกไฟล์ที่ถอดรหัสไปยัง / รูทหรืออะไรก็ได้ .. ไม่ จำกัด สิ่งที่พวกเขาสามารถทำได้
John Hunt
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.