Dapatkah saya melakukan root melihat folder terenkripsi / home saya?

21

Hanya ingin tahu apakah saya menggunakan ecryptfs untuk mengenkripsi folder / home saya

sudo ecryptfs-migrate-home -u username

Bisakah pengguna lain dengan hak akses root mengubah kata sandi saya, lalu login akun saya menggunakan kata sandi baru melihat saya dienkripsi / home?

Jika saya mengubah kata sandi saya sendiri, saya kira saya masih dapat mengakses / rumah terenkripsi saya, bagaimana bedanya dengan root mengubah kata sandi saya dan login seperti saya?

albertma789
sumber

Jawaban:

28

Jawaban singkat: Ya dan tidak .


Dapatkah saya melakukan root melihat folder terenkripsi / home saya?

Ya . Selama Anda masuk, root dan semua pengguna sudo dapat melihat file yang Anda dekripsi . Juga, ketika Anda bangun dari tidur, Anda /homemasih akan didekripsi.

Juga ada bug ecryptfsyang mencegah pelepasan /homefolder yang didekripsi saat logout. Anda sebaiknya mematikan atau menyalakan ulang mesin atau secara manual melepas folder dari pengguna sudo / root lain. Lihat pertanyaan ini untuk informasi lebih lanjut.

Bisakah pengguna lain dengan hak akses root mengubah kata sandi saya, lalu login akun saya menggunakan kata sandi baru melihat saya dienkripsi / home?

Tidak ada . /homeFolder Anda tidak dienkripsi dengan kata sandi Anda, tetapi dengan frasa sandi yang dienkripsi dengan kata sandi Anda. Pengguna lain yang mengubah kata sandi Anda tidak akan memengaruhi kata sandi.

Pada login pertama setelah perubahan kata sandi administratif, Anda harus me-mount rumah terenkripsi Anda secara manual dan menulis ulang frasa sandi. Untuk tugas-tugas ini, Anda memerlukan kata sandi lama dan kata sandi baru Anda

ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

Ketika Anda mengubah kata sandi Anda, frasa sandi direktori rumah dienkripsi ulang dengan kata sandi baru Anda, jadi Anda harus terus mengakses file Anda dengan kata sandi baru. Ini ditangani melalui PAM (Modul Otentikasi Pluggable) ( via ).


Lihat pertanyaan terkait ini .

pLumo
sumber
10
Ada masalah dengan ecryptfsdan systemd. Setelah pengguna masuk dan folder rumah didekripsi, ia tetap seperti itu apakah pengguna itu tetap masuk atau mereka keluar. Satu-satunya cara untuk mengenkripsi ulang folder rumah adalah me-restart sistem. Bug ini belum diperbaiki.
Stormlord
@Stormlord Tidak bisakah pengguna [root / sudo] lain hanya umountrumah yang diletakkan di sebelah kiri pengguna yang sudah keluar? Sistem Debian saya tidak memiliki bug itu, jadi saya tidak bisa mengujinya, tetapi ketika pengguna rumah terenkripsi eCryptf login, mereka memiliki mount "type ecryptfs" tambahan, hanya saja umountitu sudah cukup.
Xen2050
ya, itu memang cukup.
pLumo
Ini menyesatkan. Root dapat melakukan apa saja yang mereka inginkan termasuk menipu pengguna lain dengan cara gaya trojan, mencatat semuanya, dll. Lihat jawaban saya untuk detail.
John Hunt
Benar. Siapa pun yang memiliki akses fisik dapat melakukannya juga kecuali Anda memiliki enkripsi disk lengkap. Tapi ini bukan pertanyaannya. Ini, dan saya tidak ingin menyalin dari jawaban Anda yang masih valid ;-)
pLumo
11

Satu-satunya jawaban: ya . Pengguna root sistem dapat dengan mudah menginstal keylogger atau perangkat lunak lain untuk secara diam-diam merekam frasa sandi Anda - mereka kemudian memiliki akses lengkap ke semua file Anda dan tanpa Anda tahu jika mereka memilihnya.

Pengguna root dari suatu sistem dapat melakukan segalanya pada sistem itu. Mereka pada dasarnya memiliki semua data yang terkait dengannya juga. KECUALI data Anda dienkripsi pada sistem yang berbeda dan kemudian dibawa dan Anda tidak mendekripsi, tetapi saya tidak berpikir kita berbicara tentang itu kita.

John Hunt
sumber
5
Mereka bahkan dapat memodifikasi perangkat lunak enkripsi sehingga menyerahkan kunci, atau menyalin file yang diuraikan ke / root atau apa pun .. tidak ada batasan untuk apa yang bisa mereka lakukan.
John Hunt