Jika Anda memiliki akun dengan folder rumah terenkripsi, Anda tidak dapat mengakses data teks biasa pengguna di folder rumah mereka jika pengguna tersebut belum masuk, karena sistem terakhir kali boot. Ini yang saya harapkan karena seharusnya tidak layak untuk mengakses folder home pengguna tanpa kata sandi mereka dimasukkan.
Namun, saya menemukan bahwa ketika pengguna dengan folder rumah terenkripsi masuk dan kemudian keluar, data teks biasa di folder rumah mereka masih dapat diakses oleh pengguna lain. Hak akses yang memadai diperlukan, tentu saja.
w
tidak mencantumkan pengguna dan output sudo pgrep -u <username>
kosong, menunjukkan bahwa pengguna tidak memiliki proses yang berjalan.
Apa alasan perilaku ini? Mengapa tidak mengunci folder rumah saja setelah logout?
grep -Fe ecryptfs /var/log/auth.log
dari sekitar waktu pengguna keluar?Jawaban:
Bug yang dikenal
Jika saya mengerti dengan benar, ini adalah bug yang dikenal.
Lihat tautan ini: wiki.archlinux.org/index.php/ECryptfs
Gulir ke bawah ke paragraf merah muda
Bekerja di sekitar
Seperti sekarang, Anda lebih baik turun menutup atau restart untuk menghapus jejak (Hal ini tidak cukup untuk log out).
sumber
Saya tidak dapat menguji atau mengkonfirmasi ini, tetapi dengan asumsi bahwa Anda menggunakan
ecryptfs
(yang menawarkan Ubuntu selama instalasi, IIRC), data terenkripsi disimpan dalam folder tersembunyi/home/.encryptfs/$USER
dan dipasang ke lokasi folder rumah Anda yang sebenarnya menggunakanecryptfs
driver ketika Anda log di.Kemungkinan besar, kemudian, apa yang terjadi adalah ketika Anda logout, ia gagal untuk secara otomatis meng-unmount direktori tersebut, sehingga file-file tersebut masih dapat diakses. Ini bisa disebabkan oleh ...
Satu hal yang dapat membantu Anda memeriksa ini adalah untuk menjalankan
sudo mount | grep home
sebelum masuk, setelah masuk, dan setelah keluar untuk melihat apakah ada sesuatu yang melibatkanhome
sedang dipasang. Anda juga bisa mencari/etc/fstab
entri yang relevan. Akhirnya, ada beberapa konfigurasi/home/.ecryptfs/$USER/.ecryptfs/
dengan pengaturan terkait untuk automounting / unmount.Informasi yang berguna tentang
ecryptfs
dapat ditemukan dalam jawaban ini dan di ArchWiki yang selalu membantu .sumber
/etc/fstab
entri saya kecuali 1 yang mengatakan bahwa satu-satunya partisi data saya harus di-mount ke/
dan 1 entri yang tentang beberapa sumber daya jaringan terkait universitas. Haruskah saya mencoba keluar dengan cara yang berbeda? Jika demikian: Bagaimana?ecryptfs
itu sendiri. Namun, pada catatan itu, apakah Anda menggunakanssh
atau masuk melalui terminal teks? Dimungkinkan untuk menulis skrip yang akan mengurungkan unmount pada logout jika kita menemukan tempat untuk meletakkannya.Edit
/etc/systemd/logind.conf
dan aturKillUserProcesses=yes
Perhatikan bahwa ini program istirahat latar belakang,
screen
,tmux
, dan mirip ...Pertanyaan ini di sini membahasnya secara lebih rinci. Saya menemukan mendefinisikan layanan systemd baru tidak perlu (atau lebih tepatnya, bukan perilaku yang diinginkan, karena dipanggil sebagai hook shutdown, bukan ketika sesi pengguna berakhir).
/unix/251902/ecryptfs-auto-umount-does-not-work
sumber
Saya telah meneliti masalah ini selama beberapa waktu, yaitu, sistem file yang tidak terenkripsi tetap dipasang setelah pengguna keluar.
Saya menggunakan "ecryptfs-migrate-home -u user" untuk membuat mount. mengikuti arahan dan semua berfungsi kecuali tidak ada auto-unmount saat logout.
Saya membandingkan file config di /etc/pam.d/ dengan dokumentasi pam_ecryptfs dan menemukan beberapa perbedaan. ecryptfs ada di 4 file pam.d config sedangkan pam_ecryptfs docs mengindikasikan hanya 2 file yang perlu / harus / mendukung ecryptfs, misalnya,
Jadi, saya berkomentar 2 contoh lainnya, reboot, dan semuanya bekerja, mount otomatis saat login dan auto-unmount logout untuk kedua login grafis dan konsol. (Saya menggunakan tty alternatif untuk memverifikasi dari akun root)
Ini ada di 18.04 Lubuntu di laptop, desktop, dan virtualbox guest (windows host).
Saya tertarik pada pengalaman orang lain.
edit_1: kata-kata yang lebih baik. edit_2: menambahkan hasil tes desktop dan VB.
sumber
Saya melakukannya dengan skrip di rclocal
sumber
Jika Anda tidak memerlukan akses dari cron atau di pekerjaan (tugas non-interaktif) ke direktori home APAPUN Anda hanya perlu mengomentari baris
di
/etc/pam.d/common-session-noninteractive
.Ini akan menyebabkan semua direktori home terenkripsi untuk di-unmount ketika pengguna logout.
sumber