Gostaria de saber se eu uso ecryptfs para criptografar minha pasta / home
sudo ecryptfs-migrate-home -u username
Outro usuário com privilégio de root pode alterar minha senha e fazer login na minha conta usando a nova senha, ver minha página inicial / criptografada?
Se eu alterar minha própria senha, suponho que ainda possa acessar minha casa criptografada / doméstica, como é diferente da alteração da raiz da minha senha e do login como eu?
Sim . Enquanto você estiver logado, o root e qualquer usuário sudo poderão ver seus arquivos descriptografados . Além disso, quando você acorda do sono, você /homeainda será descriptografado.
Também existe um erro ecryptfsque impede a desmontagem da /homepasta descriptografada no logout. Em vez disso, você deve desligar ou reiniciar a máquina ou desmontar manualmente a pasta de outro usuário sudo / root. Veja esta pergunta para mais informações.
Outro usuário com privilégio de root pode alterar minha senha e fazer login na minha conta usando a nova senha, ver minha página inicial / criptografada?
Não . Sua /homepasta não é criptografada com sua senha, mas com uma senha que é criptografada com sua senha. Outro usuário alterando sua senha não afetará a senha.
No primeiro login após a alteração da senha administrativa, você deve montar sua casa criptografada manualmente e refazer a senha. Para essas tarefas, você precisa da sua senha antiga e da nova
Quando você altera sua senha, a senha do diretório inicial é criptografada com sua nova senha; portanto, você deve ter acesso contínuo aos seus arquivos com a nova senha. Isso é tratado via PAM (Pluggable Authentication Modules) ( via ).
Há um problema com ecryptfse systemd. Depois que um usuário faz login e a pasta pessoal é descriptografada, permanece assim, se esse usuário permanecer conectado ou se sair. A única maneira de criptografar novamente a pasta pessoal é reiniciar o sistema. Este bug ainda não foi corrigido.
Stormlord 4/09/18
@Stormlord Não foi possível outro usuário [root / sudo] apenas umounta casa montada à esquerda do usuário desconectado? Meu sistema Debian não possui esse bug, então não posso testá-lo, mas quando um usuário doméstico criptografado pelo eCryptfs está logado, ele tem uma montagem "tipo ecryptfs" extra, apenas umountdeve ser suficiente.
Xen2050
sim, isso é realmente suficiente.
PLumo #
Isso é enganoso. O Root pode fazer o que quiser, incluindo enganar outros usuários por meio de prompts de estilo trojan, registrar tudo, etc. Veja minha resposta para detalhes.
John Hunt
Verdade. Qualquer pessoa com acesso físico também pode fazer isso, a menos que você tenha criptografia de disco completa. Mas não é disso que se trata a questão. Isso e eu não queria copiar da sua resposta ainda válida ;-)
pLumo 25/03
11
A única resposta: sim . O usuário root de um sistema pode instalar facilmente um keylogger ou outro software para gravar silenciosamente sua senha - eles terão acesso completo a todos os seus arquivos e sem que você saiba se o deseja.
O usuário root de um sistema pode fazer tudo nesse sistema. Eles também possuem todos os dados associados a ele. A menos que seus dados tenham sido criptografados em um sistema diferente e, em seguida, tenham sido trazidos para você, você não descriptografou, mas acho que não estamos falando sobre isso.
Eles podem até modificar o software de criptografia para que ele entregue a chave ou copie arquivos decodificados para / root ou qualquer outra coisa ... não há limite para o que eles poderiam fazer.
ecryptfs
e systemd. Depois que um usuário faz login e a pasta pessoal é descriptografada, permanece assim, se esse usuário permanecer conectado ou se sair. A única maneira de criptografar novamente a pasta pessoal é reiniciar o sistema. Este bug ainda não foi corrigido.umount
a casa montada à esquerda do usuário desconectado? Meu sistema Debian não possui esse bug, então não posso testá-lo, mas quando um usuário doméstico criptografado pelo eCryptfs está logado, ele tem uma montagem "tipo ecryptfs" extra, apenasumount
deve ser suficiente.A única resposta: sim . O usuário root de um sistema pode instalar facilmente um keylogger ou outro software para gravar silenciosamente sua senha - eles terão acesso completo a todos os seus arquivos e sem que você saiba se o deseja.
O usuário root de um sistema pode fazer tudo nesse sistema. Eles também possuem todos os dados associados a ele. A menos que seus dados tenham sido criptografados em um sistema diferente e, em seguida, tenham sido trazidos para você, você não descriptografou, mas acho que não estamos falando sobre isso.
fonte