Estou um pouco inseguro sobre como a pasta inicial criptografada do ubuntus funciona em comparação com uma partição truecrypt (que é o que eu usei antes). Quando eu estiver conectado, outros usuários no meu computador poderão acessar os arquivos na minha pasta pessoal criptografada?
Se você habilitar a Criptografia de Diretório Inicial do Ubuntu, seu $HOMEdiretório terá permissões 700 ( rwx------) quando montadas e permissões 500 ( r-x------) quando não montadas. Isso significa que você é o único usuário não raiz que poderá ler / gravar / navegar no seu diretório pessoal quando ele estiver montado. E quando não estiver montado, você poderá ler / navegar, mas não modificar o conteúdo do seu diretório pessoal. Isso visa impedir que você inadvertidamente grave dados não criptografados no diretório inicial.
Isso contrasta com as permissões padrão do Diretório Inicial do Ubuntu, que são 755 ( rwxr-xr-x). Essa permissão permite que qualquer usuário local no sistema leia e navegue em seu diretório pessoal. Esse padrão foi escolhido para o Ubuntu há muito, muito tempo, no interesse de "compartilhamento" e "abertura".
Estes são chamados de Controles de Acesso Discricionário (DAC) e vêm dos primeiros dias do próprio UNIX.
O usuário root (talvez via sudo, como você mencionou acima), tem privilégios de forma a permitir o acesso a qualquer arquivo ou diretório, independentemente das permissões do DAC em vigor. Isso significa que sim, enquanto o diretório inicial estiver montado, o usuário root poderá navegar no diretório inicial.
No entanto, quando o diretório inicial não está montado, o usuário root precisaria da sua senha de login (ou, mais especificamente, da senha de montagem gerada aleatoriamente) para montar e descriptografar seus dados.
Em geral, o sistema de arquivos criptografado que usamos (eCryptfs) destina-se a proteger seus dados em repouso no disco rígido, em vez de protegê-lo de seu próprio usuário root.
Divulgação completa: Sou o autor do recurso Diretório Inicial Criptografado do Ubuntu e o atual mantenedor do eCryptfs.
Em princípio, eles podem, mas as permissões padrão no diretório inicial (
rwxr-x---) proíbem isso.fonte