Me pregunto si uso ecryptfs para cifrar mi carpeta / home
sudo ecryptfs-migrate-home -u username
¿Puede otro usuario con privilegio de root cambiar mi contraseña, luego iniciar sesión en mi cuenta con la nueva contraseña y ver mi encriptado / inicio?
Si cambio mi propia contraseña, supongo que todavía puedo acceder a mi encriptado / inicio, ¿en qué se diferencia de la raíz cambiando mi contraseña e inicie sesión como yo?
Respuestas:
Respuesta corta: sí y no .
¿Puede root ver mi carpeta encriptada / de inicio?
Sí . Mientras esté conectado, tanto el usuario root como cualquier usuario de sudo pueden ver sus archivos descifrados . Además, cuando te levantas del sueño, tu/home aún se descifrará.
También hay un error ecryptfsque impide desmontar la /homecarpeta descifrada al cerrar sesión. En su lugar, debe apagar o reiniciar la máquina o desmontar manualmente la carpeta de otro usuario sudo / root. Vea esta pregunta para más información.
¿Puede otro usuario con privilegio de root cambiar mi contraseña, luego iniciar sesión en mi cuenta con la nueva contraseña y ver mi encriptado / inicio?
No se . Su /homecarpeta no está encriptada con su contraseña, sino con una frase de contraseña que está encriptada con su contraseña. Otro usuario que cambie su contraseña no afectará la frase de contraseña.
En el primer inicio de sesión después de un cambio de contraseña administrativa, debe montar su hogar cifrado manualmente y volver a envolver la frase de contraseña. Para estas tareas, necesita su contraseña anterior y la nueva.
ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase
Cuando se cambia la contraseña, la contraseña directorio principal es re-encriptado con su nueva contraseña, por lo que debe tener acceso continuo a sus archivos con la nueva contraseña. Esto se maneja a través de PAM (Módulos de autenticación conectables) (a través de ).
Ver esta pregunta relacionada.
umountel hogar montado a la izquierda del usuario desconectado? Mi sistema Debian no tiene ese error, así que no puedo probarlo, pero cuando un usuario doméstico cifrado con eCryptfs está conectado, tiene un montaje adicional de "tipo ecryptfs", solo umountdebería ser suficiente.
La única respuesta: sí . El usuario raíz de un sistema podría instalar fácilmente un keylogger u otro software para grabar silenciosamente su frase de contraseña; luego, tendrán acceso completo a todos sus archivos y sin que usted sepa si así lo eligen.
El usuario root de un sistema puede hacer todo en ese sistema. Básicamente, poseen todos los datos asociados con él también. A MENOS QUE sus datos fueron encriptados en un sistema diferente y luego fueron traídos y usted no los descifró, pero no creo que estemos hablando de eso.
ecryptfsy systemd. Una vez que un usuario inicia sesión y se descifra la carpeta de inicio, permanece así si ese usuario permanece conectado o si cierra sesión. La única forma de volver a cifrar la carpeta de inicio es reiniciar el sistema. Este error aún no se ha solucionado.