Si tiene una cuenta con una carpeta de inicio cifrada, no puede acceder a los datos de texto sin formato del usuario en su carpeta de inicio si ese usuario aún no ha iniciado sesión desde la última vez que se inició el sistema. Esto es lo que esperaba porque, de hecho, no debería ser prácticamente factible acceder a la carpeta de inicio de un usuario sin ingresar su contraseña.
Sin embargo, descubrí que cuando un usuario con una carpeta de inicio cifrada inicia sesión y luego se desconecta, los datos de texto sin formato en su carpeta de inicio siguen siendo accesibles para otros usuarios. Se requieren privilegios de acceso suficientes, por supuesto.
w
no enumera al usuario y la salida de sudo pgrep -u <username>
está vacía, lo que indica que el usuario no tiene ningún proceso en ejecución.
¿Cuál es la razón de este comportamiento? ¿Por qué no simplemente bloquear la carpeta de inicio del usuario después de cerrar sesión?
grep -Fe ecryptfs /var/log/auth.log
alrededor del tiempo en que el usuario cerró la sesión?