/ homeフォルダーを暗号化するためにecryptfsを使用するのかどうか疑問に思う
sudo ecryptfs-migrate-home -u username
root権限を持つ別のユーザーがパスワードを変更し、新しいパスワードを使用してアカウントにログインすると、暗号化された/ homeが表示されますか?
自分のパスワードを変更した場合、暗号化された/ homeに引き続きアクセスできると仮定しますが、rootがパスワードを変更して私としてログインするのとどう違うのですか?
/ homeフォルダーを暗号化するためにecryptfsを使用するのかどうか疑問に思う
sudo ecryptfs-migrate-home -u username
root権限を持つ別のユーザーがパスワードを変更し、新しいパスワードを使用してアカウントにログインすると、暗号化された/ homeが表示されますか?
自分のパスワードを変更した場合、暗号化された/ homeに引き続きアクセスできると仮定しますが、rootがパスワードを変更して私としてログインするのとどう違うのですか?
回答:
簡単な答え:はい、いいえ。
rootは暗号化された/ homeフォルダーを見ることができますか?
はい。ログインしている限り、rootおよびsudoユーザーは復号化されたファイルを見ることができます。また、睡眠から目覚めたとき、あなた/homeはまだ解読されます。
また、ログアウト時にecryptfs復号化された/homeフォルダをアンマウントできないというバグがあります。代わりに、マシンをシャットダウンまたは再起動するか、別のsudo / rootユーザーから手動でフォルダーをアンマウントする必要があります。詳細については、この質問を参照してください。
root権限を持つ別のユーザーがパスワードを変更し、新しいパスワードを使用してアカウントにログインすると、暗号化された/ homeが表示されますか?
いいえ。あなたの/homeフォルダはなく、あなたのパスワードで暗号化されたパスフレーズで、あなたのパスワードで暗号化されていません。別のユーザーがパスワードを変更しても、パスフレーズには影響しません。
管理パスワードの変更後の最初のログインでは、暗号化されたホームを手動でマウントし、パスフレーズを再ラップする必要があります。これらのタスクには、古いパスワードと新しいパスワードが必要です
ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase
ときあなたはあなたのパスワードを変更するには、新しいパスワードを使用してファイルへのアクセスを続けている必要がありますので、ホームディレクトリのパスフレーズは、あなたの新しいパスワードで再暗号化されています。これは、PAM(Pluggable Authentication Modules)経由で処理されます(経由)。
参照してくださいこの関連の質問を。
umountは、ログアウトしたユーザーの左マウントホームだけではできませんか?私のDebianシステムにはそのバグがないため、テストすることはできませんが、eCryptfsで暗号化されたホームユーザーがログインすると、追加の「type ecryptfs」マウントがあり、それでumount十分です。
唯一の答え:はい。システムのrootユーザーは、キーロガーまたは他のソフトウェアを簡単にインストールして、パスフレーズを静かに記録することができます。そうすれば、彼らはあなたがそうするかどうか知らずにすべてのファイルに完全にアクセスできます。
システムのrootユーザーは、そのシステムですべてを実行できます。彼らは本質的にそれに関連するすべてのデータも所有しています。データが別のシステムで暗号化されてから持ち込まれ、解読されなかった場合を除き、私たちがそれについて話しているとは思いません。
ecryptfssystemdに問題があります。ユーザーがログインし、ホームフォルダーの暗号化が解除されると、そのユーザーがログインしたままであるかログアウトするかにかかわらず、ホームフォルダーはそのままになります。ホームフォルダーを再暗号化する唯一の方法は、システムを再起動することです。このバグはまだ修正されていません。