rootは暗号化された/ homeフォルダーを見ることができますか?


21

/ homeフォルダーを暗号化するためにecryptfsを使用するのかどうか疑問に思う

sudo ecryptfs-migrate-home -u username

root権限を持つ別のユーザーがパスワードを変更し、新しいパスワードを使用してアカウントにログインすると、暗号化された/ homeが表示されますか?

自分のパスワードを変更した場合、暗号化された/ homeに引き続きアクセスできると仮定しますが、rootがパスワードを変更して私としてログインするのとどう違うのですか?

回答:


28

簡単な答え:はい、いいえ


rootは暗号化された/ homeフォルダーを見ることができますか?

はい。ログインしている限り、rootおよびsudoユーザーは復号化されたファイルを見ることができます。また、睡眠から目覚めたとき、あなた/homeはまだ解読されます。

また、ログアウト時にecryptfs復号化された/homeフォルダをアンマウントできないというバグがあります。代わりに、マシンをシャットダウンまたは再起動するか、別のsudo / rootユーザーから手動でフォルダーをアンマウントする必要があります。詳細については、この質問を参照してください。

root権限を持つ別のユーザーがパスワードを変更し、新しいパスワードを使用してアカウントにログインすると、暗号化された/ homeが表示されますか?

いいえ。あなたの/homeフォルダはなく、あなたのパスワードで暗号化されたパスフレーズで、あなたのパスワードで暗号化されていません。別のユーザーがパスワードを変更しても、パスフレーズには影響しません。

管理パスワードの変更後の最初のログインでは、暗号化されたホームを手動でマウントし、パスフレーズを再ラップする必要があります。これらのタスクには、古いパスワードと新しいパスワードが必要です

ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

ときあなたはあなたのパスワードを変更するには、新しいパスワードを使用してファイルへのアクセスを続けている必要がありますので、ホームディレクトリのパスフレーズは、あなたの新しいパスワードで再暗号化されています。これは、PAM(Pluggable Authentication Modules)経由で処理されます(経由)。


参照してくださいこの関連の質問を。


10
ecryptfssystemdに問題があります。ユーザーがログインし、ホームフォルダーの暗号化が解除されると、そのユーザーがログインしたままであるかログアウトするかにかかわらず、ホームフォルダーはそのままになります。ホームフォルダーを再暗号化する唯一の方法は、システムを再起動することです。このバグはまだ修正されていません。
ストームロード

@Stormlord別の[root / sudo]ユーザーumountは、ログアウトしたユーザーの左マウントホームだけではできませんか?私のDebianシステムにはそのバグがないため、テストすることはできませんが、eCryptfsで暗号化されたホームユーザーがログインすると、追加の「type ecryptfs」マウントがあり、それでumount十分です。
Xen2050

はい、それで十分です。
pLumo

これは誤解を招きます。ルートは、トロイの木馬スタイルのプロンプトを使用して他のユーザーをだまし、すべてをログに記録するなど、必要なすべてを実行できます。詳細については、私の回答を参照してください。
ジョンハント

本当です。完全なディスク暗号化がない限り、物理的にアクセスできる人なら誰でもこれを実行できます。しかし、これは質問の目的ではありません。これ、そしてあなたのまだ有効な答えからコピーしたくありませんでした;-)
pLumo

11

唯一の答え:はい。システムのrootユーザーは、キーロガーまたは他のソフトウェアを簡単にインストールして、パスフレーズを静かに記録することができます。そうすれば、彼らはあなたがそうするかどうか知らずにすべてのファイルに完全にアクセスできます。

システムのrootユーザーは、そのシステムですべてを実行できます。彼らは本質的にそれに関連するすべてのデータも所有しています。データが別のシステムで暗号化されてから持ち込まれ、解読されなかった場合を除き、私たちがそれについて話しているとは思いません。


5
暗号化ソフトウェアを変更して、キーを渡すか、暗号化されたファイルを/ rootなどにコピーすることもできます。実行できることには制限がありません。
ジョンハント
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.