Je me demande simplement si j'utilise ecryptfs pour crypter mon dossier / home
sudo ecryptfs-migrate-home -u username
Un autre utilisateur disposant du privilège root peut-il modifier mon mot de passe, puis se connecter à mon compte à l'aide du nouveau mot de passe pour voir mon crypté / home?
Si je change mon propre mot de passe, je suppose que je peux toujours accéder à mon / crypté à la maison, en quoi est-ce différent de root changer mon mot de passe et me connecter en tant que moi?
Réponses:
Réponse courte: oui et non .
Est-ce que root peut voir mon dossier / home chiffré?
Oui . Tant que vous êtes connecté, root et tout utilisateur sudo peuvent voir vos fichiers décryptés . De plus, lorsque vous vous réveillerez du sommeil, votre /homesera toujours décrypté.
Il existe également un bogue ecryptfsqui empêche le démontage du /homedossier déchiffré lors de la déconnexion. Vous devez à la place arrêter ou redémarrer la machine ou démonter manuellement le dossier d'un autre utilisateur sudo / root. Voir cette question pour plus d'informations.
Un autre utilisateur disposant du privilège root peut-il modifier mon mot de passe, puis se connecter à mon compte à l'aide du nouveau mot de passe pour voir mon crypté / home?
Non . Votre /homedossier n'est pas chiffré avec votre mot de passe, mais avec une phrase secrète qui est chiffrée avec votre mot de passe. Un autre utilisateur modifiant votre mot de passe n'affectera pas la phrase secrète.
Lors de la première connexion après un changement de mot de passe administratif, vous devez monter manuellement votre maison chiffrée et reconditionner la phrase secrète. Pour ces tâches, vous avez besoin de votre ancien et du nouveau mot de passe
ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase
Lorsque vous modifiez votre mot de passe, la phrase secrète du répertoire personnel est rechiffrée avec votre nouveau mot de passe, vous devez donc continuer à accéder à vos fichiers avec le nouveau mot de passe. Ceci est géré via PAM (Pluggable Authentication Modules) ( via ).
Voir cette question connexe.
umountinstaller la maison de gauche de l'utilisateur déconnecté? Mon système Debian n'a pas ce bogue, donc je ne peux pas le tester, mais quand un utilisateur domestique crypté eCryptfs est connecté, il a un montage "type ecryptfs" supplémentaire, il suffit umountque cela soit suffisant.
La seule réponse: oui . L'utilisateur root d'un système pourrait facilement installer un enregistreur de frappe ou un autre logiciel pour enregistrer silencieusement votre phrase secrète - ils ont alors un accès complet à tous vos fichiers et sans que vous sachiez s'ils le souhaitent.
L'utilisateur root d'un système peut tout faire sur ce système. Ils possèdent également essentiellement toutes les données qui lui sont associées. À MOINS QUE vos données aient été chiffrées sur un autre système, puis transférées et que vous ne les ayez pas déchiffrées, mais je ne pense pas que nous parlons de cela.
ecryptfset systemd. Une fois qu'un utilisateur est connecté et que le dossier de départ est déchiffré, cela reste ainsi, que cet utilisateur reste connecté ou qu'il se déconnecte. La seule façon de rechiffrer le dossier de départ est de redémarrer le système. Ce bug n'a pas encore été corrigé.