只是想知道如果我使用ecryptfs来加密我的/home文件夹。
sudo ecryptfs-migrate-home -u username
另一个拥有root权限的用户可以更改我的密码,然后使用新密码登录我的帐户,查看我的加密/home吗?
如果我自己更改密码,我想我仍然可以访问我的加密/home,这与root更改我的密码并以我的身份登录有何不同?
2个回答
简短回答:是和不是。
可以。只要您已登录,root用户和任何有sudo权限的用户都可以看到您的解密文件。即使从睡眠中醒来,您的
此外,在注销时,
在进行管理密码更改后的首次登录时,您需要手动挂载您的加密家目录并重新包装密码短语。完成这些任务需要您的旧密码和新密码。
当你更改密码时,主目录的密语将使用新密码重新加密,因此你应该可以继续使用新密码访问你的文件。这是通过PAM(可插拔认证模块)处理的(通过)。
查看相关问题,请点击this。
可以。只要您已登录,root用户和任何有sudo权限的用户都可以看到您的解密文件。即使从睡眠中醒来,您的
/home仍然是解密的。此外,在注销时,
ecryptfs存在一个bug,无法卸载解密的/home文件夹。因此,您应该关机或重启计算机,或者通过其他sudo/root用户手动卸载该文件夹。详情请参考this question。
不可以。您的另一个具有root权限的用户能否更改我的密码,然后使用新密码登录我的帐户并查看我的加密/home文件夹?
/home文件夹不是使用您的密码加密的,而是使用一个与您的密码加密的密码短语进行加密。其他用户更改您的密码不会影响密码短语。在进行管理密码更改后的首次登录时,您需要手动挂载您的加密家目录并重新包装密码短语。完成这些任务需要您的旧密码和新密码。
ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase
当你更改密码时,主目录的密语将使用新密码重新加密,因此你应该可以继续使用新密码访问你的文件。这是通过PAM(可插拔认证模块)处理的(通过)。
查看相关问题,请点击this。
- pLumo
5
唯一的答案是:是的。系统的根用户可以轻松安装键盘记录器或其他软件,悄无声息地记录下您的密码短语 - 如果他们选择这样做,他们将完全访问所有您的文件,而您却毫不知情。
系统的根用户可以在该系统上执行任何操作。他们实际上也拥有与之相关的所有数据。除非您的数据在另一个系统上进行了加密,然后再传输过来并且您没有解密它,但我想我们不是在谈论那个问题吧。
系统的根用户可以在该系统上执行任何操作。他们实际上也拥有与之相关的所有数据。除非您的数据在另一个系统上进行了加密,然后再传输过来并且您没有解密它,但我想我们不是在谈论那个问题吧。
- John Hunt
1
5他们甚至可以修改加密软件,以便交出密钥,或者将解密后的文件复制到/root或其他地方...他们可以做的事情没有限制。 - John Hunt
ecryptfs和systemd存在一个问题。一旦用户登录并解密了家目录,无论该用户是否保持登录状态或者注销,家目录都会保持解密状态。唯一重新加密家目录的方法是重新启动系统。这个错误目前还没有修复。 - Stormlordumount命令卸载已注销用户的挂载的主目录吗?我的Debian系统没有这个bug,所以我无法测试,但是当一个eCryptfs加密主目录的用户登录时,会有一个额外的"类型为ecryptfs"的挂载点,只需要使用umount命令将其卸载即可。 - Xen2050