我对Ubuntu的加密家目录与TrueCrypt分区(我以前使用过的)的工作原理有些不确定。当我登录时,其他计算机上的用户是否能够访问我的加密家目录中的文件?
2个回答
如果您启用Ubuntu的主目录加密功能,当它被挂载时,您的
这与默认的Ubuntu主目录权限相反,默认权限为755(
这些被称为自主访问控制(DAC),并源自UNIX的早期。
根用户(可能通过上面提到的sudo)在某种程度上具有特权,使其能够访问任何文件或目录,而不受DAC权限的限制。这意味着是的,当您的主目录被挂载时,根用户可以浏览您的主目录。
然而,当您的主目录未被挂载时,根用户需要您的登录密码(或更具体地说,您随机生成的挂载密码)才能挂载和解密您的数据。
总的来说,我们使用的加密文件系统(eCryptfs)旨在保护硬盘上静止的数据,而不是保护您免受自己的根用户的侵害。
完全透明化:我是Ubuntu的加密主目录功能的作者,也是eCryptfs的当前维护者。
$HOME目录将具有权限700(rwx------),而在未挂载时将具有权限500(r-x------)。这意味着只有您作为非root用户才能在挂载时读取/写入/浏览您的主目录。而在未挂载时,您可以读取/浏览,但无法修改主目录的内容。这旨在防止您意外地将未加密的数据写入主目录。这与默认的Ubuntu主目录权限相反,默认权限为755(
rwxr-xr-x)。该权限允许系统上的任何本地用户读取和浏览您的主目录。这个默认设置是很久以前为了"共享"和"开放性"而选择的。这些被称为自主访问控制(DAC),并源自UNIX的早期。
根用户(可能通过上面提到的sudo)在某种程度上具有特权,使其能够访问任何文件或目录,而不受DAC权限的限制。这意味着是的,当您的主目录被挂载时,根用户可以浏览您的主目录。
然而,当您的主目录未被挂载时,根用户需要您的登录密码(或更具体地说,您随机生成的挂载密码)才能挂载和解密您的数据。
总的来说,我们使用的加密文件系统(eCryptfs)旨在保护硬盘上静止的数据,而不是保护您免受自己的根用户的侵害。
完全透明化:我是Ubuntu的加密主目录功能的作者,也是eCryptfs的当前维护者。
- Dustin Kirkland
1
1太棒了!感谢对系统背后思想的解释。我一直在想为什么默认权限是755。 - Leo
原则上它们可以,但是家目录的默认权限(
rwxr-x---)禁止这样做。- enzotib
1
那么,如果其他用户有root(sudo)访问权限呢? - ams