webentwicklung-frage-antwort-db.com.de

Ist mein verschlüsselter Home-Ordner für andere Benutzer geöffnet, wenn ich angemeldet bin?

Ich bin mir ein bisschen unsicher, wie der mit Ubuntus verschlüsselte Home-Ordner im Vergleich zu einer TrueCrypt-Partition (die ich zuvor verwendet habe) funktioniert. Können andere Benutzer auf meinem Computer, wenn ich angemeldet bin, auf die Dateien in meinem verschlüsselten Basisordner zugreifen?

9
Leo

Wenn Sie Ubuntus Home Directory Encryption aktivieren, verfügt Ihr $HOME -Verzeichnis über Berechtigungen 700 (rwx------), wenn es bereitgestellt wird, und über Berechtigungen 500 (r-x------), wenn es nicht bereitgestellt wird. Dies bedeutet, dass Sie der einzige Nicht-Root-Benutzer sind, der in der Lage ist, Ihr Home-Verzeichnis zu lesen, zu schreiben oder zu durchsuchen, wenn es gemountet ist. Und wenn es nicht gemountet ist, können Sie den Inhalt Ihres Home-Verzeichnisses lesen/durchsuchen, aber nicht ändern. Dies soll verhindern, dass Sie versehentlich unverschlüsselte Daten in Ihr Home-Verzeichnis schreiben.

Dies steht im Gegensatz zu den Standardberechtigungen für Ubuntu Home Directory (755 (rwxr-xr-x)). Mit dieser Berechtigung kann jeder lokale Benutzer auf dem System Ihr Basisverzeichnis lesen und durchsuchen. Diese Voreinstellung wurde für Ubuntu vor langer, langer Zeit im Interesse von "Teilen" und "Offenheit" gewählt.

Diese werden als Discretionary Access Controls (DAC) bezeichnet und stammen aus den frühesten Tagen von UNIX.

Der Root-Benutzer (möglicherweise über Sudo , wie oben erwähnt) ist so privilegiert, dass er unabhängig von den vorhandenen DAC-Berechtigungen auf alle Dateien oder Verzeichnisse zugreifen kann. Das bedeutet, dass der Root-Benutzer Ihr Home-Verzeichnis durchsuchen kann, während Ihr Home-Verzeichnis gemountet ist.

Wenn Ihr Home-Verzeichnis jedoch nicht bereitgestellt wird, benötigt der Root-Benutzer Ihre Anmelde-Passphrase (oder genauer Ihre zufällig generierte Bereitstellungs-Passphrase), um Ihre Daten bereitzustellen und zu entschlüsseln.

Im Allgemeinen soll das verschlüsselte Dateisystem, das wir verwenden (eCryptfs), Ihre Daten in Ruhe auf der Festplatte schützen, anstatt Sie vor Ihrem eigenen Root-Benutzer zu schützen.

Vollständige Offenlegung: Ich bin der Autor von Ubuntus Encrypted Home Directory-Funktion und der aktuelle Betreuer von eCryptfs.

11
Dustin Kirkland

Im Prinzip können sie dies, aber die Standardberechtigungen für das Basisverzeichnis (rwxr-x---) verbieten dies.

2
enzotib