webentwicklung-frage-antwort-db.com.de

Kann root meinen verschlüsselten / privaten Ordner sehen?

Ich frage mich nur, ob ich ecryptfs verwende, um meinen/home-Ordner zu verschlüsseln

Sudo ecryptfs-migrate-home -u username

Kann ein anderer Benutzer mit Root-Rechten mein Passwort ändern und sich dann mit dem neuen Passwort bei meinem Konto anmelden, um meine verschlüsselte/Heimat zu sehen?

Wenn ich mein eigenes Passwort ändere, kann ich vermutlich immer noch auf mein verschlüsseltes Zuhause zugreifen. Wie unterscheidet es sich von root, wenn ich mein Passwort ändere und mich als ich anmelde?

21
albertma789

Kurze Antwort: Ja und nein .


Kann root meinen verschlüsselten/privaten Ordner sehen?

Ja . Solange Sie angemeldet sind, können sowohl root als auch jeder Sudo-Benutzer Ihre entschlüsselten Dateien sehen. Auch wenn Sie aus dem Schlaf aufwachen, wird Ihr /home immer noch entschlüsselt.

Außerdem gibt es einen Fehler in ecryptfs, der verhindert, dass der entschlüsselte /home -Ordner beim Abmelden abgemeldet wird. Sie sollten stattdessen den Computer herunterfahren oder neu starten oder den Ordner von einem anderen Sudo/root-Benutzer manuell aushängen. Siehe diese Frage für weitere Informationen.

Kann ein anderer Benutzer mit Root-Rechten mein Passwort ändern und sich dann mit dem neuen Passwort bei meinem Konto anmelden, um meine verschlüsselte/Heimat zu sehen?

Nein . Ihr /home -Ordner ist nicht mit Ihrem Passwort verschlüsselt, sondern mit einer Passphrase, die mit Ihrem Passwort verschlüsselt ist. Ein anderer Benutzer, der Ihr Passwort ändert, hat keinen Einfluss auf die Passphrase.

Bei der ersten Anmeldung nach einer Änderung des Administratorkennworts müssen Sie Ihr verschlüsseltes Zuhause manuell bereitstellen und die Passphrase neu schreiben. Für diese Aufgaben benötigen Sie Ihr altes und das neue Passwort

ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

Wenn Sie Ihr Passwort ändern , wird die Passphrase des Basisverzeichnisses mit Ihrem neuen Passwort neu verschlüsselt, sodass Sie weiterhin mit dem neuen Passwort auf Ihre Dateien zugreifen können sollten . Dies erfolgt über PAM (Pluggable Authentication Modules) ( via ).


Siehe this verwandte Frage.

28
pLumo

Die einzige Antwort: ja. Der Root-Benutzer eines Systems kann leicht einen Keylogger oder eine andere Software installieren, um Ihre Passphrase stillschweigend aufzuzeichnen. Er hat dann vollständigen Zugriff auf alle Ihre Dateien, ohne dass Sie wissen, ob er dies wünscht.

Der Root-Benutzer eines Systems kann auf diesem System alles ausführen. Sie besitzen im Wesentlichen auch alle damit verbundenen Daten. AUSSER Ihre Daten wurden auf einem anderen System verschlüsselt und dann übertragen und Sie haben sie nicht entschlüsselt, aber ich glaube nicht, dass wir darüber reden, dass wir es sind.

11
John Hunt