क्या रूट मेरे एन्क्रिप्टेड / होम फोल्डर को देख सकता है?

21

अगर मैं अपने / होम फोल्डर को एन्क्रिप्ट करने के लिए ई-क्रिप्टो का उपयोग करता हूं तो बस सोच रहा हूं

sudo ecryptfs-migrate-home -u username

क्या रूट विशेषाधिकार वाला कोई अन्य उपयोगकर्ता मेरा पासवर्ड बदल सकता है, फिर नए पासवर्ड का उपयोग करके मेरा खाता लॉग इन करें?

यदि मैं अपना पासवर्ड बदल देता हूं, तो मुझे लगता है कि मैं अभी भी अपने एन्क्रिप्टेड / होम एक्सेस कर सकता हूं, यह मेरे पासवर्ड को रूट करने से अलग कैसे है और मेरे साथ लॉगिन करें?

permissions  password  encryption  ecryptfs 
albertma789
स्रोत

जवाबों:

28

संक्षिप्त उत्तर: हां और नहीं

क्या रूट मेरे एन्क्रिप्टेड / होम फोल्डर को देख सकता है?

जी हां । जब तक आप लॉग इन होते हैं, रूट के साथ-साथ कोई भी sudo उपयोगकर्ता आपकी डिक्रिप्टेड फ़ाइलों को देख सकता है । इसके अलावा, जब आप नींद से उठते हैं, तब /homeभी आपका डिक्रिप्ट हो जाएगा।

इसके अलावा इसमें एक बग है ecryptfsजो /homeलॉगआउट में डिक्रिप्ट किए गए फ़ोल्डर को अनमाउंट करने से रोकता है । आपको मशीन को शटडाउन या पुनरारंभ करना चाहिए या फ़ोल्डर को किसी अन्य sudo / रूट उपयोगकर्ता से अनमाउंट करना चाहिए। अधिक जानकारी के लिए यह प्रश्न देखें ।

क्या रूट विशेषाधिकार वाला कोई अन्य उपयोगकर्ता मेरा पासवर्ड बदल सकता है, फिर नए पासवर्ड का उपयोग करके मेरा खाता लॉग इन करें?

नहीं । आपका /homeफ़ोल्डर आपके पासवर्ड से एन्क्रिप्ट नहीं किया गया है, लेकिन एक पासफ़्रेज़ के साथ जो आपके पासवर्ड से एन्क्रिप्ट किया गया है। आपके पासवर्ड को बदलने वाला कोई अन्य उपयोगकर्ता पासफ़्रेज़ को प्रभावित नहीं करेगा।

प्रशासनिक पासवर्ड बदलने के बाद पहले लॉगिन पर, आपको अपने एन्क्रिप्टेड होम को मैन्युअल रूप से माउंट करना होगा और पासफ़्रेज़ को फिर से लिखना होगा। इन कार्यों के लिए आपको अपना पुराना और नया पासवर्ड चाहिए

ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

जब आप अपना पासवर्ड बदलते हैं, तो होम डायरेक्टरी पासफ़्रेज़ आपके नए पासवर्ड के साथ फिर से एन्क्रिप्ट हो जाता है, इसलिए आपको नए पासवर्ड के साथ अपनी फ़ाइलों तक पहुंच जारी रखनी चाहिए। यह पीएएम (प्लगेबल ऑथेंटिकेशन मौड्यूल) (के माध्यम से नियंत्रित किया जाता है के माध्यम से )।

इससे संबंधित प्रश्न देखें ।

pLumo
स्रोत
10
ecryptfsसिस्टम और सिस्टम के साथ एक मुद्दा है । एक बार जब कोई उपयोगकर्ता लॉग इन हो जाता है और होम फोल्डर डिक्रिप्ट हो जाता है, तो यह इस तरह से रहता है कि क्या वह उपयोगकर्ता लॉग इन रहता है या वे लॉग आउट होते हैं। होम फ़ोल्डर को फिर से एन्क्रिप्ट करने का एकमात्र तरीका सिस्टम को पुनरारंभ करना है। यह बग अभी तक ठीक नहीं किया गया है।
स्टॉर्मलॉर्ड
@Stormlord एक अन्य [रूट / sudo] उपयोगकर्ता नहीं कर सका umountजो केवल उपयोगकर्ता के बाएं-घर पर लॉग आउट हुआ है? मेरे डेबियन सिस्टम में वह बग नहीं है, इसलिए मैं इसका परीक्षण नहीं कर सकता, लेकिन जब एक ईक्रिप्टेड एन्क्रिप्टेड होम उपयोगकर्ता लॉग इन किया जाता है, तो उनके पास एक अतिरिक्त "टाइप इकोक्रिप्ट" माउंट होता है, बस umountइसे पर्याप्त होना चाहिए।
Xen2050 7
हाँ, यह वास्तव में पर्याप्त है।
प्‍लूमो
यह भ्रामक है। रूट कुछ भी कर सकते हैं जिसमें वे ट्रोजन स्टाइल प्रॉम्प्ट के माध्यम से अन्य उपयोगकर्ताओं को बरगलाते हैं, सब कुछ लॉगिंग आदि करते हैं। विस्तार से मेरा उत्तर देखें।
जॉन हंट
सच। भौतिक पहुंच वाला कोई भी व्यक्ति ऐसा कर सकता है जब तक कि आपके पास पूर्ण डिस्क एन्क्रिप्शन न हो। लेकिन यह इमो नहीं है कि सवाल क्या है। यह, और मैं आपके अभी भी वैध उत्तर से कॉपी नहीं करना चाहता ;-)
pLumo
11

एकमात्र उत्तर: हाँ । सिस्टम का रूट उपयोगकर्ता आसानी से आपके पासफ़्रेज़ को रिकॉर्ड करने के लिए एक कीगलर या अन्य सॉफ़्टवेयर को आसानी से स्थापित कर सकता है - उनके पास आपकी सभी फ़ाइलों तक पूरी पहुंच है और आपके बिना यह जानने के कि क्या वे चुनते हैं।

किसी सिस्टम का रूट उपयोगकर्ता उस सिस्टम पर सब कुछ कर सकता है। वे अनिवार्य रूप से इससे जुड़े सभी डेटा के मालिक हैं। कम से कम आपके डेटा को एक अलग सिस्टम पर एन्क्रिप्ट किया गया और फिर लाया गया और आपने इसे डिक्रिप्ट नहीं किया, लेकिन मुझे नहीं लगता कि हम उस बारे में बात कर रहे हैं जैसे हम हैं।

जॉन हंट
स्रोत
5
वे एन्क्रिप्शन सॉफ्टवेयर को भी संशोधित कर सकते हैं ताकि यह कुंजी को सौंप दे, या फ़ाइलों को / रूट या जो भी हो फ़ाइलों को हटा दिया जाए .. वे क्या कर सकते हैं इसकी कोई सीमा नहीं है।
जॉन हंट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.