¿Mi carpeta de inicio encriptada está abierta para otros usuarios cuando estoy conectado?

9

Estoy un poco inseguro sobre cómo funciona la carpeta de inicio cifrada ubuntus en comparación con una partición de cifrado verdadero (que es lo que he usado antes). Cuando inicie sesión, ¿podrán otros usuarios de mi computadora acceder a los archivos en mi carpeta de inicio cifrada?

home-directory ecryptfs León
fuente

Respuestas:

11

Si habilita de Ubuntu Inicio Directorio de cifrado, el $HOMEdirectorio tendrá permisos 700 ( rwx------) cuando su monta y permisos 500 ( r-x------) cuando no está montado. Esto significa que usted es el único usuario no root que podrá leer / escribir / explorar su directorio de inicio cuando esté montado. Y cuando no está montado, podrá leer / navegar, pero no modificar el contenido de su directorio de inicio. Esto tiene la intención de evitar que accidentalmente escriba datos sin cifrar en su directorio de inicio.

Esto contrasta con los permisos predeterminados del Directorio de inicio de Ubuntu, que son 755 ( rwxr-xr-x). Ese permiso permite que cualquier usuario local en el sistema lea y explore su directorio de inicio. Este valor predeterminado fue elegido para Ubuntu hace mucho, mucho tiempo en interés de "compartir" y "apertura".

Estos se denominan Controles de acceso discrecional (DAC) y provienen de los primeros días de UNIX.

El usuario root (tal vez a través de sudo, como mencionó anteriormente), tiene privilegios de una manera que le permite acceder a cualquier archivo o directorio, independientemente de los permisos DAC establecidos. Eso significa que sí, mientras su directorio de inicio está montado, el usuario raíz puede explorar su directorio de inicio.

Sin embargo, cuando su directorio de inicio no está montado, el usuario raíz necesitaría su frase de contraseña de inicio de sesión (o, más específicamente, su frase de contraseña de montaje generada aleatoriamente) para montar y descifrar sus datos.

En general, el sistema de archivos cifrados que utilizamos (eCryptfs) está destinado a proteger sus datos en reposo en el disco duro, en lugar de protegerlo de su propio usuario root.

Divulgación completa: soy el autor de la función de directorio de inicio cifrado de Ubuntu y el actual responsable del mantenimiento de eCryptfs.

Dustin Kirkland
fuente
1
¡Excelente! Gracias por la explicación de los pensamientos detrás del sistema. Me he estado preguntando por qué los permisos predeterminados son 755.
Leo
2

En principio pueden, pero los permisos predeterminados en el directorio de inicio ( rwxr-x---) lo prohíben.

enzotib
fuente
Entonces, si los otros usuarios tienen acceso root (sudo)?
enms.