rootは暗号化された/ homeフォルダーを見ることができますか?
/ homeフォルダーを暗号化するためにecryptfsを使用するのかどうか疑問に思う
Sudo ecryptfs-migrate-home -u username
Root権限を持つ別のユーザーがパスワードを変更し、新しいパスワードを使用してアカウントにログインすると、暗号化された/ homeが表示されますか?
自分のパスワードを変更した場合、暗号化された/ homeに引き続きアクセスできると仮定しますが、rootがパスワードを変更して私としてログインするのとどう違うのですか?
短い答え:はい、いいえ。
Rootは暗号化された/ homeフォルダーを見ることができますか?
はい。ログインしている限り、rootおよびSudoユーザーはdecryptedファイルを見ることができます。また、スリープから復帰した場合、/homeは引き続き復号化されます。
また、ecryptfsには、ログアウト時に復号化された/homeフォルダーをアンマウントできないバグがあります。代わりに、マシンをシャットダウンまたは再起動するか、別のSudo/rootユーザーから手動でフォルダーをアンマウントする必要があります。詳細については、 この質問 を参照してください。
Root権限を持つ別のユーザーがパスワードを変更し、新しいパスワードを使用してアカウントにログインすると、暗号化された/ homeが表示されますか
いいえ。 /homeフォルダーはパスワードで暗号化されるのではなく、パスワードで暗号化されるパスフレーズで暗号化されます。別のユーザーがパスワードを変更しても、パスフレーズには影響しません。
管理パスワードの変更後の最初のログインで、暗号化されたホームを手動でマウントし、パスフレーズを再ラップする必要があります。これらのタスクには、古いパスワードと新しいパスワードが必要です
ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase
youパスワードを変更すると、ホームディレクトリパスフレーズが新しいパスワードで再暗号化されるため、新しいパスワードでファイルに引き続きアクセスできるはずです。 。これは、PAM(Pluggable Authentication Modules)を介して処理されます( via )。
this 関連の質問を参照してください。
唯一の答え:yes。システムのrootユーザーは、キーロガーまたは他のソフトウェアを簡単にインストールして、パスフレーズを静かに記録することができます。そうすれば、彼らはあなたがそうするかどうか知らずにすべてのファイルに完全にアクセスできます。
システムのrootユーザーは、そのシステムですべてを実行できます。彼らは本質的にそれに関連するすべてのデータも所有しています。データが別のシステムで暗号化されてから持ち込まれ、解読されなかった場合を除き、私たちがそれについて話しているとは思いません。