루트가 암호화 된 / home 폴더를 볼 수 있습니까?


21

ecryptfs를 사용하여 / home 폴더를 암호화하는지 궁금합니다.

sudo ecryptfs-migrate-home -u username

루트 권한을 가진 다른 사용자가 내 비밀번호를 변경 한 다음 새 비밀번호를 사용하여 내 계정에 로그인하여 암호화 된 / 홈을 볼 수 있습니까?

내 비밀번호를 변경해도 여전히 암호화 된 / home에 액세스 할 수 있다고 가정합니다. 비밀번호를 변경하고 로그인하는 루트와 다른 점은 무엇입니까?

답변:


28

짧은 대답 : 예 및 아니오 .


루트가 암호화 된 / home 폴더를 볼 수 있습니까?

. 로그인 한 루트 사용자와 sudo 사용자는 해독 된 파일을 볼 수 있습니다. 또한, 잠에서 깨어 나면 /home여전히 해독됩니다.

또한 로그 아웃시 ecryptfs해독 된 /home폴더를 마운트 해제하지 못하게 하는 버그가 있습니다. 대신 시스템을 종료하거나 다시 시작하거나 다른 sudo / root 사용자로부터 폴더를 수동으로 마운트 해제해야합니다. 자세한 내용은 이 질문 을 참조하십시오.

루트 권한을 가진 다른 사용자가 내 비밀번호를 변경 한 다음 새 비밀번호를 사용하여 내 계정에 로그인하여 암호화 된 / 홈을 볼 수 있습니까?

없음 . 귀하의 /home폴더가 있지만 암호로 암호화 된 암호와 암호로 암호화되지 않습니다. 비밀번호를 변경하는 다른 사용자는 비밀번호 문구에 영향을 미치지 않습니다.

관리 비밀번호 변경 후 처음 로그인 할 때 암호화 된 홈을 수동으로 마운트하고 비밀번호 문구를 다시 랩핑해야합니다. 이 작업에는 이전 비밀번호와 새 비밀번호가 필요합니다.

ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

당신이 암호를 변경하면 새 암호를 사용하여 파일에 계속 액세스 할 수 있어야하므로, 홈 디렉토리 암호가 새 암호로 다시 암호화됩니다. 이는 PAM (Pluggable Authentication Modules) ( via )을 통해 처리됩니다 .


관련 질문을 참조하십시오 .


10
시스템에 문제가 ecryptfs있습니다. 사용자가 로그인하고 홈 폴더의 암호가 해독되면 해당 사용자가 로그인 상태를 유지하거나 로그 아웃했는지에 관계없이 그대로 유지됩니다. 홈 폴더를 다시 암호화하는 유일한 방법은 시스템을 다시 시작하는 것입니다. 이 버그는 아직 수정되지 않았습니다.
스톰로드

@Stormlord 다른 [루트 / 스도] 사용자 umount는 로그 아웃 한 사용자의 왼쪽 마운트 된 홈만 가질 수 없습니까? 내 데비안 시스템에는 해당 버그가 없으므로 테스트 할 수 없지만 eCryptfs 암호화 홈 사용자가 로그인하면 추가 "유형 ecryptfs"마운트 umount가있어 충분합니다.
Xen2050

네, 충분합니다.
pLumo

오해의 소지가 있습니다. 루트는 트로이 스타일 프롬프트를 통해 다른 사용자를 속이고, 모든 것을 기록하는 등 원하는 모든 작업을 수행 할 수 있습니다. 자세한 내용은 내 답변을 참조하십시오.
John Hunt

참된. 전체 디스크 암호화가 없으면 물리적 액세스 권한이있는 사람도이 작업을 수행 할 수 있습니다. 그러나 이것은 질문에 관한 것이 아닙니다. 이것은 당신의 유효한 대답에서 복사하고 싶지 않았습니다. ;-)
pLumo

11

유일한 대답은 yes 입니다. 시스템의 루트 사용자는 암호를 자동으로 기록하기 위해 키로거 또는 기타 소프트웨어를 쉽게 설치할 수 있습니다. 그러면 암호를 선택했는지 알 필요없이 모든 파일에 완전히 액세스 할 수 있습니다.

시스템의 루트 사용자는 해당 시스템에서 모든 것을 수행 할 수 있습니다. 그들은 본질적으로 그것과 관련된 모든 데이터를 소유합니다. 귀하의 데이터가 다른 시스템에서 암호화 된 후 다시 가져 와서 해독하지는 않았지만 우리가 그것에 대해 이야기하고 있다고 생각하지 않습니다.


5
암호화 소프트웨어를 수정하여 키를 넘겨 주거나 해독 된 파일을 / root 등으로 복사 할 수도 있습니다. 수행 할 수있는 작업에는 제한이 없습니다.
John Hunt
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.