Ich bin mir nicht sicher, wie der mit Ubuntus verschlüsselte Home-Ordner im Vergleich zu einer TrueCrypt-Partition funktioniert (was ich zuvor verwendet habe). Können andere Benutzer auf meinem Computer auf die Dateien in meinem verschlüsselten Basisordner zugreifen, wenn ich angemeldet bin?
Antworten:
Wenn Sie die Home Directory-Verschlüsselung von Ubuntu aktivieren, verfügt Ihr $HOMEVerzeichnis über die Berechtigungen 700 ( rwx------), wenn es bereitgestellt wird, und über die Berechtigungen 500 ( r-x------), wenn es nicht bereitgestellt wird. Dies bedeutet, dass Sie der einzige Nicht-Root-Benutzer sind, der Ihr Home-Verzeichnis lesen / schreiben / durchsuchen kann, wenn es gemountet ist. Und wenn es nicht gemountet ist, können Sie den Inhalt Ihres Home-Verzeichnisses lesen / durchsuchen, aber nicht ändern. Dies soll verhindern, dass Sie versehentlich unverschlüsselte Daten in Ihr Home-Verzeichnis schreiben.
Dies steht im Gegensatz zu den Standardberechtigungen für Ubuntu Home Directory (755 ( rwxr-xr-x)). Mit dieser Berechtigung kann jeder lokale Benutzer im System Ihr Home-Verzeichnis lesen und durchsuchen. Diese Standardeinstellung wurde vor langer, langer Zeit für Ubuntu im Interesse von "Teilen" und "Offenheit" gewählt.
Diese werden als diskretionäre Zugriffskontrollen (DAC) bezeichnet und stammen aus den frühesten Tagen von UNIX.
Der Root-Benutzer (möglicherweise über sudo, wie Sie oben erwähnt haben) ist so privilegiert, dass er unabhängig von den vorhandenen DAC-Berechtigungen auf jede Datei oder jedes Verzeichnis zugreifen kann. Das bedeutet, dass der Root-Benutzer Ihr Home-Verzeichnis durchsuchen kann, während Ihr Home-Verzeichnis bereitgestellt ist.
Wenn Ihr Home-Verzeichnis jedoch nicht bereitgestellt ist, benötigt der Root-Benutzer Ihre Login-Passphrase (oder insbesondere Ihre zufällig generierte Mount-Passphrase), um Ihre Daten bereitzustellen und zu entschlüsseln.
Im Allgemeinen soll das von uns verwendete verschlüsselte Dateisystem (eCryptfs) Ihre ruhenden Daten auf der Festplatte schützen, anstatt Sie vor Ihrem eigenen Root-Benutzer zu schützen.
Vollständige Offenlegung: Ich bin der Autor der Funktion "Encrypted Home Directory" von Ubuntu und der aktuelle Betreuer von eCryptfs.