Je me demande si j'utilise ecryptfs pour chiffrer mon dossier/home
Sudo ecryptfs-migrate-home -u username
Un autre utilisateur disposant du privilège root peut-il changer mon mot de passe, puis connecter mon compte à l'aide du nouveau mot de passe voir mon/crypté/home?
Si je change mon propre mot de passe, je suppose que je peux toujours accéder à mon/home crypté. En quoi est-il différent de root qui change mon mot de passe et se connecte comme moi?
Réponse courte: Oui et non .
Est-ce que root peut voir mon dossier/home crypté?
Oui . Tant que vous êtes connecté, root ainsi que tout utilisateur de Sudo peuvent voir vos fichiers décryptés . De plus, lorsque vous vous réveillez du sommeil, votre /home
sera toujours déchiffré.
De plus, il existe un bogue dans ecryptfs
qui empêche le démontage du dossier /home
déchiffré lors de la déconnexion. Vous devriez plutôt arrêter ou redémarrer la machine ou démonter manuellement le dossier d'un autre utilisateur Sudo/root. Voir cette question pour plus d'informations.
Un autre utilisateur disposant du privilège root peut-il changer mon mot de passe, puis connecter mon compte à l'aide du nouveau mot de passe voir mon/crypté/home?
Non . Votre dossier /home
n'est pas crypté avec votre mot de passe, mais avec une phrase secrète cryptée avec votre mot de passe. Un autre utilisateur qui change votre mot de passe n'affectera pas la phrase secrète.
Lors de la première connexion après un changement de mot de passe administratif, vous devez monter manuellement votre page d'accueil cryptée et reformater la phrase secrète. Pour ces tâches, vous avez besoin de votre ancien et de votre nouveau mot de passe.
ecryptfs-mount-private
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase
Lorsque vous modifiez votre mot de passe, la phrase secrète du répertoire personnel est rechiffrée avec votre nouveau mot de passe. Vous devez donc continuer à accéder à vos fichiers avec le nouveau mot de passe. . Ceci est géré via PAM (Pluggable Authentication Modules) ( via ).
Voir this question connexe.
La seule réponse: oui. L'utilisateur root d'un système peut facilement installer un enregistreur de frappe ou un autre logiciel pour enregistrer votre phrase secrète en mode silencieux. Il dispose alors d'un accès complet à tous vos fichiers, sans que vous le sachiez.
L'utilisateur root d'un système peut tout faire sur ce système. Ils possèdent essentiellement toutes les données qui y sont associées. SAUF SI vos données ont été cryptées sur un système différent, puis importées et que vous ne les avez pas déchiffrées, mais je ne pense pas que nous parlons de cela.