Muss der Besitzer eines verschlüsselten Verzeichnisses angemeldet sein, damit das System darauf zugreifen kann?

Ja, wenn Sie ein System verwenden, das die Home-Verzeichnisse Ihrer Benutzer einzeln verschlüsselt. Die einzige sinnvolle Implementierung besteht darin, das verschlüsselte Verzeichnis beim Anmelden zu mounten. Dieses System finden Sie beispielsweise im Ubuntu-Installationsprogramm unter ecryptfs. (ecryptfs ist auch als Teil von Chrome OS integriert). Dies ist ein anderer Ansatz als „Full Disk Encryption“, bei der das gesamte Dateisystem zu Beginn des Startvorgangs mit einem Kennwort entsperrt wird. Alle Ihre Wünsche ergeben sich natürlich aus ecryptfsoder jedem gleichwertigen System ... mit Ausnahme des letzten.

Wenn im verschlüsselten Verzeichnis Dienste ausgeführt werden, würde das System wissen, dass diese beendet werden müssen, wenn sich der Benutzer abmeldet?

„Gute Frage“ :). Leider scheint das Aushängen fehleranfälliger zu sein. (Ich habe auch Fehler beim Stoppen von Prozessen/Diensten gesehen, was tatsächlich eine Voraussetzung zum Aushängen ist. Mir ist nicht klar, ob ecryptfs zusätzliche Unterstützung zum Beenden von Prozessen bietet).

https://www.google.co.uk/search?q=ecryptfs%20logout%20unmount%20OR%20umount

Da diese Frage dies für den letzten Satz aufgehoben hat und außerdem unmöglich unspezifisch ist, möchten Sie vielleicht eine separate Frage stellen. Z. B. „Funktioniert dies auf X, Version Y? Bitte zeigen Sie, woher Sie wissen, dass es funktioniert, dann kann ich es auf meinem eigenen System überprüfen.“

Es wäre auch nett, wenn Sie die Gründe dafür darlegen könnten, warum Sie sich überhaupt für eine Abmeldung interessieren. Es deutet auf ein Mehrbenutzersystem hin. Dies ist nicht sehr üblich, daher wäre es wahrscheinlich hilfreich, wenn Sie genauere Angaben machen könnten.

Ja und nein. In einem normalen Setup, in dem das Home-Verzeichnis eines Benutzers verschlüsselt ist (mit ecryptfs), im Gegensatz zu einer Verschlüsselung der gesamten Partition (mit dmcrypt), sind die entschlüsselten Dateien nur sichtbar, während der Benutzer angemeldet ist. Es besteht jedoch keine starke Verbindung zwischen „Dateien sind sichtbar“ und „Benutzer ist angemeldet“: Das verschlüsselte Dateisystem wird als einer der Schritte beim Anmelden des Benutzers gemountet (wodurch die Dateien sichtbar werden), und das verschlüsselte Dateisystem wird als einer der Schritte beim Abmelden des Benutzers unmountet (wodurch die Dateien nicht mehr sichtbar werden).

Der Benutzer muss nicht physisch angemeldet sein. Es spielt keine Rolle, wie sich der Benutzer anmeldet. Es kann für den Benutzer schwierig sein, sich über SSH anzumelden, da der öffentliche Schlüssel des Benutzers standardmäßig nur im verschlüsselten Dateisystem aufgezeichnet wird und daher nicht sichtbar ist, wenn der Benutzer versucht, sich anzumelden und das verschlüsselte Dateisystem nicht gemountet ist. Der Benutzer könnte sich jedoch mit einer anderen Methode authentifizieren, z. B. mit einem Kennwort (die Eingabe des Kennworts ist ohnehin erforderlich, um die Dateien zu entschlüsseln) oder ein .ssh/authorized_keysim unverschlüsselten Home-Verzeichnis erstellen (es istschwerfälligaber machbar).

Wenn Sie steuern möchten, wann die Demontage erfolgt, müssen Sie diese entfernen ~/.ecryptfs/auto-umountund stattdessen ecryptfs-umount-privatezum gewünschten Zeitpunkt direkt anrufen.