加密目錄的擁有者是否需要被記錄才能被系統存取?
如果使用者的目錄被加密,即除了該home目錄之外的其他目錄,是否意味著系統上的任何進程,包括以root身分執行的進程都無法存取它?
使用者是否必須在電腦上實際登入才能使用文件?例如,我假設如果文件authorized_keys位於~/.ssh目錄中,則用戶無法使用金鑰身份驗證透過 SSH 登錄,但必須spice在登入之前透過遠端連線在終端登入才能存取要啟用的目錄如果需要的話可以透過 SSH。
如果用戶在加密目錄中儲存了資料庫或 Web 應用程序,我希望它在實體登入之前無法啟動。
是嗎,因為那是我需要的。如果加密目錄中正在執行任何服務,如果使用者登出,系統是否會知道將其關閉?
答案1
是的,如果您使用單獨加密使用者主目錄的系統。唯一有意義的實作是登入時掛載加密目錄。例如,您可以使用 找到 Ubuntu 安裝程式中提供的系統ecryptfs。 (ecryptfs 也作為 Chrome 作業系統的一部分內建)。這是與「全磁碟加密」不同的方法,「全磁碟加密」在啟動過程開始時使用密碼解鎖整個檔案系統。你所有的願望都自然地遵循ecryptfs或任何等效的系統......除了最後一個
如果加密目錄中正在運行任何服務,如果使用者登出,系統是否會知道關閉它們?
「好問題」 :)。不幸的是,卸載似乎更容易出錯。 (我還看到了停止進程/服務的錯誤,這確實是卸載的先決條件。我不清楚 ecryptfs 是否有任何額外的支援來終止進程)。
https://www.google.co.uk/search?q=ecryptfs%20logout%20unmount%20OR%20umount
由於這個問題將其留在了最後一句,並且 & 也不具體,因此您可能想問一個單獨的問題。例如,“這在 X 版本 Y 上有效嗎?請說明您如何知道它有效,然後我將能夠在我自己的系統上驗證它。”
如果您能概述一下您對註銷感興趣的原因,那就太好了。它建議使用多用戶系統。這種情況並不常見,因此如果您能更具體一點,可能會很有用。
答案2
是和不是。在使用者主目錄加密(使用 ecryptfs)的正常設定中,與加密整個分割區(使用 dmcrypt)相反,解密的檔案僅在使用者登入時可見。連結:其運作方式是作為使用者登入的步驟之一安裝加密檔案系統(使文件可見),然後卸載加密檔案系統(使檔案不再可見)作為登出使用者的步驟之一。
用戶不必親自登入。使用者如何登入並不重要。文件系統。但是,使用者可以使用不同的方法進行身份驗證,例如密碼(無論如何都需要輸入密碼才能解密檔案),或者可以.ssh/authorized_keys在非加密的主目錄中建立一個麻煩的但可行)。
如果您需要控制何時完成卸載,則需要刪除~/.ecryptfs/auto-umount並ecryptfs-umount-private在所需時間直接呼叫。