題:
加密主目錄有什麼意義?
Jon Wadsworth
2016-09-01 01:54:48 UTC
view on stackexchange narkive permalink

如果我選擇了一個很好的密碼並將其保密,那麼在設置過程中使用一些Linux提供的設置選項來加密我的主目錄有什麼意義呢?

Linux不會嗎?權限讓不必要的視線遠離我的東西?

磁盤被盜時,加密可以保護您免受數據洩漏的傷害。
[這裡是如何在Linux中恢復丟失的密碼](https://community.linuxmint.com/tutorial/view/339)。我為什麼要張貼這個?因為這是您訪問運行Linux的任何計算機的方式。如果您實際上是坐在上面,是否刻痕或克隆了硬盤驅動器,或者可以訪問磁盤上的數據。這需要11個步驟,並且實際上是相對環形交叉路口,您可以以更少的步驟“恢復”任何帳戶的密碼。如果您只需要訪問數據,則甚至不需要-裝入磁盤,以root身份瀏覽,完成。您的用戶密碼無關。
@Aria無需竊取磁盤,只需訪問一兩個小時即可。
@Vld,不會使加密“主目錄”(與全盤加密)相反嗎?由於有人可以輕鬆地恢復家庭密碼,然後解密“家庭/用戶”?
@Vld鏈接與重置有關,而不是恢復密碼。執行此操作的用戶將不知道用戶的原始密碼,並且將無法讀取加密的主目錄(因為通常使用從用戶密碼派生的密鑰對加密的家庭目錄進行加密)。密碼恢復將需要像John The Ripper這樣的工具,而強密碼無法實現。
@raphael對管理員的類似密碼更改不會重新加密主目錄:http://askubuntu.com/questions/33730/will-changing-password-re-encrypt-my-home-directory,您需要同時提供以前的密碼和新密碼,以獲取自動重新加密和對所有文件的連續訪問。不過,我不知道是否有解決辦法。通常,使用不同的密碼解密硬盤數據可能更安全。
@James_pic是的...我要說的是很容易獲得“未加密”數據。輕鬆執行OP認為可以保護用戶文件的11個簡單步驟(或更少步驟)。加密阻止了這種情況的發生。
-1
@James_pic嗯,重置確實是正確的術語。恢復意味著您_get_舊密碼,而不僅僅是設置新密碼。我的錯是我的錯-我做了“重置密碼”和“恢復(訪問)帳戶”的混搭。後來才意識到,但我無法再編輯評論。
七 答案:
tim
2016-09-01 01:59:58 UTC
view on stackexchange narkive permalink

重點是防止在操作系統外部訪問磁盤。

加密對於物理訪問您計算機的攻擊者很有用。如果沒有它,例如通過插入實時啟動USB記憶棒來讀出主目錄的內容將很簡單。

或卸下HDD並將其插入另一台計算機。
或者使用除用於管理權限的操作系統以外的任何內容查看磁盤的內容。
@kevin或使用用於管理權限的操作系統來[重置根密碼](http://askubuntu.com/a/24024/125475),然後執行您喜歡的任何操作。
或者通過`init = / bin / bash`重新啟動
這的確會使系統的其餘部分保持未加密狀態,這會讓攻擊者修改系統以在您輸入密碼時竊取您的密碼,或者在安裝主目錄後復制您的數據。
@AlanShutko的確如此,全磁盤加密更加安全。但是,對於在系統運行時安裝的鍵盤記錄程序,硬件鍵盤記錄程序或攝像機在您鍵入密碼時竊取密碼,它並不能提供保護。
Gilles
2016-09-01 06:55:41 UTC
view on stackexchange narkive permalink

Linux權限僅在您自己的系統上起作用。如果您將磁盤拿到另一台計算機上,或者只是在同一台計算機上引導另一個可以讀取Linux分區的操作系統,則您會清楚地看到該權限不會阻止您訪問主目錄的內容。

實際上,權限在Linux之間是可以的。如果權限不允許,您仍然需要root或相同的用戶ID號才能訪問文件。因此,切換計算機不是訣竅,訣竅是具有root用戶訪問權限。從USB記憶棒啟動後。
@hyde是的,但是攻擊者已經紮根於他/她的Linux。
Josip Ivic
2016-09-01 18:09:06 UTC
view on stackexchange narkive permalink

除了答案,還有一些關於這些加密配置的小注意事項。

如果您未登錄系統,則無法訪問主目錄中的數據。純文本。當然,這是設計使然。這就是使攻擊者無法訪問您的文件的原因。但是,這意味著:

  • 您的cronjob可能無法訪問您的主目錄
  • SSH公鑰身份驗證進入您的系統也將不起作用,除非您公開

您可以按照以下指示將您的authorized_keys直接放置在未加密的home目錄中,而無需將其像徵性地鏈接到未安裝的$ HOME / .ssh / authorized_keys。用於將其鏈接到其他任何地方。 https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/362427/comments/12

Nathaniel Suchy
2016-09-01 16:21:09 UTC
view on stackexchange narkive permalink

如果不使用全盤加密,則應使用主目錄加密。否則,對計算機具有物理訪問權限的任何人都可以進行操作系統訪問。

如果具有物理訪問權限的攻擊者可以刪除硬盤驅動器,連接到外部讀取器,複製主目錄,竊取數據並放回硬盤驅動器在計算機上。取決於您存儲在主目錄中的數據,事情可能會變得非常棘手。

希望這能給您一些見識...

Larry
2016-09-01 22:12:24 UTC
view on stackexchange narkive permalink

加密主目錄的原因是出於安全性考慮。如前所述,加密您的主目錄有很多利弊,這並不是一件容易的事。如果要加密您的主目錄,則還需要使加密密碼不同於登錄密碼。每次系統啟動時,系統都會要求您輸入兩個密碼,即登錄密碼和主目錄加密密碼。在這種情況下,如果驅動器或計算機被盜,則小偷將無法訪問您的加密主目錄。即使使用實時系統(cdrom / dvd / usb記憶棒)引導計算機,也不允許小偷訪問您的加密主目錄。小偷只會看到您主目錄中的垃圾,因為他們沒有加密密碼。您的登錄密碼對小偷沒有任何幫助。希望這會有所幫助。

為什麼密碼應該不同?
simhumileco
2016-09-02 14:54:19 UTC
view on stackexchange narkive permalink

如果計算機或其某些部分在沒有適當權限的情況下被盜或被盜用,則計算機上加密的主目錄應該較少被訪問。

如果您需要保護私有數據,則加密非常有用或存儲在主目錄中的機密信息。

grochmal
2016-09-04 00:07:28 UTC
view on stackexchange narkive permalink

答案(尤其是 tim的答案)已經回答了有關為什麼要加密主目錄的問題。但是,沒有人要提一個警告。

在Linux上僅加密主目錄會降低安全性。

  1. 幾個應用程序將臨時文件存儲在 / tmp / var / run 中(或僅存儲在 / run 中),這些文件應該是 / var / run )。因此,儘管主目錄受到保護,但這些臨時文件仍以純文本格式存儲,有能力的攻擊者將調查這些臨時文件。

    / tmp / var / run (和 / run )也應該加密,或者作為 tmpfs (內存中的文件系統)掛載,但是對於此選項,請閱讀下一篇點)。

  2. swap 是應用程序可以將文件存儲為純文本格式的另一個位置。應用程序將在內存中保存文件,內核可能會換出包含該文件的內存頁面(在內存中為純文本格式)。對於 tmpfs 中的文件,也會發生這種情況。

    如果在計算機上進行了任何加密,則還應始終加密交換。否則,有能力的攻擊者可以掃描交換分區中的文件簽名,並以純文本格式檢索完整(或部分)文件。

    3. ol>

    如果您具有完整的磁盤加密功能(全部系統磁盤)這些都不是問題。



該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...