Domanda:
Qual è lo scopo di crittografare la directory home?
Jon Wadsworth
2016-09-01 01:54:48 UTC
view on stackexchange narkive permalink

Se ho selezionato una buona password e l'ho tenuta segreta, qual è lo scopo di crittografare la mia directory home, come opzione di configurazione con alcune versioni dell'offerta Linux durante l'installazione?

le autorizzazioni tengono lontani gli occhi indesiderati dalle mie cose?

La crittografia ti protegge dalla fuga di dati quando il disco viene rubato.
[Ecco come recuperare la password persa in Linux] (https://community.linuxmint.com/tutorial/view/339).Perché sto postando questo?Perché è così che puoi accedere a qualsiasi macchina che esegue Linux.O se sei fisicamente seduto su di esso, se hai hackerato o clonato il disco rigido, o hai altrimenti accesso ai dati sul disco.Questo richiede 11 passaggi e in realtà è relativamente indiretto, puoi "recuperare" una password per qualsiasi account in meno passaggi.Se hai solo bisogno di accedere ai dati, non ne hai nemmeno bisogno: monta il disco, naviga come root, fatto.La tua password utente è irrilevante.
@Aria Non è necessario rubare il disco, basta accedere per un'ora o due.
@Vld, non rovina il punto di crittografia della ** directory home ** (al contrario della crittografia dell'intero disco)?Dato che qualcuno può facilmente recuperare la password di casa e quindi decifrare `home / user`?
@Vld Il collegamento riguarda il ripristino, piuttosto che il recupero di una password.Un utente che ha fatto questo non conoscerebbe la password originale dell'utente e non sarebbe in grado di leggere una directory home crittografata (poiché le directory home crittografate sono solitamente crittografate con una chiave derivata dalla password dell'utente).Il recupero della password richiederebbe qualcosa come John The Ripper e non è possibile con password complesse.
@raphael modifiche di tipo amministratore alla password non crittograferanno nuovamente la directory home: http://askubuntu.com/questions/33730/will-changing-password-re-encrypt-my-home-directory è necessario fornire siaprecedente e la nuova password per ottenere la ricrittografia automatica e l'accesso consecutivo a tutti i file.Non so se ci sono modi per aggirare questo problema, però.In generale, è probabilmente più sicuro avere una password diversa che decrittografi i dati del disco rigido.
@James_pic sì ... il punto che stavo facendo era che è _that_ facile ottenere dati ** non crittografati **.11 semplici passaggi (o meno) per bypassare ciò che secondo OP potrebbe proteggere i file dell'utente.La crittografia è ciò che impedisce che ciò sia possibile.
@Vld Oh, OK.Ho sbagliato il tuo significato.Sono abituato a vedere questo descritto come reimpostazione, piuttosto che come recupero di una password, quindi presumo che tu stia facendo un punto diverso.
@James_pic eh, reset è davvero il termine corretto.Recuperare implica che _get_ la vecchia password, invece di _impostarne una nuova_.Colpa mia per le parole sbagliate - ho fatto un miscuglio di "reimposta password" e "recupera (accesso a) account".L'ho capito più tardi, ma non ho più potuto modificare il commento.
Sette risposte:
#1
+105
tim
2016-09-01 01:59:58 UTC
view on stackexchange narkive permalink

Il punto è proteggersi dall'accesso al disco al di fuori del sistema operativo.

La crittografia è utile contro gli aggressori che hanno accesso fisico al tuo computer. Senza di essa, sarebbe banale leggere il contenuto della tua home directory, ad esempio collegando una chiavetta USB di avvio live.

Oppure rimuovere l'HDD e collegarlo * a un altro computer.
Oppure guarda il contenuto del disco usando letteralmente qualsiasi cosa tranne il sistema operativo utilizzato per gestire le autorizzazioni.
@kevin o usa il sistema operativo utilizzato per gestire i permessi per [reimpostare la password di root] (http://askubuntu.com/a/24024/125475) e poi fare quello che vuoi.
O riavviando con `init = / bin / bash`
Ciò lascia il resto del sistema non crittografato, il che consentirebbe a un utente malintenzionato di modificare il sistema per rubare la tua password quando la inserisci o copiare i tuoi dati una volta montata la directory home.
@AlanShutko Questo è decisamente vero, la crittografia completa del disco è più sicura.Ma non protegge dai keylogger installati quando il sistema è in esecuzione, dai keylogger hardware o solo da una telecamera che ruba la password mentre la digiti.
#2
+30
Gilles
2016-09-01 06:55:41 UTC
view on stackexchange narkive permalink

I permessi di Linux funzionano solo sul tuo sistema. Se prendi il disco e lo metti in un altro computer, o semplicemente avvii un altro sistema operativo sullo stesso computer che può leggere la tua partizione Linux, vedrai chiaramente che i permessi non ti impediscono di accedere al contenuto della tua home directory.

In realtà i permessi funzionano bene tra Linux.Hai ancora bisogno di root o dello stesso numero di ID utente per accedere ai file, se le autorizzazioni lo vietano.Quindi cambiare computer non è il trucco, il trucco è avere accesso root, ad es.dopo l'avvio da chiavetta USB.
@hyde Sì, ma l'attaccante ha il root sul suo Linux.
#3
+14
Josip Ivic
2016-09-01 18:09:06 UTC
view on stackexchange narkive permalink

Oltre alle risposte, ci sono alcuni piccoli avvertimenti che bisogna tenere a mente riguardo a queste configurazioni crittografate.

Quando non sei loggato nel tuo sistema, i dati nella tua directory home non sono accessibili in testo normale. Questo, ovviamente, è di progettazione. Questo è ciò che impedisce a un utente malintenzionato di accedere ai tuoi file. Tuttavia, questo significa che:

  • I tuoi cronjobs potrebbero non avere accesso alla tua home directory
  • Anche l'autenticazione con chiave pubblica SSH nel tuo sistema non funzionerà, a meno che tu non inserisca la tua public key da qualche parte al di fuori della tua directory home e collegala simbolicamente alla tua $ HOME / .ssh / authorized_keys non montata.

Puoi mettere le tue authorized_keys direttamente nella tua directory home non crittografata seguendo queste istruzioni senza la necessità per collegarlo altrove. https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/362427/comments/12

#4
+3
Nathaniel Suchy
2016-09-01 16:21:09 UTC
view on stackexchange narkive permalink

Se non si utilizza la crittografia dell'intero disco, è necessario utilizzare la crittografia della directory home. Altrimenti chiunque abbia accesso fisico al computer può fare a meno dell'accesso al sistema operativo.

Se il tuo aggressore con accesso fisico potrebbe rimuovere il disco rigido, connettersi a un lettore esterno, copiare la directory home, rubare dati, rimettere a posto il disco rigido nel computer. A seconda dei dati che hai memorizzato nella tua directory home, le cose possono diventare piuttosto problematiche.

Spero che questo ti abbia dato un'idea ...

#5
+2
Larry
2016-09-01 22:12:24 UTC
view on stackexchange narkive permalink

Il motivo per cui crittografa la tua directory home è per motivi di sicurezza. Come accennato in precedenza, ci sono diversi pro e contro nella crittografia della directory home, non è qualcosa da prendere alla leggera. Se stai arrivando al punto di crittografare la tua home directory, dovresti anche rendere la password di crittografia diversa dalla tua password di accesso. Ogni volta che il sistema si avvia, vengono richieste due password, la password di accesso e la password di crittografia della directory home. In questa situazione, se l'unità o il computer vengono rubati, il ladro non avrebbe accesso alla directory home crittografata. Anche l'avvio del computer con un sistema live (cdrom / dvd / chiavetta usb) non consentirebbe al ladro di accedere alla directory home crittografata. Tutto ciò che il ladro vedrebbe è spazzatura nella tua home directory poiché non avrebbe la password di crittografia. La tua password di accesso non aiuterebbe in alcun modo il ladro. Spero che questo aiuti.

Perché le password dovrebbero essere diverse?
#6
+2
simhumileco
2016-09-02 14:54:19 UTC
view on stackexchange narkive permalink

La directory home crittografata su un computer dovrebbe essere meno accessibile nell'eventualità che il computer o alcune sue parti vengano rubate o vi si acceda senza i diritti appropriati.

La crittografia può essere utile se è necessario proteggere o informazioni riservate che memorizzi nella tua home directory.

#7
+1
grochmal
2016-09-04 00:07:28 UTC
view on stackexchange narkive permalink

Le risposte (in particolare quella di tim) già rispondono alla domanda sul motivo per cui vorresti crittografare la directory home. Tuttavia, c'è un avvertimento di cui nessuno ha parlato.

Crittografare solo la directory home su Linux è una sicurezza scarsa.

  1. Diverse applicazioni memorizzano file temporanei in / tmp e / var / run (o solo / run che dovrebbe essere un collegamento a / var / run ). Pertanto, sebbene la directory home sia protetta, questi file temporanei sono archiviati in testo normale e un utente malintenzionato competente esaminerà i file temporanei.

    / tmp e / var / run (e / run ) dovrebbe anche essere crittografato, o essere montato come tmpfs (un filesystem in memoria, ma per questa opzione leggi il prossimo punto).

  2. swap è un altro posto in cui le applicazioni possono memorizzare un file in testo semplice. L'applicazione avrà il file in memoria e il kernel potrebbe scambiare le pagine di memoria che contengono il file (che è in testo normale in memoria). Questo accadrà anche con i file in un tmpfs.

    Se hai qualcosa crittografato su una macchina, dovresti sempre crittografare anche lo scambio. Altrimenti un utente malintenzionato competente può scansionare la partizione di swap alla ricerca di firme di file e recuperare file completi (o parti di) in testo normale.

Se si dispone della crittografia completa del disco (su tutti dischi del sistema) questi non sono problemi.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...