Зашифрованная домашняя папка, все еще доступная после выхода из системы
Я у Вас есть учетная запись с зашифрованной домашней папкой, Вы не можете получить доступ к данным простого текста пользователя в их домашней папке, если тот пользователь не вошел в систему, еще, начиная с системы, в последний раз загруженной. Это - то, что я ожидал, потому что не должно на самом деле быть практически выполнимо получить доступ к домашней папке пользователя без их введенного пароля.
Однако я нашел, что, когда пользователь с зашифрованной домашней папкой входит в систему и затем выходит из системы, данные простого текста в их домашней папке все еще доступны для других пользователей. Достаточные права доступа требуются, конечно.
w не перечисляет пользователя и вывод sudo pgrep -u <username> пусто, указывая, что у пользователя нет рабочих процессов.
Какова причина этого поведения? Почему не только блокируют домашнюю папку пользователя после того, как они вышли из системы?
6 ответов
Известная ошибка
, Если я понимаю правильно, это - известная ошибка.
См. эту ссылку: wiki.archlinux.org/index.php/ECryptfs
Прокручивает вниз к розовому абзацу
, Предупреждающему: , К сожалению, автоматическое размонтирование восприимчиво для разрыва с systemd, и ошибки регистрируются против него...
Обходное решение
, Как это теперь, Вы имели лучше , закрывается или перезагрузка для удаления трассировок (Это не достаточно, чтобы выйти из системы).
Я не могу протестировать или подтвердить это, но предположив, что Вы используете ecryptfs (который является тем, что Ubuntu предлагает во время установки, IIRC), зашифрованные данные хранится в скрытой папке /home/.encryptfs/$USER и монтируется к местоположению Вашей фактической домашней папки с помощью ecryptfs драйвер, когда Вы входите в систему.
Наиболее вероятный, затем, то, что происходит, - то, что, когда Вы выходите из системы, этому не удается автоматически размонтировать тот каталог, таким образом, файлы все еще доступны. Это могло быть вызвано...
- плохая конфигурация (возможно, это, как предполагалось, было настроено для размонтирования на выходе из системы, но не было)
- неожиданный тип выхода из системы (иногда эти решения работа для DM входит в систему/, но не работает хорошо иначе)
- , если размонтирование обрабатывается сценарием выхода из системы (не обязательно случай), что-то предшествующее команде размонтирования могло привести к сбою и заставить сценарий выходить рано.
Одна вещь, которая может помочь Вам проверить это, состояла бы в том, чтобы работать sudo mount | grep home перед входом в систему после входа в систему, и после выхода из системы, чтобы видеть, монтируется ли что-нибудь включающее home. Вы могли также посмотреть в /etc/fstab для соответствующих записей. Наконец, существует некоторая конфигурация в /home/.ecryptfs/$USER/.ecryptfs/ с подходящими настройками к автомонтированию/размонтированию.
Полезная информация приблизительно ecryptfs могут быть найдены в этот ответ и в когда-либо полезном ArchWiki.
Редактирование /etc/systemd/logind.conf и набор KillUserProcesses=yes
Примечание, что это повреждает фоновые программы, screen, tmux, и подобный...
Этот вопрос здесь входит в него более подробно. Я нахожу определение нового systemd сервиса ненужным (или более точно, не желаемое поведение, поскольку это вызывается как рычаг завершения работы, не, когда сеанс пользователя завершается).
https://unix.stackexchange.com/questions/251902/ecryptfs-auto-umount-does-not-work
Если Вам не нужен доступ от крона, или в заданиях (неинтерактивные задачи) к ЛЮБЫМ корневым каталогам затем просто необходимо прокомментировать строку
session optional pam_ecryptfs.so unwrap
в /etc/pam.d/common-session-noninteractive.
Это заставит все зашифрованные корневые каталоги быть размонтированными, когда пользователь выйдет из системы.
Я исследовал эту проблему в течение достаточно долгого времени, т.е. unecrypted файловая система остается смонтированной после пользовательского выхода из системы.
Я использовал "ecryptfs-migrate-home-u, пользователь" для создания монтируются. сопровождаемые направления и все работы ни кроме какого авторазмонтирования при выходе из системы.
Я сравнил файлы конфигурации в/etc/pam.d/к pam_ecryptfs документации и нашел некоторые различия. ecryptfs был в 4 из pam.d файлов конфигурации, тогда как pam_ecryptfs документы указывают всего на 2 файла need/should/support ecryptfs, например,
/etc/pam.d/common-auth: auth required pam_ecryptfs.so unwrap /etc/pam.d/common-session: session optional pam_ecryptfs.so unwrap
Так, я прокомментировал другие 2 экземпляра, перезагруженные, и все это работало, автомонтируется при входе в систему и авторазмонтированиях на выходе из системы и для графических логинов и для консольных логинов. (Я использовал альтернативный tty's для проверки из корневой учетной записи),
Это находится на 18.04 Lubuntu на ноутбуке, рабочем столе и virtualbox госте (хост окон).
Я интересуюсь опытом других.
edit_1: улучшенная формулировка. edit_2: добавленный рабочий стол и результаты испытаний VB.
Я делаю это со сценарием в rclocal
#!/bin/sh
#
while true; do
if [ ! -d /run/user/1000 ]; then
if [ -f /home/momo/.mounted ]; then
umount /home/harry
fi
fi
if [ ! -d /run/user/1001 ]; then
if [ -f /home/vm/.mounted ]; then
umount /home/maud
fi
fi
sleep 10
done
exit 0