Я у Вас есть учетная запись с зашифрованной домашней папкой, Вы не можете получить доступ к данным простого текста пользователя в их домашней папке, если тот пользователь не вошел в систему, еще, начиная с системы, в последний раз загруженной. Это - то, что я ожидал, потому что не должно на самом деле быть практически выполнимо получить доступ к домашней папке пользователя без их введенного пароля.
Однако я нашел, что, когда пользователь с зашифрованной домашней папкой входит в систему и затем выходит из системы, данные простого текста в их домашней папке все еще доступны для других пользователей. Достаточные права доступа требуются, конечно.
w
не перечисляет пользователя и вывод sudo pgrep -u <username>
пусто, указывая, что у пользователя нет рабочих процессов.
Какова причина этого поведения? Почему не только блокируют домашнюю папку пользователя после того, как они вышли из системы?
, Если я понимаю правильно, это - известная ошибка.
См. эту ссылку: wiki.archlinux.org/index.php/ECryptfs
Прокручивает вниз к розовому абзацу
, Предупреждающему: , К сожалению, автоматическое размонтирование восприимчиво для разрыва с systemd, и ошибки регистрируются против него...
, Как это теперь, Вы имели лучше , закрывается или перезагрузка для удаления трассировок (Это не достаточно, чтобы выйти из системы).
Я не могу протестировать или подтвердить это, но предположив, что Вы используете ecryptfs
(который является тем, что Ubuntu предлагает во время установки, IIRC), зашифрованные данные хранится в скрытой папке /home/.encryptfs/$USER
и монтируется к местоположению Вашей фактической домашней папки с помощью ecryptfs
драйвер, когда Вы входите в систему.
Наиболее вероятный, затем, то, что происходит, - то, что, когда Вы выходите из системы, этому не удается автоматически размонтировать тот каталог, таким образом, файлы все еще доступны. Это могло быть вызвано...
Одна вещь, которая может помочь Вам проверить это, состояла бы в том, чтобы работать sudo mount | grep home
перед входом в систему после входа в систему, и после выхода из системы, чтобы видеть, монтируется ли что-нибудь включающее home
. Вы могли также посмотреть в /etc/fstab
для соответствующих записей. Наконец, существует некоторая конфигурация в /home/.ecryptfs/$USER/.ecryptfs/
с подходящими настройками к автомонтированию/размонтированию.
Полезная информация приблизительно ecryptfs
могут быть найдены в этот ответ и в когда-либо полезном ArchWiki.
Редактирование /etc/systemd/logind.conf
и набор KillUserProcesses=yes
Примечание, что это повреждает фоновые программы, screen
, tmux
, и подобный...
Этот вопрос здесь входит в него более подробно. Я нахожу определение нового systemd сервиса ненужным (или более точно, не желаемое поведение, поскольку это вызывается как рычаг завершения работы, не, когда сеанс пользователя завершается).
https://unix.stackexchange.com/questions/251902/ecryptfs-auto-umount-does-not-work
Если Вам не нужен доступ от крона, или в заданиях (неинтерактивные задачи) к ЛЮБЫМ корневым каталогам затем просто необходимо прокомментировать строку
session optional pam_ecryptfs.so unwrap
в /etc/pam.d/common-session-noninteractive
.
Это заставит все зашифрованные корневые каталоги быть размонтированными, когда пользователь выйдет из системы.
Я исследовал эту проблему в течение достаточно долгого времени, т.е. unecrypted файловая система остается смонтированной после пользовательского выхода из системы.
Я использовал "ecryptfs-migrate-home-u, пользователь" для создания монтируются. сопровождаемые направления и все работы ни кроме какого авторазмонтирования при выходе из системы.
Я сравнил файлы конфигурации в/etc/pam.d/к pam_ecryptfs документации и нашел некоторые различия. ecryptfs был в 4 из pam.d файлов конфигурации, тогда как pam_ecryptfs документы указывают всего на 2 файла need/should/support ecryptfs, например,
/etc/pam.d/common-auth: auth required pam_ecryptfs.so unwrap /etc/pam.d/common-session: session optional pam_ecryptfs.so unwrap
Так, я прокомментировал другие 2 экземпляра, перезагруженные, и все это работало, автомонтируется при входе в систему и авторазмонтированиях на выходе из системы и для графических логинов и для консольных логинов. (Я использовал альтернативный tty's для проверки из корневой учетной записи),
Это находится на 18.04 Lubuntu на ноутбуке, рабочем столе и virtualbox госте (хост окон).
Я интересуюсь опытом других.
edit_1: улучшенная формулировка. edit_2: добавленный рабочий стол и результаты испытаний VB.
Я делаю это со сценарием в rclocal
#!/bin/sh
#
while true; do
if [ ! -d /run/user/1000 ]; then
if [ -f /home/momo/.mounted ]; then
umount /home/harry
fi
fi
if [ ! -d /run/user/1001 ]; then
if [ -f /home/vm/.mounted ]; then
umount /home/maud
fi
fi
sleep 10
done
exit 0