Используя ext4 шифрование, как я препятствую тому, чтобы незашифрованные файлы были получены доступ другими оболочками входа в систему или пользователями?
Я следовал инструкциям для использования ext4 шифрования здесь:
То, как создать ext4, зашифровало раздел на Ubuntu 15.04 с новыми 4,1 ядрами?
Все работает отлично. Но если файлы дешифруются для пользователя владения, то, когда я вхожу в систему как другой пользователь, я вижу зашифрованные файлы в ясном. Файлы читаемы миром, но ключ находится только в брелоке для ключей пользователя владения, таким образом, я вполне уверен, это не должно быть позволено.
Проблема может быть связана с кэшированием inodes. Когда я делаю:
echo 2 > /proc/sys/vm/drop_caches
Затем файлы снова недоступны второму пользователю. Но как только первый пользователь получает доступ к файлам (с ключом в брелоке для ключей сессии), файлы снова становятся видимыми второму пользователю.
Я должен делать что-то очевидно неправильно, но я не уверен что.
Я нахожусь на ядре 4.4.0-33-универсальный предварительный выпуск использования Як Yakkety (Ubuntu 16.10).
1 ответ
Я подтвердил с Ted Ts'o (один из основных авторов ext4 шифрования), что оно не разработано для прокладывания себе путь, я думал, что оно могло бы. Это не предназначено для обеспечения вида изоляции "уровня процесса" дешифрованного содержания, на которое я надеялся. Обычные ограничения доступа (принадлежность файла и перманент) должны все еще использоваться, чтобы препятствовать тому, чтобы другие пользователи получили доступ к файлам.