Достаточно безопасно шифрование корневого каталога по умолчанию с автомонтированием?
Настольная установка Ubuntu по умолчанию предлагает опцию зашифровать мой /homeиспользование ecryptfs, и это автомонтирует дом каждый раз, когда я вхожу в систему.
Если мой ПК украл, не мог взломщик только что заменять моим /etc/shadow файл и вход в систему как я, получая доступ к моим файлам? Если да, что такое вариант использования для этого шифрования затем?
1 ответ
Необходимо обеспечить пароль во время входа в систему для дешифрования домашней папки.
Пароль не хранится Ubuntu в /etc/shadow. Что Вы находите, что существует только хеш пароля плюс короткая соль. Когда Вы входите в систему, пароль, который Вы ввели, хешируется, и затем хеши сравнены.
Не возможно получить старый пароль от того хеша, кроме посредством попытки всех возможных комбинаций, пока каждый не соответствует.
Таким образом, пока Вы сохраняете свой пароль частным, и это безопасно (долго и комплекс) достаточно для противостояния "в лоб" (или словарь) нападают дольше, чем продолжительность концентрации внимания взломщика длится, зашифрованный корневой каталог безопасен.
К ecryptfs не имеет значения, какой хеш находится в теневом файле. Это берет пароль, введенный пользователем при входе в систему, и пытается дешифровать домашнюю папку с этим. Если это - правильный пароль, дешифрование успешно выполняется, в противном случае это перестанет работать. Путем изменения теневого файла (или просто загружаясь в спасательный режим базируются оболочка и изменяя пароль учетной записи), только изменения пароля входа в систему.
Шифрование не работает, сравнивая хеши и решая впустить кого-то или нет, оно работает путем выполнения партий и большого количества математики с помощью пароля и зашифрованных данных по диску для возвращения исходных данных.