Открыта ли моя зашифрованная домашняя папка другим пользователям при входе в систему?

Если вы включите шифрование Home Directory Ubuntu, ваш каталог $HOME будет иметь разрешения 700 (rwx------) при его монтировании и разрешения 500 (r-x------), если он не установлен. Это означает, что вы единственный пользователь без полномочий root, который сможет читать / записывать / просматривать домашний каталог при его установке. И когда он не установлен, вы сможете читать / просматривать, но не изменять содержимое своего домашнего каталога. Это [] d0]

Это противоречит стандартным разрешениям Ubuntu Home Directory, которые являются 755 (rwxr-xr-x). Это не позволяет вам непреднамеренно записывать незашифрованные данные в ваш домашний каталог. Это разрешение позволяет любому локальному пользователю в системе читать и просматривать домашний каталог. Этот параметр по умолчанию был выбран для Ubuntu долго, давно в интересах «совместного использования» и «открытости».

Они называются дискреционными контроль доступа (DAC) и происходят с самых ранних дней самой UNIX. [ ! d2]

Пользователь root (возможно, через Discretionary Access Controls , как вы упомянули выше), имеет привилегию таким образом, который позволяет им получить доступ к любому файлу или каталогу независимо от разрешений DAC на месте , Это означает, что да, пока ваш домашний каталог установлен, пользователь root может просматривать ваш домашний каталог.

Однако, когда ваш домашний каталог не установлен, корневому пользователю нужна ваша кодовая фраза для входа (или , более конкретно, вашу случайно сгенерированную кодовую фразу mount), чтобы монтировать и расшифровывать ваши данные.

В общем, зашифрованная файловая система, которую мы используем (eCryptfs), предназначена для защиты ваших данных в состоянии покоя на жестком диске , а не защищать вас от вашего собственного пользователя root.

Полное раскрытие: я являюсь автором функции Encrypted Home Directory Ubuntu и текущего поддерживающего eCryptfs.