Если у вас есть учетная запись с зашифрованной домашней папкой, вы не можете получить доступ к текстовым данным пользователя в его домашней папке, если этот пользователь еще не вошел в систему, так как система была загружена в последний раз. Это то, что я ожидал, потому что на самом деле не должно быть практически осуществимого доступа к домашней папке пользователя без ввода пароля.
Однако я обнаружил, что когда пользователь с зашифрованной домашней папкой входит в систему, а затем выходит из нее, данные в виде простого текста в его домашней папке все еще доступны для других пользователей. Конечно, требуются достаточные права доступа.
w
не перечисляет пользователя, и вывод sudo pgrep -u <username>
пуст, указывая, что у пользователя нет никаких запущенных процессов.
В чем причина такого поведения? Почему бы просто не заблокировать домашнюю папку пользователя после того, как он вышел из системы?
grep -Fe ecryptfs /var/log/auth.log
примерно со времени выхода пользователя из системы?Ответы:
Известная ошибка
Если я правильно понимаю, это известная ошибка.
Смотрите эту ссылку: wiki.archlinux.org/index.php/ECryptfs
Прокрутите вниз к розовому абзацу
Работа вокруг
Как это сейчас, то вам лучше закрыли или перезагрузки , чтобы удалить следы (Это не достаточно , чтобы выйти).
источник
Я не могу проверить или подтвердить это, но при условии, что вы используете
ecryptfs
(это то, что Ubuntu предлагает во время установки, IIRC), зашифрованные данные хранятся в скрытой папке/home/.encryptfs/$USER
и монтируются в местоположение вашей реальной домашней папки с помощьюecryptfs
драйвера при входе в систему. в.Скорее всего, происходит то, что при выходе из системы не удается автоматически размонтировать этот каталог, поэтому файлы по-прежнему доступны. Это может быть вызвано ...
Одна вещь, которая может помочь вам проверить это, будет запускаться
sudo mount | grep home
перед входом в систему, после входа в систему и после выхода из системы, чтобы увидетьhome
, монтируется ли что-либо, связанное с этим . Вы также можете искать/etc/fstab
соответствующие записи. Наконец, есть некоторые настройки/home/.ecryptfs/$USER/.ecryptfs/
с соответствующими настройками для автоматического / размонтирования.Полезная информация о
ecryptfs
может быть найдена в этом ответе и в когда-либо полезном ArchWiki .источник
/etc/fstab
записи нет ничего, кроме 1 записи о том, что мой единственный раздел данных должен быть подключен,/
и 1 записи о каком-то связанном с университетом сетевом ресурсе. Должен ли я попробовать выйти из системы по-другому? Если так: как?ecryptfs
самим собой. На этой ноте, однако, вы используетеssh
или входите через текстовые терминалы? Может быть возможно написать скрипт, который позаботится о размонтировании при выходе из системы, если мы найдем, куда его поместить.Редактировать
/etc/systemd/logind.conf
и установитьKillUserProcesses=yes
Обратите внимание , что это нарушает фоновые программы,
screen
,tmux
и тому подобные ...Этот вопрос здесь входит в это более подробно. Я считаю определение новой службы systemd ненужным (или, точнее, не желаемым поведением, так как оно вызывается как ловушка завершения работы, а не по завершении сеанса пользователя).
/unix/251902/ecryptfs-auto-umount-does-not-work
источник
Я исследовал эту проблему в течение достаточно долгого времени, то есть незашифрованная файловая система остается подключенной после выхода пользователя из системы.
Я использовал "ecryptfs-migrate-home -u user" для создания mount. следовал инструкциям и все работает, кроме автоматического отключения при выходе.
Я сравнил файлы конфигурации в /etc/pam.d/ с документацией pam_ecryptfs и обнаружил некоторые отличия. ecryptfs находился в 4 файлах конфигурации pam.d, тогда как документы pam_ecryptfs указывают только на 2 файла, которые нужно / следует / поддерживать ecryptfs, например:
Итак, я закомментировал 2 других экземпляра, перезагрузил, и все заработало: автоматическое монтирование при входе в систему и автоматическое размонтирование при выходе из системы для графического и консольного входа. (Я использовал альтернативные tty для проверки из учетной записи root)
Это 18.04 Lubuntu на ноутбуке, рабочем столе и гостевой виртуалке (хост Windows).
Мне интересен опыт других.
edit_1: улучшена формулировка. edit_2: добавлены результаты тестирования рабочего стола и VB.
источник
Я делаю это с помощью скрипта в rclocal
источник
Если вам не нужен доступ из cron или на рабочих местах (неинтерактивные задачи) к ЛЮБЫМ домашним каталогам, вам просто нужно закомментировать строчку
в
/etc/pam.d/common-session-noninteractive
.Это приведет к размонтированию всех зашифрованных домашних каталогов при выходе пользователя из системы.
источник