web-dev-qa-db-ja.com

ログアウト後も暗号化されたホームフォルダーにアクセス可能

暗号化されたホームフォルダーを持つアカウントを持っている場合、システムが最後に起動してからユーザーがまだログインしていない場合、ホームフォルダー内のユーザーのプレーンテキストデータにアクセスできません。パスワードを入力せずにユーザーのホームフォルダーにアクセスすることは実際には実行可能ではないため、これは私が期待したことです。

ただし、暗号化されたホームフォルダーを持つユーザーがログインしてからログアウトしても、ホームフォルダー内のプレーンテキストデータには他のユーザーがアクセスできます。もちろん、十分なアクセス権限が必要です。

wはユーザーを一覧表示せず、Sudo pgrep -u <username>の出力は空です。これは、ユーザーに実行中のプロセスがないことを示します。

この動作の理由は何ですか?ユーザーがログアウトした後、ユーザーのホームフォルダーを単にロックしないのはなぜですか?

16.04filesencryptionhome-directoryprivacy
12
UTF-8

既知のバグ

正しく理解できれば、これは既知のバグです。

このリンクを参照してください: wiki.archlinux.org/index.php/ECryptfs

ピンクの段落までスクロールします

警告:残念ながら、自動アンマウントはsystemdで壊れやすく、バグが報告されます...

回避策

今のままで、トレースを削除するにはshut downまたはrebootをお勧めします(notログアウトするには不十分)。

5
sudodus

これをテストまたは確認することはできませんが、ecryptfs(インストール時にUbuntuが提供するもの、IIRC)を使用していると仮定すると、暗号化されたデータは隠しフォルダー/home/.encryptfs/$USERに保存され、ログイン時にecryptfsドライバーを使用した実際のホームフォルダーの場所。

最も可能性が高いのは、ログアウトすると、自動的にそのディレクトリをアンマウントできず、ファイルにアクセスできることです。これは...によって引き起こされる可能性があります.

  • 悪い設定(おそらく、ログアウト時にアンマウントするように設定されているはずでしたが、そうではありませんでした)
  • 予期しないログアウトタイプ(これらのソリューションはDMログイン/ログアウトで機能する場合がありますが、そうでない場合はうまく機能しません)
  • アンマウントがログアウトスクリプトによって処理される場合(必ずしもそうであるとは限りません)、アンマウントコマンドに先行する何かが失敗し、スクリプトが早期に終了する可能性があります。

これを確認するのに役立つ1つのことは、ログイン前、ログイン後、ログアウト後にSudo mount | grep homeを実行して、homeに関連するものがマウントされているかどうかを確認することです。関連するエントリについては、/etc/fstabを調べることもできます。最後に、/home/.ecryptfs/$USER/.ecryptfs/には、自動マウント/アンマウントに関連する設定を持ついくつかの設定があります。

ecryptfsに関する有用な情報は、 この回答 および常に役立つ ArchWiki にあります。

3
krs013

/etc/systemd/logind.confを編集してKillUserProcesses=yesを設定します

これにより、バックグラウンドプログラムscreentmuxなどが破損することに注意してください...

ここで、この質問について詳しく説明します。新しいsystemdサービスを定義する必要はありません(より正確には、ユーザーセッションの終了時ではなく、シャットダウンフックとして呼び出されるため、望ましい動作ではありません)。

https://unix.stackexchange.com/questions/251902/ecryptfs-auto-umount-does-not-work

3
quadruplebucky

私はrclocalのスクリプトでそれをします

#!/bin/sh
#

while true; do
    if [ ! -d /run/user/1000 ]; then
        if [ -f /home/momo/.mounted ]; then
            umount /home/harry
        fi      
    fi

    if [ ! -d /run/user/1001 ]; then
        if [ -f /home/vm/.mounted ]; then
            umount /home/maud
        fi
    fi

    sleep 10
done
exit 0
2
walter wunsch

私はかなり長い間この問題を調査してきました。つまり、暗号化されていないファイルシステムはユーザーのログアウト後もマウントされたままです。

「ecryptfs-migrate-home -u user」を使用してマウントを作成しました。指示に従い、ログアウト時の自動アンマウントを除くすべての機能。

/etc/pam.d/の設定ファイルをpam_ecryptfsドキュメントと比較し、いくつかの違いを見つけました。 ecryptfsは4つのpam.d構成ファイルにありましたが、pam_ecryptfsのドキュメントでは、ecryptfsが必要/サポート/サポートが必要なファイルは2つだけであることが示されています。

   /etc/pam.d/common-auth:
              auth    required        pam_ecryptfs.so unwrap
   /etc/pam.d/common-session:
              session optional        pam_ecryptfs.so unwrap

そこで、他の2つのインスタンスをコメントアウトして再起動しましたが、すべてが機能しました。ログイン時の自動マウントと、グラフィカルログインとコンソールログインの両方でのログアウト時の自動アンマウントです。 (ルートアカウントから確認するために、代替ttyを使用しました)

これは、ラップトップ、デスクトップ、virtualboxゲスト(Windowsホスト)の18.04 Lubuntuにあります。

他の人の経験に興味があります。

edit_1:表現を改善しました。 edit_2:デスクトップとVBテスト結果を追加しました。

2
redrock