Oturum kapatıldıktan sonra hala şifrelenmiş giriş klasörüne erişilebilir

13

Şifrelenmiş bir giriş klasörüne sahip bir hesabım var, bu kullanıcı giriş yapmadıysa, kullanıcının son açılmasından bu yana kullanıcının düz metin verilerine erişemezsiniz. Beklediğim budur, çünkü aslında bir kullanıcının ana klasörüne parola girilmeden erişilmesi pratik olarak mümkün olmamalıdır.

Ancak, şifrelenmiş bir giriş klasörü olan bir kullanıcı oturum açıp daha sonra oturumu kapattığında, giriş klasörlerindeki düz metin verilerine diğer kullanıcılar tarafından erişilebildiğini fark ettim. Elbette yeterli erişim ayrıcalıkları gerekir.

wkullanıcıyı listelemez ve çıktısı sudo pgrep -u <username>boştur, bu da çalışan herhangi bir işlemin olmadığını gösterir.

Bu davranışın nedeni nedir? Neden oturumu kapattıktan sonra kullanıcının ana klasörünü kilitlemiyorsunuz?

16.04  files  encryption  home-directory  privacy 
UTF-8
kaynak
grep -Fe ecryptfs /var/log/auth.logKullanıcının oturumu kapattığı andan itibaren çıktısını ekler misiniz ?
David Foerster
Komut bu çıktıyı verir: pastebin.com/jZXdahbJ Emacs'a göre, "ecryptfs" dizesini içeren tek satır, bu komutu çalıştırdığımda üretilen satırlardır.
UTF-8
Sonuç beklendiği gibi sadece Emacs'ın
UTF-8
Tamam. Bir göz atmaya değerdi.
David Foerster
Kalıcı canlı sistemlerde de bu hatayı fark ettim (şifrelenmiş ev ile ikinci bir kullanıcı oluşturma girişimi).
sudodus

Yanıtlar:

6

Bilinen hata

Doğru anlarsam, bu bilinen bir hatadır.

Bu bağlantıya bakın: wiki.archlinux.org/index.php/ECryptfs

Pembe paragrafa ilerleyin

Uyarı: Maalesef otomatik sökme sistemi sistemd ile kırılmaya karşı hassastır ve hatalar buna karşıdır ...

İşle etrafında

Şimdi olduğu gibi, izleri kaldırmak için kapatmanız veya yeniden başlatmanız daha iyi olurdu ( Oturumu kapatmak yeterli değildir ).

sudodus
kaynak
Ne demek "oturum kapatma kullanıcılar arasında bilgi sızıntısı olacak"? Yani, yeterli ayrıcalıklara sahip farklı bir kullanıcının ilk kullanıcının ana dizinindeki düz metin verilerine erişebilmesi dışında herhangi bir şey olduğu anlamına mı geliyor? (Tabii ki çıkıştan önce bu zaten mümkündür.)
UTF-8
1
Daha iyi açıklamaya çalışmak: 'Çıkış yapmak yeterli değil'. (Oturum kapalıyken, şifrelenmiş ev kullanıcısı tarafından kullanılan dosyaların açık metin örneklerini kaldırmaz. Bu nedenle, en azından bu kullanıcının sudo ayrıcalıklarına sahip olması durumunda bilgiler bu kullanıcıdan oturum açan başka bir kullanıcıya sızabilir. Ancak kapatırsanız veya yeniden başlatırsanız, dosyaların açık metin örnekleri kaybolur.
sudodus
3

Bunu test edemiyorum veya onaylayamıyorum, ancak kullandığınız varsayılırsa ecryptfs(yükleme sırasında Ubuntu'nun sunduğu şey, IIRC), şifrelenmiş veriler gizli bir klasörde saklanır /home/.encryptfs/$USERve ecryptfsoturum açtığınızda sürücüyü kullanarak gerçek ev klasörünüzün konumuna monte edilir içinde.

Büyük olasılıkla, olan şey, oturumu kapattığınızda, bu dizinin otomatik olarak bağlantısını kesememesi, böylece dosyalara hala erişilebilir olmasıdır. Bunun nedeni ...

  • kötü bir yapılandırma (belki de çıkışta bağlantısını kesecek şekilde yapılandırılmış olması gerekiyordu, ancak değildi)
  • beklenmeyen oturum kapatma türü (bazen bu çözümler DM girişi / çıkışı için çalışır, ancak başka şekilde iyi çalışmaz)
  • bağlantıyı kaldırma bir oturum açma komut dosyası tarafından işlenirse (durum böyle olmayabilir), bağlantıyı kaldırma komutundan önceki bir şey başarısız olabilir ve komut dosyasının erken çıkmasına neden olabilir.

Bunu kontrol etmenize yardımcı olabilecek bir şey, sudo mount | grep homegiriş yapmadan önce, giriş yaptıktan sonra ve ilgili herhangi bir şeyin homemonte edilip edilmediğini görmek için oturumdan sonra çalıştırmak olacaktır . Ayrıca /etc/fstabilgili girişleri de arayabilirsiniz. Son olarak, /home/.ecryptfs/$USER/.ecryptfs/otomatik sayma / sökme için ilgili ayarlarla bazı yapılandırmalar vardır .

Hakkında yararlı bilgiler ecryptfsbulunabilir Bu yanıt ve sürekli yararlı içinde ArchWiki .

krs013
kaynak
Bana söylediklerini denedim: pastebin.com/DrmEXQPV Garip bir şekilde değil, standart GUI yolunda oturumu kapatıyorum . Gördüğünüz gibi FS hala takılı. Bahsettiğiniz yapılandırma dosyaları boş. /etc/fstab1 girişimde tek veri bölümümün monte edilmesi gerektiğini /ve 1 girişin üniversite ile ilgili bazı ağ kaynaklarıyla ilgili olduğunu söyleyen hiçbir şey yok . Çıkış yapmayı başka bir şekilde denemeli miyim? Öyleyse nasıl?
UTF-8
Farklı bir şekilde oturumdan çıkmak yorum biraz tahmin edildi - masaüstü yöneticileri, oturum açmanın ve oturumu kapatmanın üzerine, kavramı karmaşıklaştıran ve hangi olayların tetiklendiğini söylemeyi zorlaştıran çok şey ekliyor. Merak ediyordum çünkü çalıştırılmamış bazı senaryolar veya olaylar olabilirdi. Diğer cevaplara dayanarak, bu tür bir sorun değil, ecryptfskendisiyle ilgili bir şey . Bununla birlikte, bu notta sshmetin terminalleri aracılığıyla mı kullanıyorsunuz veya giriş mi yapıyorsunuz ? Nereye koyacağımızı tespit edersek çıkışta bağlantısını kesen bir komut dosyası yazmak mümkün olabilir.
krs013
3

Düzenle /etc/systemd/logind.confve ayarlaKillUserProcesses=yes

Bunun, arka plan programlarına, screenvb tmux.

Burada bu soru daha ayrıntılı olarak ele alınmaktadır. Yeni bir systemd hizmeti tanımlamayı gereksiz buluyorum (ya da daha doğru, istenen davranış değil, bir kapatma kancası olarak çağrıldığından, kullanıcı oturumu sona erdiğinde değil).

/unix/251902/ecryptfs-auto-umount-does-not-work

quadruplebucky
kaynak
Yöntemin, şifrelenmiş ikinci bir kullanıcıyla kalıcı bir canlı sistem için çalışıp çalışmadığını kontrol edeceğim.
sudodus
Üzgünüm ama olabilir değil ev şifreli bir ikinci kullanıcı ile kalıcı canlı sistemde bu yöntem çalışması. (Çözümünüzü kurulu bir sistemde test etmedim, orijinal soruyu soran @ UTF-8'e bırakacağım.)
sudodus
Bunu kendi bilgisayarımda düzeltmekle ilgilenmiyorum. Ben zaten kullanan ancak ben şifreli giriş klasörleri ile 2 hesap kullanmak istiyorum ve hiç kimse iki hesap için parolayı bilmiyor. Neden varsayılan olarak şifrelenmiş birimlerin otomatik olarak bağlantısını kesmediğiyle ilgileniyorum . Kullanıcının bağlamında çalışan etkin arka plan süreçlerini kontrol edip yoksa çözmeyi kaldıramaz mı?
UTF-8
@ UTF-8, size katılıyorum, çalışmasını istediğiniz gibi çalışması gerektiği . Doğru anlarsam, bu bilinen bir hatadır. Bu bağlantıya bakın, wiki.archlinux.org/index.php/ECryptfs . 'Uyarı: Maalesef otomatik sökme sistemi sistemd ile kırılmaya açık ve hatalar açıldı' paragrafına ilerleyin. - Şu anda olduğu gibi, izleri kaldırmak için kapatmanız veya yeniden başlatmanız daha iyi olurdu (çıkış kullanıcılar arasında bilgileri sızdırır.)
sudodus
@ UTF-8 sistemd / oturum etkileşiminde bir hata çünkü en azından hırıltılı (sistemd'de asmaktan çok rahatım) - /etc/systemd/logind.conf değişikliği 16.04'te çalışıyor (üç farklı kullanıcıyla test edildi) , farklı oturumlar, vb ...)
quadruplebucky
3

Bu sorunu oldukça uzun süredir araştırıyorum, yani şifrelenmemiş dosya sistemi kullanıcı oturumunu kapattıktan sonra takılı kalıyor.

Bağ oluşturmak için "ecryptfs-migrate-home -u kullanıcısı" kullandım. yönergeleri izledi ve çıkışta otomatik bağlantıyı kesme dışında tüm işler.

/Etc/pam.d/ içindeki config dosyalarını pam_ecryptfs belgesiyle karşılaştırdım ve bazı farklılıklar buldum. ecryptfs, pam.d yapılandırma dosyalarının 4'ünde yer alırken, pam_ecryptfs dokümanları sadece 2 dosyaya ihtiyaç duyar / gerekir / destek ecryptfs'yi gösterir, örn.

   /etc/pam.d/common-auth:
              auth    required        pam_ecryptfs.so unwrap
   /etc/pam.d/common-session:
              session optional        pam_ecryptfs.so unwrap

Bu yüzden, diğer 2 örneği yeniden yorumladım, yeniden başlattım ve hepsi işe yaradı, girişte otomatik bağlar ve hem grafik hem de konsol oturumları için oturum kapatıldığında otomatik olarak çıkartıldı. (Kök hesaptan doğrulamak için alternatif tty'ler kullandım)

Bu 18.04 Lubuntu dizüstü bilgisayar, masaüstü ve sanal kutu konuk (windows host) üzerinde.

Başkalarının deneyimleriyle ilgileniyorum.

edit_1: geliştirilmiş ifadeler. edit_2: masaüstü ve VB test sonuçları eklendi.

Kızıl kaya
kaynak
Bu satırlardan herhangi birini devre dışı bırakmak / yorum yapmak sorunlara neden oldu mu? Şifrenizi değiştirmek yine de eCryptfs anahtar dosyasını yeniden sarar mı?
Xen2050
Bu benim için Linux Mint 19'da çalıştı. Başkaları için daha fazla ayrıntı eklemek için: /etc/pam.d içindeki ecryptfs'ye işaret eden dört yapılandırma dosyası şunlardır: ortak kimlik, ortak şifre, ortak oturum, ortak oturum etkileşimsiz. Common-password ve common-session-interactive satırlarında yorum yapmak, oturumu kapatırken bağlantısını kesmek için istenen davranışa yol açtı. Ayrıca, belgelere göre olması gerektiği için, ortak kimlik doğrulamasında "zorunlu" yerine "isteğe bağlı" olarak ayarlanmıştır. Ancak bunu olduğu gibi bıraktım.
evencoil
@ Xen2050, geç cevap verdiğim için üzgünüm. Satırları yorumlayan değişikliklerden sonra herhangi bir sorun tespit etmedim ve henüz şifreyi değiştirmeyi denemedim.
redrock
Değişen parolanın test edilmesi önemli olabilir, şifreleme anahtarını yeni parolanızla otomatik olarak yeniden sarması gerekir, bu nedenle bir dahaki sefere giriş yapmak işe yarar. Eğer işe yaramazsa, sadece şifreyi bir öncekine geri döndürmek işe yarayacaktır ... [olsa da yedek almak her zaman iyidir]
Xen2050
1
@ Xen2050, şifre değiştirme testi yaptım. işe yaradı.
redrock
2

Rclocal bir senaryo ile yapıyorum

#!/bin/sh
#

while true; do
    if [ ! -d /run/user/1000 ]; then
        if [ -f /home/momo/.mounted ]; then
            umount /home/harry
        fi      
    fi

    if [ ! -d /run/user/1001 ]; then
        if [ -f /home/vm/.mounted ]; then
            umount /home/maud
        fi
    fi

    sleep 10
done
exit 0
walter wunsch
kaynak
Kullanıcı kimliğini nasıl alırsınız?
Avinash Raj
0

Cron'dan veya işlerden (etkileşimli olmayan görevler) HERHANGİ BİR ev dizinine erişmeniz gerekmiyorsa, sadece satırı yorumlamanız gerekir

session  optional        pam_ecryptfs.so unwrap

içinde /etc/pam.d/common-session-noninteractive.

Bu, kullanıcı oturumu kapattığında tüm şifreli giriş dizinlerinin bağlantısının kesilmesine neden olur.

Geoff Mulligan
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.