Szyfrowanie folderu domowego w Debianie

1

Czy jest możliwe szyfrowanie folderów domowych użytkowników w systemie Linux (powiedzmy Debian) w taki sposób, aby root nie widział ich zawartości?

linux security encryption Hadi
źródło
jeśli zaszyfrujesz dom, funkcje, które wykorzystują znajdujące się tam pliki, takie jak usługi IMAP i SSH, nie będą działać.
Jasen,
@Jasen to jeden z przypadków, o których myślałem, aby poczta użytkownika była przechowywana w katalogu domowym i dostępna tylko dla nich samych. Czy demon IMAP nie może na przykład odszyfrować hasła użytkownika za pomocą hasła, a następnie zamontować katalogu?
Hadi
tak, imapd można zmodyfikować, aby to zrobić, ale MDA potrzebuje dostępu do zapisu, gdy nadejdzie nowa poczta. Wydaje mi się, że buforujesz nową pocztę w / var / spool / mail i imapd pobiera ją stamtąd, gdy użytkownik się loguje.
Jasen
Wybrana odpowiedź nie jest satysfakcjonująca ... Ale rzeczywiście wydaje się być rzeczywistością. Nadal zastanawiam się nad sposobami zapewnienia stopnia ochrony danych użytkownika w przypadku naruszenia bezpieczeństwa serwera.
Hadi
Jeśli ktoś potknie się tutaj, jest to powiązane pytanie: unix.stackexchange.com/questions/5017/…
Hadi

Odpowiedzi:

1

Nic nie stoi na przeszkodzie, aby root zniszczył usługi, z którymi użytkownik wchodzi w interakcję, aby ukraść ich klucze, gdy są one następnie używane.

Zatem każde rozwiązanie jest co najwyżej tymczasowe.

Jasen
źródło
Czy to w zasadzie oznacza, że ​​szyfrowanie katalogu domowego nie ma znaczenia?
Hadi
tak, w zasadzie niemożliwe jest powstrzymanie roota przed zrobieniem czegoś, co użytkownik może zrobić. np .: root może uzyskać dostęp do pamięci używanej przez dowolny proces, nawet jądro. gdzieś tam będzie klucz.
user313114
Ok, rozumiem twój punkt widzenia. Co jeśli obniżymy wymagania? (a) Jaki byłby dobry sposób zaszyfrowania twojego folderu domowego, aby inni użytkownicy (inni niż root) nie mogli zobaczyć zawartości? (b) Jak możemy zapewnić, że osoba z fizycznym dostępem do serwera, ale bez hasła roota, nie będzie miała do niego dostępu?
Hadi
cryptfsunder fuse: thesimplecomputer.info/…
Jasen
@Jasen, dzięki ... Ale czy osoba z dostępem do serwera - taka jak firma hostingowa - nie może ominąć szyfrów pod bezpiecznikiem? (1) user313114 podniósł patrząc na pamięć - co może również zrobić host VPS. (2) A jeśli komputer zostanie uruchomiony w trybie pojedynczego użytkownika, zostanie rootem. (Zakładam, że fraza deszyfrująca jest zapisana gdzieś do użycia przez moduł ładujący; jeśli nie, w jaki sposób serwer może się zrestartować?)
Hadi