一台计算机运行带有主文件夹加密的 Ubuntu。它已开机但未登录。另一台计算机通过 SSH 连接到它,允许通过终端浏览主文件夹。现在具有物理访问权限的黑客可以读取主文件夹数据吗?
答案1
我只是猜测,但我会说不,因为首先黑客必须通过操作系统安全,例如您计算机上的密码,并且要做到这一点,他们需要知道密码或尝试破解密码才能做到这一点,我会说他们需要关闭计算机并从 USB 加载操作系统,因此,如果他们知道密码,这并不重要,如果他们从 USB 加载操作系统,您将无法 ssh。
至于你在使用 ssh 读取文件时,基于这主文件夹永远不会被完全解密,解密的数据永远不会存储在硬盘上,只存储在 RAM 中,黑客可能能够从 RAM 中获取某些数据,但不会是你的整个主文件夹,我认为要做到这一点,他们需要关闭你的计算机(这就是我所指的)做到这一点,并且我认为读取原始内存转储并不容易。
所以我不认为我会太担心,如果他们能够访问你的计算机,那么可能有更简单的方法获取存储在硬盘上的信息。
更新
当您通过 ssh 登录时整个硬盘都会被解密,如果黑客能够通过操作系统安全性,那么通过登录,您就让黑客可以访问您的文件。
答案2
root当用户登录时,他们可以完全访问任何加密的主文件夹。具有计算机物理访问权限的人员可以修改内核以获得 root 访问权限并以此方式访问文件。
SSH 服务器可以看到任何输入的密码,并且 SSH 服务器可执行文件可以被具有物理访问权限的人修改并向他们提供密码。
答案3
具有物理访问权限的熟练人员可以安装键盘记录器(物理设备),并在您再次本地登录该机器后访问您的主文件夹。一般来说:具有物理访问权限的熟练人员...您所说的“我的机器”是什么意思?它不再是您的机器了。
然而,您可能更感兴趣的是:当您通过 SSH 登录时,您的主文件夹无法访问。
您可能应该确保自己可以登录,因为在默认配置中,授权公钥存储在其中,~/.ssh/authorized_keys如果在登录尝试时无法访问您的主文件夹,则当然无法读取。如果您更改配置,您可以通过公钥身份验证登录,但您的主文件夹无法访问,因为您的系统实际上不知道您的密码。
如果您通过密码登录(您不应该这样做!),您会告诉系统您的密码,但据我所知,您的主文件夹仍然无法访问。为此,您必须运行:
ecryptfs-mount-private
如果它确实可以自动访问,那么您当然不必运行此命令。
因此我们假设您已成功登录并且可以访问您的主文件夹。
如果我们排除攻击者的非常高级的能力,他们仍然无法访问您的主文件夹,除非他们可以使用某个帐户登录机器。
如果不排除攻击者的技术非常先进,他们可以通过以下方式获取你的数据,甚至你的加密密钥:冷启动攻击。可能会发生不同的攻击,但危害性要小得多(例如关闭您的服务器并启动操作系统,进而启动您服务器的常用操作系统,但仍保持对服务器的完全控制,并可以随意读取 RAM;或者,攻击者可以更改您的操作系统的部分内容,以便在您下次访问您的主文件夹时将数据发送回给他们)。
然而,攻击者仅仅安装一个键盘记录器就比进行任何高级攻击的可能性更大。