我是 ecryptfs 的新手,我需要了解一下它的工作原理。
假设有两个 root 用户 userA 和 userB,如果我在 userA 下挂载某个文件夹:
[userA@Dev] $ mount ecryptfs real img
现在我可以访问 img 文件夹来访问解密数据。
我的问题是:
当用户 A 仍处于登录状态时。用户 B 可以登录并访问解密数据吗?这是我目前在本地机器上观察到的情况,但我不确定这是否是由我的配置错误造成的。如果是这样,我该如何避免其他用户在用户 A 处于登录状态时访问解密数据?
答案1
是的,可以访问其他用户的解密数据,因为 eCryptFS 无法区分谁在访问文件。eCryptFS 仅管理磁盘上文件的加密/解密。一旦安装,任何获得许可的用户都可以透明地读取/写入加密文件。
但是,Linux 还有其他技术来定义对文件或目录的访问:例如 POSIX 文件权限。因此,强烈建议将对私有目录的访问权限限制为仅拥有该目录密钥的用户...
chown -R user ~/Private
chmod -R 700 ~/Private
还有一个常见问题解答条目:http://ecryptfs.sourceforge.net/ecryptfs-faq.html#no-ecryptfsac