ルートが信頼できない場合のホームディレクトリ暗号化に関するセキュリティ上の考慮事項

ルートが信頼できない場合のホームディレクトリ暗号化に関するセキュリティ上の考慮事項

ヘイハオ、

いろいろなツールを使って手動暗号化を行いましたが、私は愚かだと思います。最近、私はPAMを使って小さなプロジェクトを開発しました。だからユーザーがログインすると、ルートはすべてのユーザーのログインパスワードをプレーンテキストで取得できると思いました。基本的にルートや編集権限を持っている人の努力がなくてもです/etc/pam.d/system-login

これは、電源ルートにユーザーのホームディレクトリに対する権限があることを考慮すると、マイナーな問題のようです。しかし、ここでは私のユーザーアカウント自体ではなく、その中に保存されている暗号化されたデータにはあまり興味を持っていません。昨日までは、私のパスワードだけがロックを解除できると信じていたので、暗号化されたホームディレクトリは非常に安全であると感じました。ただし、ログイン時に自動マウントでこれを行うと、ルートはいつでもパスワードをキャプチャしてマウントできます。私はこれに気づかないでしょう。

この問題がどれほど大きいのか疑問に思います。信頼できないルートを持つシステムには機密データは保存されませんが、これがすべての人に適用されるわけではありません。すばやく検索してみると、これに対する関心が驚くほど少ないことがわかりますが、これはよく知られている事実と考えられます。アーチスウィキ 暗号化されたホームディレクトリを自動マウントするときは、強力なパスワードを使用する必要があると言います。ハッシュは記録されており/etc/shadows、誰かがそれを所有することになれば、ハッシュから脆弱なパスワードを推論して家の暗号を解読することができます。私の考えでは、これは要点を逃していることです。少なくとも実際には、アクセス権を持っている人が/etc/shadowsPAMを操作する可能性があるため、次回システムにログインするとすぐに非常に強力なパスワードを取得できます。このトピックこの問題は解決できません。 PAMが言及されていますが、やや曖昧です。パスワードの可視性と暗号化の脆弱性の間の心配な関連性に関するヒントはどこにも見つかりませんでした。

私がログインパスワードにすることは、邪悪な根の目に隠すことはできないと言いましたか?パスワードがログインパスワードと異なる場合は、追加の暗号化層が必要ですか?これで十分ですか?振り返ってみると、2つの異なる作業が進行中だったので、2つの異なるパスワードを使用するのは合理的でした。ただし、自動マウントが使用される程度、つまりこの原則がどれだけ頻繁に違反しているかを検討してください。多くの場合、これはデフォルト設定でもあります。

答え1

私がログインパスワードにすることは、邪悪な根の目に隠すことはできないと言いましたか?

はい、箱の中の他のものも同じです。 (SGXのようにあいまいで非現実的なものは除きます。)

パスワードがログインパスワードと異なる場合は、追加の暗号化層が必要ですか?

大丈夫、次の部分のためです。

これで十分ですか?

いいえ。

悪意のある人がrootアクセス権を持っている場合は、そのコンピュータに表示されるすべてのデータを表示して修正する可能性があります。この場合、2番目のパスワードをキャプチャするためにキーロガーをインストールしたり、インストールsu後にユーザーからパスワードを見つけたり、デバッガを使用してプロセスの1つをハイジャックしたりできます。一般的に言えば、邪悪な誰かがあなたのコンピュータにrootアクセス権を持っている場合、そのコンピュータはもはやあなたのコンピュータではありません。攻撃者がルートアクセス権を取得した場合に発生する可能性があるダメージを制限しようとする無駄にするのではなく、攻撃者がルートアクセス権を取得できないようにすることを中心にセキュリティ決定を下す必要があります。

関連情報