Åtkomst till andras kryptade /home verkar enkelt...

[eyerouge]

Eget test

• Allt detta förutsätter att du bad Ubuntu kryptera /homes innehåll för samtliga användare vid installationen.
• Låt oss kalla din befintliga user du är inne i Ubuntu med för "Kaisa".
• Skapa, via Kaisa, en ny user, med pass och allt, t.ex. via System >> Administration >> Användare & Grupper. Låt oss säga att den nya personens username är "Kalle" och att lösenordet är "KallesLösenord".
• Gör följande:

Kod: Markera allt

Kaisa@Kaisa:~$ sudo passwd Kalle
[sudo] password for Kaisa: <Kaisa's lösenord>
Ange nytt UNIX-lösenord: <nytt lösenord för kalle>
Ange nytt UNIX-lösenord igen: <nytt lösenord för kalle> 
passwd: uppdatering av lösenord lyckades

Med andra ord så har Kaisa nyss ändrat Kalles lösenord. Nu till det märkliga: När man loggar in Kalle mad hans nya lösenord (det som Kaisa satte på honom ovan) så är allt i has krypterade /home fullt synligt och tillgänglig.

Jag kan förstå hur det kommer sig och att en uppdatering av "nycklar" m.m. triggades när Kaisa bytte Kalles lösenord, men är inte detta aningen märkligt?

Detta innebär ju att en krypterad /home inte alls är säker för systemets admin. Trots att admin inte kan ditt lösenord, kan den helt enkelt sätta ett nytt på dig, logga in med det, och se allt i din mapp.

Rimligtvis borde användarens innehåll inte synas när den loggar in med det nya lösenordet, åtminstone inte förrän efter att den - för kryptot - autentiserat sig med det gamla. Eller är det bara jag som tycker det här är märkligt?

(Notera att jag inte diskuterar de fall där en användare, helt själv från sitt eget konto, ändrar sitt eget lösenord. Jag talar om ett där någon annan ändrar det åt dig, från sitt eget konto.)

Vem som helst kan boota som root & göra samma sak?
Läser man följande:
http://www.ubuntugeek.com/how-to-reset- ... sword.html

Får man intryck av att vem som helst kan göra detta på ens dator. Stämmer det? Det skulle ju innebär att jag, som inte ens har en normal user, för att inet tala om en root på era maskienr, kan följa denna procedur och ta mig in i era kryptade /home... eller?

Jag har förgäves försökt finna svar på hur det förhåller sig. Någon som har tillförlitlig info om detta? Tankar?

Jag hoppas att det bara jag som missförstått allt, för det här verkar riktigt galet annars...

[Louie]

Hej!

Verkligen en intressant fråga. Det är ju riktigt osäkert om man kan ändra en användares lösenord och sen komma åt den krypterade hemmappen bara genom att tillförskaffa sig root-rättigheter vilket man gör enkelt genom att starta om datorn i recovery mode..
Det här måste utredas.

På Mac OS X har man löst det genom att ha ett Huvudlösenord som krävs för att kunna ändra en användares lösenord. Så det som krävs där är root + huvudlösenord, annars är det inte möjligt.

Men det här måste ju någon ha tänkt på vad gäller Ubuntu, vad är det annars för vits med att kryptera ?

mvh
L

[Rune.K]

@ eyerouge
För att förhindra ovanstående scenario i Ubuntu måste du sätta ett lösenord på rootkontot.
Och dessutom bara ha en användare som är "admin" (dvs med sudo-rättigheter).
Själv sätter jag ALLTID ett lösenord på rootkontot i Ubuntu...

Edit:
Det är även lämpligt att veta, att Ubuntu är helt ensamma om att använda sudo på det viset som görs i just Ubuntu.
Nu räknar jag inte med derivaten av Ubuntu utan tänker på de vanligaste stora distarna.

[m!rage]

@ Rune.K:
Det går att ta sig förbi rootlösenordet också, det gjorde jag på min dator med Peppermint. I Grub-menyn trycker du ctrl-e för att ändra uppstartsraden, sen lägger du till init=/bin/bash och startar med ctrl-x. Vips har du en root-terminal där du kan köra passwd Kaisa

[ajja]

Det går inte att skydda en dator från direkt/fysisk åtkomst annat än med några decimeter betong och en rejäl ståldörr.
Visst kan man sätta lösen i BIOS men det är bara att peta ut batteriet.
Det går att lösenordsskydda starthanteraren men det hjälper föga mot en live-CD.
Ett lösen på hårddisken är möjligen det som fungerar bäst samman med en skapligt stark kryptering av hela disken - men det går att komma förbi det med men inte lika enkelt.

[m!rage]

Jodå det finns sätt (att skydda data alltså). Kryptering fungerar om det används rätt, men i just detta fallet har någon tydligen inte tänkt till riktigt.

[pun]

Jovisst har man tänkt på det men jag har inte följt med krypteringens hemligheter på ett tag.

Dustin Kirkland som kokat ihop krypterade /home lösningen har skrivit det här blogginlägget angående detta.

http://blog.dustinkirkland.com/2009/03/ ... actor.html

En lösning är alltså att ha passwordfilen på en USB-sticka.

Som Dustin skriver (i kommentarerna )då så är rätta stället att kolla in buggar samt om man har funderingar att nyttja launchpad:

https://bugs.launchpad.net/ubuntu/+sour ... ptfs-utils

Jag kan sedan ha missat nyheter kring detta men Ubuntus wiki ger inte heller några bra svar.


(sen finns det några inlägg bakåt här som tyder på total okunskap vad man kan göra om man har fysisk tillgång till en burk oavsett hur man skyddar root, måste vara en Debian skröna )

[eyerouge]

Rune:

Och dessutom bara ha en användare som är "admin" (dvs med sudo-rättigheter).
Själv sätter jag ALLTID ett lösenord på rootkontot i Ubuntu...

Har numera satt lösenord på root-kontot, men förstår inte varför intstallen inte bad mig om ett när jag väl lade in system till att börja med: Det verkar befängt att ha ett root-konto som vem som helst som råkar sitta framför ens dator kan komma åt, och att ha det så i en default install.

Att bara ha ett "admin"-konto hjälper endast om den som inte har det kontot missbrukar det: Tydligen finns det inget som hindrar systemadmin att ändra ditt lösenord, logga in med "ditt" nya lösenord, och läsa allt du har i din kryptade /home.

Personligen upplever jag det som att en del av det meningsfulla med en kryptad home försvinner. Dessutom innebär väl detta att man kan ta sig in i den kryptade infon på två sätt: Antingen knäcka lösen för ena, eller för andra kontot. (Inte för att det måste vara väldigt sannolikt, men det är likväl en förhöjd sannolikhet.)

Louie:

a. Det är ju riktigt osäkert om man kan ändra en användares lösenord och sen komma åt den krypterade hemmappen bara genom att tillförskaffa sig root-rättigheter vilket man gör enkelt genom att starta om datorn i recovery mode..

Det där fungerar, om man inte har ett root password. Jag följde Runes tips ovan och har testat att nå root utifrån recovery mode - det gick inte - den bad om roots password. (dock så är ju inte det default vid en install, och vilken normal användare kommer mecka med detta? De flesta kommer lita på att krypten skyddar deras data...)

m!rage:

trycker du ctrl-e för att ändra uppstartsraden, sen lägger du till init=/bin/bash och startar med ctrl-x. Vips har du en root-terminal där du kan köra passwd Kaisa

Kör senaste stabila Ubuntu (lila, 10.04?) och har Grub 1.98. Jag lade till det du skrev på slutet men det påverkade inget på mitt system, utan Ubuntu bootade som vanligt.

Det låter dessutom märkligt om man skulle kunna ta sig förbi roots lösenord genom ett så enkelt ingrepp.. kan bara inte vara meningen.

pun:
Jag läste alla hans texter på ämnet, men har egentligen inte fått svar på frågan, eller snarare den nya frågan:

Om man har ett lösenordsskyddat rootkonto, kan man då på något vis - utan att ange rootpasswordet - ta sig ut i terminalläge och byta till root-usern för att utföra lösenordsbyten av andras userkonton? (Om ja innebär det att krypteringen i Ubuntu är ett stort skämt som vem som helst kan ta sig förbi).)

[m!rage]

För mig startar Ubuntu inte alls när jag testade nu Funkade med Peppermint iaf...
Men borde man inte kunna komma åt root-lösenordet genom att starta från en live-CD och chroota in i / ?

[ajja]

För mig startar Ubuntu inte alls när jag testade nu Funkade med Peppermint iaf...
Men borde man inte kunna komma åt root-lösenordet genom att starta från en live-CD och chroota in i / ?

Det är inte så enkelt att komma åt själva lösenordet för root, filerna är numer krypterade men att ändra är inte svårt:

Starta upp med en live-variant (USB, CD/DVD)

Montera filsystemet

Kod: Markera allt

mount /dev/sdaX /mnt

chroota

Kod: Markera allt

sudo chroot /mnt /bin/bash

Byt lösenord

Kod: Markera allt

passwd

Lista användarna

Kod: Markera allt

ls /home

Ändra lösenord för användarna

Kod: Markera allt

passwd valt_användarnamn

Starta om

Kod: Markera allt

reboot -h now

[Rune.K]

...
Om man har ett lösenordsskyddat rootkonto, kan man då på något vis - utan att ange rootpasswordet - ta sig ut i terminalläge och byta till root-usern för att utföra lösenordsbyten av andras userkonton? (Om ja innebär det att krypteringen i Ubuntu är ett stort skämt som vem som helst kan ta sig förbi).)

I Ubuntu kan den så kallade "admin" med hjälp av sudo och sitt eget lösenord göra det.
Med "admin" menar jag den första användaren, den som skapas vid installationen och har fullständiga rättigheter till systemet med hjälp av sudo och sitt eget lösenord.

Edit:
Osprey förklarar användningen av sudo på ett bra sätt i det här inlägget > http://ubuntu-se.org/phpBB3/viewtopic.p ... 31#p239031

Förövrigt, de enda OS jag känner till där man får fullständiga root/adminstratörs-rättigheter genom att starta datorn i "recovery mode" är Ubuntu och Windows XP Home, vid en normal installation.

[Konservburk]

Med andra ord så har Kaisa nyss ändrat Kalles lösenord. Nu till det märkliga: När man loggar in Kalle mad hans nya lösenord (det som Kaisa satte på honom ovan) så är allt i has krypterade /home fullt synligt och tillgänglig.

Det där fungerar bara om Kalle varit inloggad nyligen. Starta om datorn och försök åter igen logga in med det nya lösenordet så ska du inte kunna komma åt den krypterade hemkatalogen. Förklaringen är att nyckelringen tydligen inte rensas som den bör:

https://bugs.launchpad.net/ecryptfs/+bug/313812

[Konservburk]

Detta innebär ju att en krypterad /home inte alls är säker för systemets admin.

Jag vill bara påpeka att en krypterad /home inte är säker för systemets admin även om den här buggen rättas till. En admin kan trigga en kopiering av all din data som startar automatiskt samma sekund som din hemkatalog låses upp när du loggar in.