![로그인 시 해독되는 암호화된 폴더로 설정할 수 없는 폴더는 무엇입니까? [폐쇄]](https://linux55.com/image/101716/%EB%A1%9C%EA%B7%B8%EC%9D%B8%20%EC%8B%9C%20%ED%95%B4%EB%8F%85%EB%90%98%EB%8A%94%20%EC%95%94%ED%98%B8%ED%99%94%EB%90%9C%20%ED%8F%B4%EB%8D%94%EB%A1%9C%20%EC%84%A4%EC%A0%95%ED%95%A0%20%EC%88%98%20%EC%97%86%EB%8A%94%20%ED%8F%B4%EB%8D%94%EB%8A%94%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F%20%5B%ED%8F%90%EC%87%84%5D.png)
ecryptfs를 사용하여 암호화하고 모듈을 사용하여 로그인할 때 해독할 수 있는 폴더 수를 최대화하고 싶습니다 pam_ecryptfs.so.
로그인 전에 암호화할 수 없는 폴더는 무엇입니까?
lsof지나가던 누군가가 pam_exec.so대답해줄 것 같아요 . 더 나은 전략이 있나요?
화이트리스트 폴더의 예: /boot,/etc/pam.d
추신: 저는 Ubuntu Desktop 16.10을 사용하고 있습니다. 전체 디스크 LUKS 암호화(완료)는 언급하지 마세요.
답변1
Ecryptfs는 사용자의 홈 디렉터리를 암호화하도록 설계되었습니다. 다른 목적으로 사용할 수 있지만 해당 용도로 설계되지 않았으며 설정도 쉽지 않습니다.
Ecryptfs는 일반적으로 로그인 시 설치되므로 사용자의 데이터만 암호화할 수 있습니다. 사용자의 데이터는 일반적으로 사용자의 홈 디렉터리 아래에 위치하며, 이것이 바로 홈 디렉터리의 역할입니다.
로그인하기 전에 ecryptfs를 설치하지 않으면 시스템 전체 파일을 ecryptfs를 사용하여 암호화할 수 없습니다. 그러나 그것이 당신이 원하는 것이라면 ecryptfs를 사용할 필요가 없습니다. LUKS/dmcrypt로 전체 파일 시스템을 암호화하는 것보다 설정하기가 더 어렵고 느리며 보안상의 이점도 없습니다. 컴퓨터를 자동으로 부팅하고 사용자가 로그인할 때까지 사용자 파일을 보호하려는 경우 ecryptfs를 사용하여 홈 디렉터리를 보호하는 것은 전체 디스크 암호화에 비해 이점이 있습니다. 로그인 전에 암호 해독이 발생하는 경우 ecryptfs를 사용하여 파일 시스템을 암호화하는 것은 의미가 없습니다.
종속성을 찾는 것은 pam_exec.so헛된 일입니다. 로그인하기 전에 필요한 것은 일련의 시스템 서비스입니다. 이 pam_exec모듈은 로그인 프로세스의 일부일 뿐이며, 로그인 프로그램, 로깅 하위 시스템, 장치 초기화에 사용되는 모든 프로그램 및 기타 여러 시스템 서비스뿐만 아니라 나머지 로그인 프로세스도 사용할 수 있어야 합니다. 이 모든 것을 암호화하려면 부팅 과정 초기에 복호화 키를 요청해야 하는데, 이를 수행하는 방법은 전체 디스크 암호화에 LUKS를 사용하는 것입니다.