Linux ja kansion oikeudet sekä tietoturva

[blender]

Huomasin tässä jokin aika sitten, että periaatteessa, jos esim. kotikansiossa on yleiset lukuoikeudet, niin
boottaamalla live CD:llä pääsee lukemaan käyttäjien kotihakemistot ilman, että tarvitsee olla
käyttäjien kirjautumistietoja. Ei siinä sinänsä mitään ihmeellistä. Jos poistan esim. kotihakemiston
oikeudet muilta kuin omistajalta täysin (myös luku), niin olisiko kotihakemiston lukeminen silloin
mahdotonta esim live CD:n kautta ilman omistajakäyttäjän kirjautumistietoja?

Kuinka hankala ulkopuolisen käyttäjän on päästä käsiksi hakemistoon, johon hänellä ei ole mitään oikeuksia?
Tällöin hakemisto ei ole varsinaisesti kryptattu. Huomasin, että Ubuntun 9.10. versiossa kotihakemiston
pystyy helposti kryptaamaan kokonaan, mutta toiset ovat huolissaan tällaisten kryptausalgoritmien toimivuudesta
(bugi algoritmissa saattaa helposti muuttaa kryptatun tiedon käyttökelvottomaksi). Siksi minua kiinnostaisikin,
voittaako hakemiston kryptauksessa paljonkin, jos kyseisestä hakemistosta on jo evätty kaikki oikeudet ulkopuolisilta?

[Ville Pöntinen]

Live-cd antaa lukea ja muokata kaikkia kryptaamattomia tiedostoja omistajuuksista riippumatta.

[SuperOscar]

Ehkä asiaa kannattaisi ajatella niin, että tiedosto-oikeudet ovat vain pyyntöjä käyttöjärjestelmälle: ”kiltti käyttöjärjestelmä, voisitko toimia näin-ja-näin”. Kryptaamattomat tiedostot itsessään ovat levyllä täysin avoimesti. Jos konetta käytetään järjestelmällä, joka syystä tai toisesta ei piittaa tiedosto-oikeuksista, tiedostot saa aina halutessaan näkyviin.

Toisin sanoen jos joku pääsee fyysisesti koneellesi, hän pääsee myös käsiksi kaikkiin kryptaamattomiin tiedostoihin vaivatta.

[Ked]

toiset ovat huolissaan tällaisten kryptausalgoritmien toimivuudesta (bugi algoritmissa saattaa helposti muuttaa kryptatun tiedon käyttökelvottomaksi).

Useimmiten kyse on siitä, että käyttäjä on unohtanut salasanan tai muistanut sen väärin.

[mikko_h]

Kuinka hankala ulkopuolisen käyttäjän on päästä käsiksi hakemistoon, johon hänellä ei ole mitään oikeuksia?

Kuten edellisissä vastauksissa on todettu, jos koneeseen pääsee ulkopuoliset fyysisesti käsiksi, niin he myös pääsevät enemmän tai vähemmän helposti lukemaan tiedostot. Live-cd:ltä käsinhän koneen kovalevyn voi mountata root-käyttäjänä ja tehdä kovalevylle mitä lystää.

Unixin tiedostojärjestelmän oikeudet ovat perua ajalta, jolloin järjestelmällä oli aina monia käyttäjiä, jotka olivat terminaalin kautta yhteydessä jossain konehuoneessa sijaitsevaan koneeseen. Niistä on jonkun verran pitkä matka nykymaailman läppäreihin.

Jonkin verran ulkopuolisia voi hidastaa poistamalla kaikki muut laitteet paitsi kovalevyn (CD-asemat, USB-massamuistit jne.) BIOSin boottijärjestyksestä ja laittamalla sekä BIOSille että bootloaderille salasanan. Tällöin kone boottaa aina kovalevyltä haluttuun järjestelmään. Näin toimivat esim. useimmat tietokoneluokkia ylläpitävät oppilaitokset. Tämäkään ei tietysti estä sitä, että 'ulkopuolinen käyttäjä' ottaa kovalevyn mukaansa ja laittaa sen tykönään johonkin muuhun järjestelmään.