Um computador executa o Ubuntu com criptografia de pasta base. Ele está ligado, mas não conectado. Outro computador se conecta a ele por meio do SSH, permitindo a navegação da pasta principal pelo terminal. Um hacker com acesso físico pode ler os dados da pasta pessoal?
O usuário root tem acesso total a todas as pastas domésticas criptografadas enquanto esses usuários estiverem conectados. Alguém com acesso físico ao computador pode modificar o kernel para obter acesso root e acessar os arquivos dessa maneira.
O servidor SSH pode ver as senhas inseridas e o executável do servidor SSH pode ser modificado por alguém com acesso físico para fornecer a senha a eles.
Estou apenas adivinhando, mas eu diria que não porque primeiro o hacker tem que passar a segurança do sistema operacional como sua senha no seu computador e para isso eles precisariam saber a senha ou tentar quebrar a senha para fazer isso. Eu diria que eles precisariam desligar o computador e carregar um sistema operacional de um usb, por isso, se eles sabem que a senha não é importante, e você não seria capaz de usar o ssh se eles carregassem um sistema operacional.
Quanto a você ler seus arquivos enquanto estiver usando ssh e lendo arquivos, com base em this a pasta home nunca é totalmente descriptografada e os dados descriptografados nunca são armazenados no disco rígido apenas na RAM, um hacker pode conseguir algo do RAM, mas não seria toda a sua pasta home e eu acho que para isso eles precisam desligar o seu computador ( isto é o que eu estou me referindo) para fazê-lo e eu não acho que seria fácil de ler um despejo de memória bruta.
então eu não acho que eu estaria preocupado se eles tivessem acesso ao seu computador, então provavelmente há maneiras mais fáceis de obter as informações armazenadas no disco rígido.
Atualizar
Com todo o disco rígido sendo descriptografado quando você faz o login no ssh, se o hacker puder ser passado pela segurança, ao fazer o login, você estará dando ao hacker acesso aos seus arquivos.
Uma pessoa qualificada com acesso físico à máquina pode instalar um keylogger (dispositivo físico) e acessar sua pasta pessoal depois de efetuar login localmente nessa máquina novamente. Em geral: Uma pessoa qualificada com acesso físico à sua máquina ... o que você quer dizer com "minha máquina"? Não é mais sua máquina.
No entanto, provavelmente você está mais interessado em: Sua pasta pessoal não se torna acessível quando você faz login via SSH.
Provavelmente, você deve ter certeza de que pode efetuar login, pois na configuração padrão, as chaves públicas autorizadas são armazenadas em ~/.ssh/authorized_keys , o que obviamente não pode ser lido se sua pasta inicial não estiver acessível no momento da tentativa de login. Se você alterar a configuração, poderá fazer o login por meio da autenticação de chave pública, mas a sua pasta pessoal não ficará acessível porque o seu sistema realmente não sabe sua senha.
Se você fizer o login via senha (o que você não deveria!), você diz ao seu sistema sua senha mas afaik, sua pasta pessoal ainda não se torna acessível. Para que isso aconteça, você precisa executar:
ecryptfs-mount-private
Se ele se tornar automaticamente acessível, você obviamente não precisará executar este comando.
Então, vamos supor que você conseguiu fazer login e sua pasta pessoal está acessível.
Se excluirmos habilidades muito avançadas do invasor, elas ainda não poderão acessar sua pasta pessoal, a menos que possam fazer login na máquina usando alguma conta.
Se não excluirmos as habilidades do invasor, elas podem, por exemplo, obter seus dados e até mesmo sua chave de criptografia por meio de um ataque de inicialização a frio . Ataques diferentes são possíveis, mas significativamente menos ruins (como desligar seu servidor e inicializar um sistema operacional que, por sua vez, inicializa o sistema operacional usual do servidor, mas mantém controle total sobre o servidor e pode ler a memória RAM como desejado; alterar partes do seu sistema operacional para enviar dados de volta para eles quando você tornar sua pasta pessoal acessível da próxima vez).
No entanto, o invasor apenas instalando um keylogger é muito mais provável do que qualquer ataque avançado sendo executado.