用户如何在VeraCrypt中挂载加密文件容器？

警告 ：如果同意以下内容，请仅使用@Pawel Debski解决方案：

• 任何访问 veracryptusers组中的用户帐户的用户或黑客都可以通过下载包含以root身份运行的恶意代码的准备好的容器文件，以root身份运行任何命令。

因此，使用该解决方案，您可能会考虑使用特殊的用户配置文件进行veracrypt。 因此，sodo更容易使用。

测试安全问题的步骤：

1. 创建容器文件（ext2-4）
2. 复制或创建二进制文件（例如whoami）
3. 将二进制所有者更改为root
4. 将setuid添加到二进制文件中
5. 使用非root用户帐户调用二进制文件

二进制文件将以root权限运行。

提示：我添加了这个解决方案，因为Pawel Debski的警告不明显。 只要系统具有互联网连接，风险远远大于收益。

我做的。 该解决方案改编自： https ： //wiki.archlinux.org/index.php/TrueCrypt#Mount_volumes_as_a_normal_user以及我关于现代sudoers配置的其他问题： 在/etc/sudoers.d/中添加本地内容而不是直接修改sodoers文件通过visudo

1. 创建一个名为veracryptusers的新组，并veracryptusers提供必要的权限，以便在没有root密码的情况下使用VeraCrypt。 属于该组的任何用户都可以使用VeraCrypt。

注意：这会显着增加用户权限提升的攻击面，因此请务必仅将可信用户添加到此组。

 # groupadd veracryptusers 

2. 现在让我们给这组sudo权限仅限于VeraCrypt：

 $ sudo visudo -f /etc/sudoers.d/veracrypt
   GNU nano 2.5.3文件：/etc/sudoers.d/veracrypt.tmp                      

 #veracryptusers组中的用户可以以root身份运行veracrypt。
 ％veracryptusers ALL =（root）NOPASSWD：/ usr / bin / veracrypt

另外请确保veracrypt和/usr/bin具有适当的权限，并且不能由组或其他人写入：

 $ ls -al / usr / bin / vera *
 -rwx r-xr-x 1 root root6341016paź172016 / usr / bin / veracrypt
 $ ls -ald / usr / bin
 drwx r-xr-x 2 root root 69632 lip 25 10:09 / usr / bin

否则，恶意用户可能会替换可执行文件并根据自己的意愿获得完全root权限。

现在重新启动（或重新登录）以重新评估组成员资格并vo – 您可以装载和卸载您喜欢的卷。

现在谁是大师，他？