Come consentire a pam di eseguire mount

0

Sto provando a configurare ecryptfs sul mio sistema Gentoo, ma continuo a riscontrare problemi con il montaggio automatico della cartella home.

ecryptfs funziona nel modo in cui esiste un file di password crittografato con la password dell'utente che contiene una chiave per decrittografare la cartella principale. Quando l'utente accede, il modulo PAM utilizza la password fornita dall'utente per decrittografare il file e ottenere la password per il filesystem, quindi ha lo scopo di eseguire il comando mount per montare il sistema.

Eseguendolo a mano come root funziona bene, ma non riesco a farlo funzionare automaticamente tramite pam_mount, ecco una guida che ho seguito: http://gentoo-en.vfose.ru/wiki/Encrypt_home_directory_with_ecryptfs

Ora sto riscontrando questo problema:

mount.c:72): mount: only root can mount /home/.ecryptfs/petr.bena/.Private on /home/petr.bena

Stavo cercando su Google e ho scoperto che a PAM non è permesso usare il comando mount per motivi di sicurezza. Ad essere sincero, non mi interessa. Sono disposto a sacrificare la "sicurezza" del mio sistema e consentire a PAM di eseguire montaggi. Perché avere una cartella home non crittografata è un problema di sicurezza significativamente più elevato IMHO.

Inoltre, nessun altro ha accesso diretto a questo laptop, quindi avere utenti non root in grado di eseguire montaggi è ok per me (tutti gli utenti non root hanno comunque sudo).

C'è un modo per consentire a PAM di montare?

AGGIORNAMENTO: Ho capito che l'aggiunta dell'opzione "user" a fstab consente agli utenti regolari di montare, ora ho questo errore, però:

(mount.c:72): mount: mount(2) failed: No such file or directory

Il che non ha senso, perché i percorsi sono corretti. Molto probabilmente legato all'ecryptfs stesso

linux  encryption  mount 
Petr
fonte
Gentoo non implementa correttamente eCryptFS o case crittografate? Sembra che dovrebbe essere una segnalazione di bug per Gentoo, stai solo cercando di far funzionare normalmente eCryptFS?
Xen2050,
Non credo che Gentoo attui davvero nulla. Prende solo il codice sorgente e consente all'utente di compilarlo e configurarlo a mano. Se c'è un bug, è presente sia in eCryptFS che nel manuale di eCryptFS.
Petr
In effetti, sono riuscito a far funzionare ecryptfs, quindi il problema non è dalla loro parte, ciò che non funziona è il pomo automount, quindi il bug qui è probabilmente in pam o nella sua documentazione che non descrive realmente i dettagli di configurazione in un modo chiaro.
Petr
Mai provato gentoo, solo familiarità con le distribuzioni basate su Debian U Ubuntu, i pacchetti dovrebbero essere testati e di solito funzionano bene ;-) Avere un'idea di pam, pubblicato alcune informazioni
Xen2050,

Risposte:

0

Forse la pagina man di pam_ecryptfs ha alcuni indizi, menzioni che richiedono voci nei file /etc/pam.de probabilmente bisogno del file /lib/security/pam_ecryptfs.so(o in qualche altra posizione?)

Per scartare una passphrase di mount e montare automaticamente una directory privata al login, aggiungi le seguenti righe a

   /etc/pam.d/common-auth:

              auth    required        pam_ecryptfs.so unwrap

   /etc/pam.d/common-session:

              session optional        pam_ecryptfs.so unwrap

Su Linux Mint, il mio /etc/pam.d/common-authfile ha la linea:

auth    optional    pam_ecryptfs.so unwrap

e /etc/pam.d/common-sessionha:

session optional    pam_ecryptfs.so unwrap

In realtà, tutti i file che /etc/pam.d/contengono "ecrypt" sono questi:

$ grep ecrypt /etc/pam.d/*
/etc/pam.d/common-auth:auth optional    pam_ecryptfs.so unwrap
/etc/pam.d/common-password:password optional    pam_ecryptfs.so 
/etc/pam.d/common-session:session   optional    pam_ecryptfs.so unwrap
/etc/pam.d/common-session-noninteractive:session    optional    pam_ecryptfs.so unwrap
Xen2050
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.