Kötü amaçlı uygulamalar şifresi çözülürken anahtarlığımdaki verilere erişebilir mi?
Uygulamada (şu anda), evet yapabilirler. Linux'taki kullanıcı oturumlarının şu andaki tasarımı (veya eksikliği), gnome-keyring-daemon'un hangi programa erişmeye çalıştığını belirlemeyi zorlaştırmaktadır; Derlenmiş programlar için bir dereceye kadar mümkün, ancak örneğin Python ile yazılmış herhangi bir uygulama Python ile yazılmış herhangi bir uygulamadan ayırt edilemez. Gnome-keyring'in ilk başta bir uygulama beyaz listesi olmasına rağmen , geçerli sürümler artık kullanılmamaktadır.
Sonunda bu Snap veya Flatpak gibi uygulama konteyner projeleri ile geliştirilmelidir.
Öyleyse, diskim zaten şifrelendiğinde ve bilgisayarımı kullanan tek kişi benimken anahtarlığım için bile bir parolaya ihtiyacım var mı?
Evet derdim.
Yukarıda belirtildiği gibi, herhangi bir program sadece bir D-Bus mesajı gönderebilir ve herhangi bir sır için gnome-keyring-daemon'ı isteyebilir. (Bazı durumlarda bile bir özellik olarak çalışır.)
Ancak, hala komutları çalıştırma veya D-Bus mesajları gönderme ihtimaline sahip olmasa da , dosyalarınızı çalmak için savunmasız bir programın (örneğin bir web tarayıcısı) kullanılabileceği bir kaç güvenlik açığı olmuştur . Kötü amaçlı yazılımın insanların şifrelenmemiş SSH anahtarlarını ( ~/.ssh/id_rsa
) veya Bitcoin Core cüzdanlarını çaldığı bilinmektedir .
Aynı şekilde, eğer şifreli değilse, ~/.local/share/keyrings/login.keyring
web tarayıcı istismarları vb.
(Bir oturum açma yöneticisi kullanmıyorum, TTY üzerinden oturum açtıktan sonra otomatik olarak i3wm'ye başlıyorum, bu yüzden bu kurulum için de otomatik kilit açma mümkün mü?)
GNOME anahtarlığının otomatik olarak açılması her durumda PAM ile yapılır. Adlı bir modül pam_gnome_keyring.so
şifrenizi giriş işleminin bir parçası olarak alır ve ilk anahtarlık arka planını başlatır.
PAM modülü /etc/pam.d
, Linux dağıtımınızın normalde ortak modüller eklediği yerlere veya sadece login
dosyaya eklenmelidir (özellikle konsol ve telnet girişleri içindir).
Auth grubunda (Debian tarzındaki "Additional" bloğunda common-auth
; aksi takdirde son modül olduğu gibi) parolayı bellekte saklayacaktır:
[...]
auth optional pam_gnome_keyring.so only_if=login
Oturum grubunda (yine, Debian için "Ek" blok, aksi takdirde son modül) gnome-keyring-daemon'u başlatmak için saklanan şifreyi kullanır :
[...]
session optional pam_gnome_keyring.so only_if=login auto_start