Luks şifreli tek kullanıcı makinede bir anahtarlık şifresine ihtiyacım var mı?

Başlık her şeyi söylüyor ama biraz daha genişletmeme izin verin:

Anahtarlık şifresinin anahtarlarımı nasıl koruduğunu merak ediyorum. Elbette, konteyner dosyasını şifreler, böylece başka hiç kimse erişemez. Ayrıca anahtarlık şifremi sağladıktan sonra şifresi de çözüldü. Aslında, giriş yaptığım sırada, bazı kötü amaçlı uygulamalar tarafından anahtarlar çalınabilir (en azından root izinli bir uygulama yapabilmelidir).

Tabii ki, anahtar dosyanın şifresini girdikten sonra şifresi çözülmüş bir sürümle değiştirilmediğini biliyorum, ancak bellekte şifresi çözülmeli.

Soru şudur: Kötü amaçlı uygulamalar şifresi çözülürken anahtarlığımdaki verilere erişebilir mi? Öyleyse, diskim zaten şifrelendiğinde ve bilgisayarımı kullanan tek kişi benimken anahtarlığım için bile bir parolaya ihtiyacım var mı?

Bir şifre daha güvenli olacaksa, oturum açtıktan sonra hesap şifremi (veya benzeri) kullanarak otomatik olarak kilidini açmak mümkün olabilir mi?

(Bir oturum açma yöneticisi kullanmıyorum, TTY üzerinden oturum açtıktan sonra otomatik olarak i3wm'ye başlıyorum, bu yüzden bu kurulum için de otomatik kilit açma mümkün mü?)

Kötü amaçlı uygulamalar şifresi çözülürken anahtarlığımdaki verilere erişebilir mi?

Uygulamada (şu anda), evet yapabilirler. Linux'taki kullanıcı oturumlarının şu andaki tasarımı (veya eksikliği), gnome-keyring-daemon'un hangi programa erişmeye çalıştığını belirlemeyi zorlaştırmaktadır; Derlenmiş programlar için bir dereceye kadar mümkün, ancak örneğin Python ile yazılmış herhangi bir uygulama Python ile yazılmış herhangi bir uygulamadan ayırt edilemez. Gnome-keyring'in ilk başta bir uygulama beyaz listesi olmasına rağmen , geçerli sürümler artık kullanılmamaktadır.

Sonunda bu Snap veya Flatpak gibi uygulama konteyner projeleri ile geliştirilmelidir.

Öyleyse, diskim zaten şifrelendiğinde ve bilgisayarımı kullanan tek kişi benimken anahtarlığım için bile bir parolaya ihtiyacım var mı?

Evet derdim.

Yukarıda belirtildiği gibi, herhangi bir program sadece bir D-Bus mesajı gönderebilir ve herhangi bir sır için gnome-keyring-daemon'ı isteyebilir. (Bazı durumlarda bile bir özellik olarak çalışır.)

Ancak, hala komutları çalıştırma veya D-Bus mesajları gönderme ihtimaline sahip olmasa da , dosyalarınızı çalmak için savunmasız bir programın (örneğin bir web tarayıcısı) kullanılabileceği bir kaç güvenlik açığı olmuştur . Kötü amaçlı yazılımın insanların şifrelenmemiş SSH anahtarlarını ( ~/.ssh/id_rsa) veya Bitcoin Core cüzdanlarını çaldığı bilinmektedir .

Aynı şekilde, eğer şifreli değilse, ~/.local/share/keyrings/login.keyringweb tarayıcı istismarları vb.

(Bir oturum açma yöneticisi kullanmıyorum, TTY üzerinden oturum açtıktan sonra otomatik olarak i3wm'ye başlıyorum, bu yüzden bu kurulum için de otomatik kilit açma mümkün mü?)

GNOME anahtarlığının otomatik olarak açılması her durumda PAM ile yapılır. Adlı bir modül pam_gnome_keyring.soşifrenizi giriş işleminin bir parçası olarak alır ve ilk anahtarlık arka planını başlatır.

PAM modülü /etc/pam.d, Linux dağıtımınızın normalde ortak modüller eklediği yerlere veya sadece logindosyaya eklenmelidir (özellikle konsol ve telnet girişleri içindir).

Auth grubunda (Debian tarzındaki "Additional" bloğunda common-auth; aksi takdirde son modül olduğu gibi) parolayı bellekte saklayacaktır:

[...]
auth optional pam_gnome_keyring.so only_if=login

Oturum grubunda (yine, Debian için "Ek" blok, aksi takdirde son modül) gnome-keyring-daemon'u başlatmak için saklanan şifreyi kullanır :

[...]
session optional pam_gnome_keyring.so only_if=login auto_start