[Aufgegeben] Automatisches entschlüsseln und einhängen einer Partition bei 3 Nutzern.

[ottonormal]

Hallo,

Ich möchte auf dem neuen System meiner Frau eine luks-verschlüsselte Datenpartition automatisch beim Start entschlüsseln und einhängen. Das funktioniert so weit auch ganz gut, es hat nur einen Haken:

Ich habe 3 Nutzerkonten angelegt, natürlich jeder mit eigenem Passwort. Auf dem Nutzerkonto A soll soll die Partition beim Start eingehängt werden. Bei Nutzer B und C soll das nicht so sein.
Das ist aber der springende Punkt, nach einem Neustart ist die Partition bei allen eingebunden und zugänglich. lässt sich das irgendwie verhindern?

[tegula]

Falls man bestimmte Partitionen nur für bestimmte Nutzer einbinden will, erweitert man entsprechend die Konfiguration:

In /etc/security/pam_mount.conf.xml wird unter der auskommentierten Dokumentation folgende Zeile eingetragen und UUID durch die tatsächliche UUID der Partition ersetzt:

Code: Alles auswählen

<volume user="BENUTZERNAME" fstype="crypt" path="/dev/disk/by-uuid/UUID" mountpoint="/ABSOLUTER/PFAD/ZU/EINHÄNGEPUNKT" options="fsck,relatime" />

[ottonormal]

Danke, das klingt ja schon mal gut. Eine Datei "/etc/security/pam_mount.conf.xml" gibt es hier aber leider nicht. Es ist ja (leider) auch ein "Linux Mint 19.3 Xfce"

(siehe dazu: viewtopic.php?f=27&t=176454&sid=fa1379f ... c#p1230486 ).

Es sind dort mehrere .conf-Dateien, alles aber einfache Textdokumente, kein .xml.
Eine Datei gibt es da: "pam_env.conf"
Sollte das etwas ähnliches sein?

[tegula]

Danke, das klingt ja schon mal gut. Eine Datei "/etc/security/pam_mount.conf.xml" gibt es hier aber leider nicht.

Ist libpam-mount denn überhaupt installiert?

Code: Alles auswählen

dpkg -s libpam-mount | grep "Status"

[ottonormal]

Ist libpam-mount denn überhaupt installiert?

Gute Frage! War's natürlich nicht. Das ließ sich aber ja schnell nachholen.
Ich weiß nicht, ob ich alles richtig gemacht habe, etwas verwirrend ist das ja schon für mich. Was ich genau gemacht habe, habe ich mal als Bild dargestellt:

https://www.directupload.net/file/d/573 ... sk_png.htm

Die Zeile 42 ist die von mir angepasste und eingefügte. Aus Datenschutzgründen ist es an 2 Stellen (Name und UUID) etwas verpixelt.

Jedenfalls hat es damit leider nicht funktioniert.

Was habe ich falsch gemacht?

[rodney]

Offtopic:

Ich weiß nicht, ob ich alles richtig gemacht habe, etwas verwirrend ist das ja schon für mich. Was ich genau gemacht habe, habe ich mal als Bild dargestellt:

https://www.directupload.net/file/d/573 ... sk_png.htm

Danke fuer die Wahl eines Bilderhosters, der hoechstewahrscheinlich auf Datenschutz seiner Besucher pfeift.

Die Zeile 42 ist die von mir angepasste und eingefügte. Aus Datenschutzgründen ist es an 2 Stellen (Name und UUID) etwas verpixelt.

Schoen das du in einer "fotografierten" Textdatei auf den Datenschutz achtest und deine Daten verpixelst, anstatt die relevanten Daten/Stellen in der Textdatei durch den Buchstaben zu "x" ersetzen.

[ottonormal]

Danke fuer die Wahl eines Bilderhosters, der hoechstewahrscheinlich auf Datenschutz seiner Besucher pfeift.

Ich würde Bilder ja gerne auch hier direkt ins Forum senden. Manche/viele können das ja auch. ich habe es mehrfach versucht und bin immer gescheitert.
Wenn Du einen besseren Bilderhoster kennst, bin ich sehr dankbar wenn Du mir den nennst. Den ich jetzt nutze habe ich auch schon ganz zu Anfang hier aus dem Forum genannt bekommen nachdem ich Mecker dafür bekam, dass ich Bilder einfach in meine Wolke geladen hatte.
Nun also Mecker für meine derzeitige Methode. Danke!

Und was ich verpixelt habe, ist absolut NICHT relevant. Oder sollte die richtige Schreibweise des Nutzernamens und der UUID kontrolliert werden?

Es war vielleicht auch nicht besonders schlau von mir das als Bild zu zeigen. Ich hatte mir aber gedacht, so hätte man die ganze Datei sehr übersichtlich gezeigt. Es geht ja nur um die eine Zeile und die Frage ob sie so richtig vervollständigt ist und ob sie an der richtigen Stelle eingefügt ist.

[MSfree]

Ich würde Bilder ja gerne auch hier direkt ins Forum senden.

Warum überhaupt megabyteweise Bild, wenn es ein paar hundert Byte Text auch tun?
Text läßt sich doch ganz einfach per Copy'n'Paste ins Forum einfügen.

[ottonormal]

Ich habe die bearbeitete Zeile jetzt mal ganz nach unten gesetzt. Das hat aber auch keine Veränderung erbracht.
Hier also, diesmal im Textformat, die Datei:

Code: Alles auswählen

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
	See pam_mount.conf(5) for a description.
-->

<pam_mount>

		<!-- debug should come before everything else,
		since this file is still processed in a single pass
		from top-to-bottom -->

<debug enable="0" />

		<!-- Volume definitions -->


		<!-- pam_mount parameters: General tunables -->

<!--
<luserconf name=".pam_mount.conf.xml" />
-->

<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />

<!-- requires ofl from hxtools to be present -->
<logout wait="0" hup="no" term="no" kill="no" />


		<!-- pam_mount parameters: Volume-related -->

<mkmountpoint enable="1" remove="true" />

</pam_mount>

<volume user="xxxxxx" fstype="crypt" path="/dev/disk/by-uuid/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" mountpoint="/mnt/Linux-Daten/" options="fsck,relatime" /