Mein client.key ist mit einem ordentlichen Passwort gesichert.
Die Zertifikate und Keys liegen in /etc/openvpn/ mit user:group = root:root und permissions 600.
Für die VPN-Verbindung ist in der NM-Konfiguration aus Sicherheitsgründen kein Passwort eingetragen, und der gnome-keyring ist gesperrt/deaktiviert.
Dann aber kann ich keine VPN-Verbindung mit dem NetworkManager aufbauen, es kommt keine Passwort-Abfrage per pinenty, nur eine Benachrichtigung:
Alles funktioniert problemlos, sobald ich nur meinen Key "world readable" mache mitVerbindung fehlgeschlagen, weil keine gültigen VPN-Geheimnisse vorliegen
Code: Alles auswählen
chmod 644 client.keyAlle Zertifikate und auch der ta.key haben jedoch nach wie vor die permissions 600.
Da im Fehlerfall (permissions 600) auch keine Passwort-Abfrage erfolgt, vermute ich mal, dass dann das pinentry-applet nicht über ausreichend Rechte verfügt. Der NetworkManager scheint diese Rechte aber sehr wohl zu besitzen, sonst könnte er weder die Zertifikate, noch den ta.key lesen.
Ich habe mal die Prozessliste der zugehörigen Einträge im Moment der Passwort-Abfrage hier gelistet:
Code: Alles auswählen
root 9163 0.0 0.0 0 0 ? I 16:42 0:00 [kworker/1:1-mm_percpu_wq]
ingo 9177 0.0 0.2 240864 10788 ? Sl 16:42 0:00 /usr/bin/gnome-keyring-daemon --start --foreground --components=secrets
root 9195 0.0 0.2 172008 9284 ? Sl 16:44 0:00 /usr/lib/NetworkManager/nm-openvpn-service --bus-name org.freedesktop.NetworkManager.openvpn.
ingo 9199 0.5 0.8 293564 32268 ? Sl 16:44 0:00 /usr/lib/NetworkManager/nm-openvpn-auth-dialog -u bf7db844-41d0-42f5-b503-8542e577cc6b -n VPN ...
Ich habe also momentan nur die Möglichkeit, meinen Key "world readable" zu machen - das ist immerhin sicherer als es dem NM oder gnome-keyring anzuvertauen.
Ich suche also eine Möglichkeit, die Passwort-Abfrage durch den NM mit root-Rechten zu nachen?
(mit policykit kenne ich mich leider kaum aus, weiss auch nicht, ob sich das damit lölsen läßt).
Hat da Jemand eine Idee?
Gruß, Ingo