[gelöst] gnome-keyring: Masterpassword and Nutzeranmeldung koppeln

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

[gelöst] gnome-keyring: Masterpassword and Nutzeranmeldung koppeln

Beitrag von buhtz » 24.01.2021 20:55:34

Laut Ubuntu-Wiki zum Thema GNOME Schlüsselbund wird per default bei der Installation das Masterpasswort mit dem Nutzerpassword gekoppelt. Ich verstehe da so, dass ich mich also nur als Nutzer anmelden muss und der Schüsselbund ist offen.

Nun hatte ich keyring vor einiger Zeit entfernt, weil der Dialog nervte und ich KeePassXC nutze, als Passwortsave. HAb es jetzt wieder installiert und werde nach einen Master-Passwort gefragt; also ich soll es festlegen.

Wie kann ich das nun an den Debian-User binden?

Nebenbei: Beim Hochfahren wird kein User-Passwort abgefragt. Ich lande direkt auf dem XFCE Desktop. Das soll auch so sein. "Kritische" Dinge (per sudo), wie z.B. das Starten von synaptics, werden mit Passwort bestätigt.
Zuletzt geändert von buhtz am 24.01.2021 21:08:26, insgesamt 1-mal geändert.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: gnome-keyring: Masterpassword and Nutzeranmeldung koppeln

Beitrag von buhtz » 24.01.2021 21:08:15

Ubuntu-Wiki ist ein bisschen gaga. ;) Jetzt kapier ich auch, was die mit DebianSeahorse meinen.

https://wiki.ubuntuusers.de/GNOME_Schl% ... rt-aendern

Es funktioniert einfach, in dem man das Master-Passwort auf leer setzt. Fertig. Sicherheitstechnisch vermutlich ein super-gau - hängt davon ab, welche Anwendungen man da nutzt.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

Benutzeravatar
smutbert
Moderator
Beiträge: 8315
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: gnome-keyring: Masterpassword and Nutzeranmeldung koppeln

Beitrag von smutbert » 24.01.2021 21:18:39

Genau diese Vermutung hätte ich jetzt auch gepostet – das heißt ich mache es einfach trotzdem:

Also erst einmal ist dafür Debianlibpam-gnome-keyring zuständig und soweit ich weiß müssen dazu das Passwort vom login-keyring des Gnome-Schlüsselbundes und das Benutzerpasswort übereinstimmen und dann ist das ganze natürlich eine Gnome-Geschichte und zumindest in der Vergangenheit hat gdm dabei mitgewirkt und das ganze wurde durch einen automatischen Login ohne Passworteingabe des Benutzers lahmgelegt [1].

Selbst ohne autologin wird es mit anderen Displaymanagern als gdm wahrscheinlich nicht so ohne weiteres funktionieren. Im arch-Wiki [2] ist beispielsweise die Rede davon, dass das automatische Entsperren des login-keyrings nur funktioniert, wenn der nicht durch ein Passwort bzw. nur durch ein leeres Passwort geschützt ist – allerdings findet man da widersprüchliche Informationen.

Ich würde einfach versuchen für Benutzer und login-keyring dasselbe Passwort zu setzen und den autologin zu deaktivieren.
Um sicher zu sein, dass der Login-keyring richtig eingerichtet ist, kann man ihn auch einfach löschen (vorausgesetzt es sind keine wichtigen Passwörter drin, die man nicht auch anderswo gespeichert hat oder auswendig kennt), laut [3] wird er dann bei der nächsten Anmeldung automatisch mit dem Benutzerpasswort angelegt (das könnte man gleichzeitig als Test missbrauchen: wird kein login-keyring angelegt, wird das automatische Entsperren nicht funktionieren, auch wenn der login-keyring existiert).


[1] https://nullroute.eu.org/~grawity/gnome ... login.html
[2] https://wiki.archlinux.org/index.php/Li ... _autologin
[3] https://wiki.gnome.org/Projects/GnomeKeyring/Pam

Antworten