| Оглавление |
|---|
Seahorse — входящее в состав репозитория Astra Linux Common Edition графическое приложение для управления PGP и SSH ключами.
Приложение поддерживает интеграцию с Nautilus, gedit и почтовым клиентом Evolution для защитного преобразования данных.
Также имеется поддержка работы с серверам ключей HKP и LDAP.
Программа основана на GnuPG и распространяется как свободное программное обеспечение под лицензией GNU GPL.
| Информация | ||
|---|---|---|
| ||
|
Графический менеджер паролей и ключей Seahorse
Установка пакета
Пакет seahorse включен в репозиторий Astra Linux Common Edition и может быть установлен с помощью графического менеджера пакетов (см. Графический менеджер пакетов synaptic) или из командной строки командой:
| Command |
|---|
| apt install seahorse |
При написании статьи использовалась версия пакета 3.20.0
Запуск приложения
После установки пакет доступен для запуска из командной строки:
| Command |
|---|
| seahorse |
Основные приемы работы с пакетом
Главное окно программы устроено довольно просто:
хранимая информация распределена по четырём категориям:
- Пароли
- Сертификаты
- Безопасная оболочка
- Ключи PGP
- Секретный ключ
Выбор категорий и их содержимого можно осуществлять с помощью мышки, графический интерфейс прост и не требует особого описания.
Отключение запроса пароля к основной связке ключей
При запуске приложений после входа пользователя для того чтобы эти приложения (например, электронная почта, или система мгновенных сообщений) смогли получить доступ к нужным им паролям, от пользователя требуется ввести мастер пароль. Это не всегда удобно, и имеется возможность этот запрос пароля отключить.
| Предупреждение |
|---|
Следует помнить, что отключение пароля снижает общую защищенность системы. |
Для отключения запрос пароля:
- Правой кнопкой мыши выбрать связку ключей "Вход" в категории "Пароли" (в зависимости от используемой версии ОС или системной локали связка может называться "Основная" или "Login");
- В появившемся окне ввести пароль от этой связки ключей;
- В появившемся окне для ввода нового пароля оставить поля ввода пустыми, и нажать кнопку "Продолжить";
- Программа выдаст предупреждение о возможных последствиях. Еще раз нажать кнопку "Продолжить".
При необходимости возврат пароля для доступа к связке ключей осуществляется аналогичными действиями.
PAM-модуль pam-gnome-keyring
Модуль pam-gnome-keyring (пакет libpam-gnome-keyring) позволяет автоматически разблокировать связку ключей "Вход" паролем, который пользователь вводит при входе в систему, что исключает необходимость повторного ввода пароля при запуске приложений. Пароли от других связок ключей могут храниться в связке "Вход", тогда и другие связки разблокируются автоматически.
| Примечание |
|---|
| Для того, чтобы связка ключей могла быть разблокирована, пароль связки ключей должен совпадать с паролем входа пользователя. |
| Предупреждение |
|---|
| Следует помнить, что при использовании совпадающих паролей компрометация пароля входа пользователя ведёт к компрометации всех остальных паролей. |
Установка пакета
Пакет libpam-gnome-keyring включен в репозиторий Astra Linux Common Edition, и может быть установлен с помощью графического менеджера пакетов или из командной строки командой:
| Command |
|---|
| apt install libpam-gnome-keyring |
Работа пакета
Работа пакета подробно описана в документации разработчика.
Общий порядок работы:
При аутентификации пользователя или при входе в сессию, модуль проверяет наличие переменной окружения GNOME_KEYRING_CONTROL.
Если переменная отсутствует, предполагается, что gnome-keyring-daemon не запущен для этой сессии.Если указана опция auto_start модель запускает gnome-keyring-daemon.
IЕсли Если указана опция only_if то опция auto_start отрабатывается только в том случае, если процесс есть в списке.
Например, auto_start only_if=fly_dm запустит gnome-keyring-daemon только для fly_dm.
- При аутентификации пользователя модуль пытается разблокировать связку ключей 'Вход' паролем, который ввёл пользователь.
- Если связка ключей 'Вход' не существует, она будет создана с паролем пользователя.
- Если связка 'Вход' является перовой и единственной связкой ключей, то она становится используемой по умолчанию.
При завершении этапа если gnome-keyring-daemon был запущен модулем, то демон будет остановлен.
- Когда пользователь меняет пароль, модуль также меняет пароль связки 'Вход'.
При необходимости, на этом этапе также запускается gnome-keyring-daemon .
- Если суперпользователь меняет пароль, или /etc/shadow редактируется напрямую, в силу отсутствия старого пароля связка Вход' не будет обновлена.
- Если связка существует 'Вход' и разблокирована, то при каждом последующем приглашении пользователю разблокировать иную связку ключей будет предоставляться возможность включить автоматическую разблокировку при следующем входе ("Automatically unlock this on login")
- При согласии пользователя пароль связки будет добавлен в связку 'Вход'
- Перед тем, как запросить согласие пользователя на автоматическую разблокировку, модуль проверяет, нет ли уже пароля от этой связки в связке 'Вход'.
Настройка авторизации
В зависимости от задач возможно разное применение модуля. Для вызова модуля при прохождении PAM-стека используются следующие основные варианты:
| Вариант вызова модуля | Типовое размещение | Назначение | Комментарий |
|---|---|---|---|
| password optional pam_gnome_keyring.so | /etc/pam.d/common-password | Обновление пароля связки ключей при смене пароля | Устанавливается автоматически при установке пакета |
| auth optional pam_gnome_keyring.so | /etc/pam.d/common-auth | Получение ранее введенного текущего пароля пользователя и сохранение его для последующего использования. | Эти вызовы должны быть добавлено вручную.Вызовы модуля следует добавить в секцию "The additional". |
| session optional pam_gnome_keyring.so auto_start | /etc/pam.d/common-session | Запуск службы ключей Gnome Keyring. Разблокировка связки ключей с использованием ранее сохраненного пароля пользователя. |
Опции модуля pam_gnome_keyring:
| Опция \ Этап сессии | auth | session | password |
|---|---|---|---|
| auto_start | Запустить демон gnome-keyring, если он еще не запущен. | На этапе password демон запускается всегда, а если опция auto_start не указана - демон будет остановлен после смены пароля. | |
| only_if=список_сервисов | Если PAM-сессия запущена сервисом, не находящимся в списке, PAM-модуль не будет выполнять никаких действий (запуск демона, разблокировка, смена пароля). Пример: only_if=fly_dm | ||
| use_autktok | Игнорируется | Использовать ранее заданный пароль и не запрашивать новый, даже если пароль не задан. | |