melhores práticas de chaveiro com o systemd

Navegue suas respostas
4

Existem muitas ferramentas que funcionam com keyrings: ssh-agent, gpg-agent, gnome-keyring, kwallet, wrappers como keychain, keyctl conversando com o kernel GNU / Linux. Existem várias recomendações sobre como / quando iniciá-lo sob medida para diferentes ambientes.

Isso torna bastante confuso. Estou usando uma distribuição moderna do GNU / Linux com o systemd e inicio minha sessão de usuário com o systemd --user também. Eu espero que essa configuração durar décadas, então eu me pergunto qual é a melhor maneira de obter o keyring na foto?

O principal caso de uso é armazenar senhas do chromium / firefox em um local consolidado.

Devo iniciar o keychain do meu script de início automático do shell do usuário (eu uso fish para interativo e traço como shells de login se isso for importante)? Agora "gnome-keyring-daemon --daemonize --login" é gerado via PAM. Devo começar "gnome-keyring --start" da unidade do usuário systemd? Existe algum serviço dbus que iniciaria algum daemon de chaveiro no primeiro pedido?

A lista de perguntas continua, mas você tem a ideia - qual é o caminho certo para obter o keyring-as-a-service?

    
por god 01.06.2015 / 12:46

1 resposta

0

Na minha máquina (debian unstable), o ssh-agent e o gpg-agent têm seus próprios arquivos de serviço / socket do usuário systemd. Isso significa que eles devem ser iniciados quando o usuário fizer login ou ser ativado na primeira vez que um aplicativo estiver tentando acessá-los.

Em relação ao gnome-keyring, não há (ATM?) nenhum arquivo systemd e o gnome-keyring é iniciado tanto pelo PAM (como você mencionou) quanto pelo arquivo .desktop localizado em /etc/xdg/autostart/ . Os serviços localizados lá devem ser iniciados pelo seu gerenciador de sessão (gnome-session, ...).

Eu vejo no debian um pacote chamado obsession que contém /usr/bin/xdg-autostart . Eu pessoalmente nunca usei essa ferramenta, mas isso pode ajudá-lo a iniciar manualmente os componentes necessários se você não estiver usando um gerenciador de sessão que suporte a especificação XDG

    
por 06.12.2017 / 11:57

Tags

É possível limitar a largura de banda de upload por 'IP' usando 'tc', 'htb' e 'iptables'? (Limite de download não é obrigatório) Ligação do OpenBox Mouse para arrastar a janela para a borda da tela