posso configurar o pam_mount para solicitar a senha no login e não ao desbloquear a tela ou fazer sudo?
Estou usando o pam_fingerprint-gui.so para fazer o login. Comecei agora a usar o pam_mount para montar e desmontar um volume no login / logout. Eu entendo que é inseguro ter o volume montado apenas por impressão digital.
De qualquer forma, acho que o pam_mount não desmonta o volume quando eu bloqueio a tela ou realmente não tem efeito quando estou fazendo sudo. O pam_mount torna o pam_fingerprint-gui quase inútil, apesar de eu poder simplesmente apertar enter e ignorar a senha perdida. (pam_mount é configurado opcional).
Sim, você pode configurar o PAM para pular o pam_mount se já tiver feito o login. Como verificar isso (com pam_succeed_if ) depende um pouco da configuração do seu sistema. Ao usar o systemd, você pode verificar com:
session [success=1 default=ignore] pam_succeed_if.so service = systemd-user quiet
session optional pam_mount.so
Veja link
Tags password mount pam fingerprint