Главная » Linux

Astra linux разблокирование связки ключей

На чтение 10 мин Просмотров 2 Опубликовано
Содержание
  1. Управление паролями и ключами
  2. Графический менеджер паролей и ключей Seahorse
  3. Установка пакета
  4. Запуск приложения
  5. Основные приемы работы с пакетом
  6. Отключение запроса пароля к основной связке ключей
  7. PAM-модуль pam-gnome-keyring
  8. Установка пакета
  9. Работа пакета
  10. Настройка авторизации
  11. Инструмент командной строки gpg (gpg2)
  12. Управление ключами SSH
  13. Управление ключами SSH c помощью конфигурационного файла
  14. Управление ключами SSH c помощью gnome-keyring
  15. Разблокировка связки ключей
  16. 1 вариант
  17. 2 вариант
  18. Запуск с диска в режиме восстановления с правами root
  19. Сброс пароля связки ключей
  20. Ошибка отображения содержимого рабочего стола
  21. Остановка обновления пакетов (hold)
  22. Kernel panic при загрузке системы после обновления
  23. Unknown filesystem при загрузке ОС
  24. Аварийная загрузка ОС с правами root
  25. Увеличение размера раздела подкачки (SWAP)
  26. Автоматический запуск программ при загрузке системы
  27. Настройка Astra Linux на старых компьютерах
  28. Серверная часть
  29. Клиентская часть
  30. Специальное ПО

Управление паролями и ключами

Seahorse — входящее в состав репозитория Astra Linux Common Edition графическое приложение для управления PGP и SSH ключами.
Приложение поддерживает интеграцию с Nautilus, gedit и почтовым клиентом Evolution для защитного преобразования данных.
Также имеется поддержка работы с серверам ключей HKP и LDAP.

Программа основана на GnuPG и распространяется как свободное программное обеспечение под лицензией GNU GPL.

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12

Графический менеджер паролей и ключей Seahorse

Установка пакета

Пакет seahorse включен в репозиторий Astra Linux Common Edition и может быть установлен с помощью графического менеджера пакетов (см. Графический менеджер пакетов synaptic) или из командной строки командой:

При написании статьи использовалась версия пакета 3.20.0

Запуск приложения

После установки пакет доступен для запуска из командной строки:

Основные приемы работы с пакетом

Главное окно программы отображает хранимую информацию, распределенную по четырем категориям:

  • пароли;
  • сертификаты;
  • безопасная оболочка;
  • ключи PGP;
  • секретный ключ.

Выбор категорий и их содержимого можно осуществлять с помощью мышки в графическом интерфейсе.

Отключение запроса пароля к основной связке ключей

При запуске приложений после входа пользователя для того чтобы эти приложения (например, электронная почта, или система мгновенных сообщений) смогли получить доступ к нужным им паролям, от пользователя требуется ввести мастер пароль. Это не всегда удобно, и имеется возможность этот запрос пароля отключить.

Следует помнить, что отключение пароля снижает общую защищенность системы. Более безопасным вариантом исключения повторного ввода пароля является использование PAM-модуля pam-gnome-keyring.

Для отключения запрос пароля:

  • Правой кнопкой мыши выбрать связку ключей «Вход» в категории «Пароли» (в зависимости от используемой версии ОС или системного языка связка может называться «Основная» или «Login»);
  • В появившемся окне ввести пароль от этой связки ключей;
  • В появившемся окне для ввода нового пароля оставить поля ввода пустыми, и нажать кнопку «Продолжить»;
  • Программа выдаст предупреждение о возможных последствиях. Еще раз нажать кнопку «Продолжить».
Читайте также:  Linux просмотр папок команда

При необходимости возврат пароля для доступа к связке ключей осуществляется аналогичными действиями.

PAM-модуль pam-gnome-keyring

Модуль pam-gnome-keyring (пакет libpam-gnome-keyring) позволяет автоматически разблокировать связку ключей «Вход» паролем, который пользователь вводит при входе в систему, что исключает необходимость повторного ввода пароля при запуске приложений. Пароли от других связок ключей могут храниться в связке «Вход», тогда и другие связки разблокируются автоматически.

Для того, чтобы связка ключей могла быть разблокирована, пароль связки ключей должен совпадать с паролем входа пользователя.

Следует помнить, что при использовании совпадающих паролей компрометация пароля входа пользователя ведёт к компрометации всех остальных паролей.

Установка пакета

Пакет libpam-gnome-keyring включен в репозиторий Astra Linux Common Edition, и может быть установлен с помощью графического менеджера пакетов или из командной строки командой:

Работа пакета

Работа пакета подробно описана в документации разработчика.

  • При аутентификации пользователя или при входе в сессию, модуль проверяет наличие переменной окружения GNOME_KEYRING_CONTROL.
    Если переменная отсутствует, предполагается, что gnome-keyring-daemon не запущен для этой сессии.
    • Если указана опция auto_start модель запускает gnome-keyring-daemon.
    • Если указана опция only_if то опция auto_start отрабатывается только в том случае, если процесс есть в списке.
      Например, auto_start only_if=fly_dm запустит gnome-keyring-daemon только для fly_dm.
    • Если связка ключей ‘Вход’ не существует, она будет создана с паролем пользователя.
    • Если связка ‘Вход’ является перовой и единственной связкой ключей, то она становится используемой по умолчанию.
    • При необходимости, на этом этапе также запускается gnome-keyring-daemon .
    • Если суперпользователь меняет пароль, или /etc/shadow редактируется напрямую, в силу отсутствия старого пароля связка Вход’ не будет обновлена.
    • При согласии пользователя пароль связки будет добавлен в связку ‘Вход’
    • Перед тем, как запросить согласие пользователя на автоматическую разблокировку, модуль проверяет, нет ли уже пароля от этой связки в связке ‘Вход’.

    Настройка авторизации

    В зависимости от задач возможно разное применение модуля. Для вызова модуля при прохождении PAM-стека используются следующие основные варианты:

    Эти вызовы должны быть добавлено вручную.Вызовы модуля следует добавить в секцию «The additional».

    Опции модуля pam_gnome_keyring:

    Опция \ Этап сессии auth session password
    auto_start Запустить демон gnome-keyring, если он еще не запущен. На этапе password демон запускается всегда, а если опция auto_start не указана — демон будет остановлен после смены пароля.
    only_if=список_сервисов Если PAM-сессия запущена сервисом, не находящимся в списке, PAM-модуль не будет выполнять никаких действий (запуск демона, разблокировка, смена пароля). Пример: only_if=fly_dm
    use_autktok Игнорируется Использовать ранее заданный пароль и не запрашивать новый, даже если пароль не задан.

    Инструмент командной строки gpg (gpg2)

    Для управления ключами пользователя в состав дистрибутивов Astra Linux включен пакет gnupg.
    Пакет устанавливается автоматически при установке системы.

    Возможно, когда вы будете читать эту статью, в составе дистрибутивов будет уже пакет gnupg2, являющийся более новой версией gnupg.

    Основные инструменты пакета gnupg:

      gpg — основной инструмент для работы с ключами. Подробная справка по работе с файлами доступна по ссылке или по команде man gpg. Примеры команд:

        Получение ключей с сервера ключей по отпечатку ключа:

      $ gpg —list-keys
      /home/user/.gnupg/pubring.kbx
      —————————
      pub rsa2048 2011-03-10 [SC]
      972FD88FA0BAFB578D0476DFE1F958385BFE2B6E
      uid [ неизвестно ] X2go Debian/Ubuntu Packaging
      sub rsa2048 2011-03-10 [E]

      pub rsa4096 2012-05-08 [SC] [ годен до: 2019-05-07]
      ED6D65271AACF0FF15D123036FB2A1C265FFB764
      uid [ неизвестно ] Wheezy Stable Release Key

      $ gpg —delete-keys debian-release@lists.debian.org
      gpg (GnuPG) 2.2.12; Copyright (C) 2018 Free Software Foundation, Inc.
      This is free software: you are free to change and redistribute it.
      There is NO WARRANTY, to the extent permitted by law.

      pub rsa4096/6FB2A1C265FFB764 2012-05-08 Wheezy Stable Release Key

      Удалить данный ключ из таблицы? (y/N) y

      Управление ключами SSH

      Управление ключами SSH c помощью конфигурационного файла

      Для SSH-подключения к другим компьютерам по умолчанию используются приватные ключи, расположенные в файлах ~/.ssh/id_rsa и ~/.ssh/id_dsa. Дополнительные файлы с ключами могут быть указаны в конфигурационном файле ~/.ssh/config параметром IdentityFile. При этом может быть указано несколько ключей, которые будут применяться при подключении в порядке их указания. Например:

      Host * IgnoreUnknown UseKeychain UseKeychain yes AddKeysToAgent yes IdentityFile ~/.ssh/github IdentityFile ~/.ssh/gitlab

      Подробную информацию про конфигурационный файл см. man ssh_config.

      Управление ключами SSH c помощью gnome-keyring

      Для передачи управления ключами службе gnome-keyring:

      1. Включить автоматический запуск необходимых служб, для чего в менеджере автозапуска («Панель управления» -> «Автозапуск» -> «Общесистемный автозапуск») отметить три службы gnome-keyring:
        1. Агент ключей SSH;
        2. Служба безопасного хранения;
        3. Хранилище сертификатов и ключей;

        Чтобы значение переменной устанавливалось автоматически можно указать в файле ~/.bashrc новое значение:

        SSH_AUTH_SOCK=$XDG_RUNTIME_DIR/keyring/ssh

        Источник

        Разблокировка связки ключей

        Связка ключей — это зашифрованный контейнер, в котором безопасно хранятся пароли, логины и другие данные для подключения, например, к внешним сетевым ресурсам.

        Это хранилище по умолчанию зашифровано и открывается с помощью пароля пользователя при входе в систему.

        У каждого пользователя (как локального, так и доменного) на компьютере есть связка ключей входа.

        Например, в файловом менеджере «Nemo» был настроен доступ к сетевому ресурсу с параметрами доступа: логин и пароль пользователя (если доменная учетная запись, то указывается и домен) с параметром «Запомнить навсегда».

        Если вы измените пароль пользователя, появится окно «Разблокирование связки ключей для входа в систему».

        Но если Вы не желаете вводить каждый раз пароль пользователя для подключения к каким-то ресурсам, то можно сделать пароль в «Связке ключей» пустым и тогда данный запрос больше не будет вас беспокоить.

        Есть 2 варианта, как сделать пароль в «Связке ключей».

        1 вариант

        1. Откройте «Меню» — «Стандартные» — «Пароли и ключи».

        2. Щелкните правой клавишей мыши на «Вход» и выберите «Изменить пароль».

        3. Введите старый пароль (пароль пользователя).

        4. При вводе нового пароля, оставьте поля пустыми, таким образом он будет не назначен.

        5. На данный запрос отвечаем «Продолжить».

        После проделанных действий запрос на ввод пароля для разблокировки связки ключей не должен появиться.

        2 вариант

        Необходимо удалить содержимое каталога через файловый менеджер /home/user/.local/share/keyrings/.

        Далее выполните перезагрузку компьютера, появится окно, в котором необходимо установить новый пароль.

        Дата последнего изменения: 07.10.2022

        Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

        Источник

        Сеть предприятия

        Настройки ОС

        Настройка и оптимизация отечественной операционной системы Astra Linux. Импортозамещение ПО.

        Запуск с диска в режиме восстановления с правами root

        Грузимся с загрузочного диска или флешки в режиме восстановления. Как создать загрузочный диск или флешку можно прочитать тут.

        Сброс пароля связки ключей

        Если вам надоела постоянно вылезающее окно «Разблокирование связки ключей»,

        Ошибка отображения содержимого рабочего стола

        Если вдруг рабочий стол начал отображает содержимое другой папки,

        Остановка обновления пакетов (hold)

        Иногда необходимо запретить обновление какого-нибудь пакета из нестабильного репозитория или какой ни будь библиотеки.

        Первое — это грубое, а именно отключение репозитория.

        Второе — это элегантное, а именно заморозить обновление или зафиксировать версию отдельного пакета.

        Kernel panic при загрузке системы после обновления

        Если вы увидели вот это при загрузке после обновления

        Unknown filesystem при загрузке ОС

        Если Вам не повезло, то у Вас есть шанс увидеть это сообщение вместо меню загрузки.

        Аварийная загрузка ОС с правами root

        ВНИМАНИЕ. Любые Ваши действия в данном режиме будут иметь последствия. Если вы что то сделаете не так, то придётся переустанавливать систему!

        Чтобы загрузить ОС с правами root, при загрузке выбираем «*-generiv (recovery mode)» и нажимаем английскую букву E .

        Увеличение размера раздела подкачки (SWAP)

        В случае когда разметка диска при установке была выполнена автоматически, объём размера раздела подкачки (SWAP) устанавливается равным объёму оперативной памяти. Но для улучшения работы АРМ с малым объёмом оперативной памяти, можно увеличить SWAP. Ниже представлено примерное правило для выбора объёма SWAP.

        • до 2 ГБ — SWAP = 2 объёма оперативной памяти;
        • более 2 ГБ до 4 ГБ — SWAP = 1.5 объёма оперативной памяти;
        • более 4 ГБ до 6 ГБ — SWAP = объём оперативной памяти;
        • более 6 ГБ до 8 ГБ — SWAP = 0,5 объёма оперативной памяти;
        • более 8 ГБ — SWAP = 0.25 объёма оперативной памяти и менее при увеличении объёма оперативной памяти.

        Автоматический запуск программ при загрузке системы

        Чтобы программа автоматически запускалась при старте системы, необходимо сделать следующие:

        1. Зайти в «Панель управления».

        Настройка Astra Linux на старых компьютерах

        Для увеличения быстродействия старых компьютеров, можно отключить некоторые функции Astra Linux.

        Серверная часть

        Клиентская часть

        Специальное ПО

        Источник

Оцените статью
© 2023 Posetke
Adblock
detector