「Pam autologin」の版間の差分
(ページの作成:「{{DISPLAYTITLE:pam_autologin}} Category:認証 en:Pam autologin [https://github.com/msharov/pam_autologin pam_autologin] は自動的にユーザにログイン…」) |
(同期) |
||
| (2人の利用者による、間の2版が非表示) | |||
| 2行目: | 2行目: | ||
[[Category:認証]] |
[[Category:認証]] |
||
[[en:Pam autologin]] |
[[en:Pam autologin]] |
||
| − | [https:// |
+ | [https://sourceforge.net/projects/pam-autologin/ pam_autologin] は自動的にユーザにログインします。他の自動ログインメソッドと異なり、このモジュールはパスワードを保存し、そのパスワードを通常の認証プロセスで使用します。パスワードは、暗号化されたホームディレクトリをマウントするために [[pam_mount]] で使用したり、ログインキーリングをアンロックするために [[GNOME/Keyring]] で使用したりすることができます。 |
== インストール == |
== インストール == |
||
| 47行目: | 47行目: | ||
== セキュリティ == |
== セキュリティ == |
||
| − | {{Accuracy|The section addresses the topic rather single-sided, expanding on the same [https://sourceforge.net/p/pam-autologin/code/ci/master/tree points] as the module repo, when it should refer to it and address Arch relevant points instead. Links to [[wikipedia:Access control#Computer security]],[[ |
+ | {{Accuracy|The section addresses the topic rather single-sided, expanding on the same [https://sourceforge.net/p/pam-autologin/code/ci/master/tree points] as the module repo, when it should refer to it and address Arch relevant points instead. Links to [[wikipedia:Access control#Computer security]],[[セキュリティ]], [[保存データ暗号化]], alternatives like [[w:Security token]], [[スマートカード]] may be useful.}} |
| + | 自動ログインはしばしば、そして不相応に安全でないと言われます。なので、この主題に関するいくつかの正当な考察が考えられます。自動ログインが安全でないかどうかを判断するには、「何から安全であるか」を問う必要があります。大半のユーザにとって心配すべき脅威は2種類だけ、マルウェアと盗難です。 |
||
| − | Autologin is frequently and undeservedly derided as insecure, so a few observations on the subject seem warranted. To decide whether it is insecure for you, you must ask "secure from what?" For the vast majority of users there are only two kind of threats to be concerned about: malware and theft. |
||
| + | マルウェアや様々な遠隔ハッキングの脅威は、ユーザ権限で実行されているプログラム(例えば、ウェブブラウザ)のバグにより生じます。しかし、このモジュールによって保存されたログイン情報は root からしか読み込めませんので、マルウェアは特権昇格の脆弱性を必要とします。root 権限で実行されているマルウェアはいずれにせよ、キーロガーでログインを盗聴することでパスワードを取得できます。なので、このような状況では、自動ログインがセキュリティを劣化させることは無いでしょう。 |
||
| − | Malware and various remote hacking threats come in through bugs in programs running under user privileges, usually the web browser. The login information saved by this module is only readable by root, so malware would first require a privilege escalation vulnerability. Malware running under root privileges can already get your password by recording your login with a keylogger, so autologin will not decrease your security in this situation. |
||
| + | 盗難はもう一つの一般的な脅威であり、確かに自動ログインによって犯人がコンピュータの全てにアクセスできてしまいます。しかし、あなたにとって盗難の懸念の大きさはどれほどのものでしょうか。あなたが自宅でデスクトップコンピュータを使用しているのであれば、盗まれる危険性は微々たるものでしょう。ニュースではよく耳にしますが、大都市以外では盗難はあまりありません。自宅で仕事をするのであれば特に安全です。泥棒は人と接することを嫌うからです。デスクトップで自動ログインを有効化すれば、有効化しない場合と同じくらい安全です。パスワードを入力しなくて済むという利便性のほうが懸念よりも大きくなるかもしれません。 |
||
| − | Theft is the other common threat, and the one where autologin does indeed allow the thief full access to everything. But just how big a concern is theft for you? If you are using a desktop at home, the chances of it being stolen are negligible in most places. Contrary to what you constantly hear on the news, burglaries are uncommon outside the big cities. You are especially safe if you work at home; burglars dislike dealing with people. Enable autologin on the desktop and you are pretty much as secure as you were without it, and the convenience of not typing your password may well outweigh any remaining concerns. |
||
| + | 一方、ラップトップは盗まれる可能性がより高いです。公共の場でラップトップを放置して、帰ってきたときに無くなっていたとしても不思議ではありません。なので通常、ラップトップで自動ログインを使うのはあまりいいアイデアではありません。しかし、ラップトップは常に公共の場で使用されるというわけではありません。自宅でのみラップトップを使う場合、盗まれる危険性はデスクトップと同じくらいで、自動ログインを使うことは安全でしょう。ラップトップを家の外で使うが頻繁ではない場合、家を出るときに自動ログインを無効化すればいいでしょう。こうすれば、安全な場所にいる時は利便性を維持し、すべてを暗号化しておくことができます。 |
||
| − | Laptops, on the other hand, are much more likely to be stolen. Anytime you leave it unattended in public you should not be surprized to find it gone when you return. Using autologin on a laptop would usually not be a good idea, but a laptop is not always used in public. If you only use your laptop at home, it is no more vulnerable to theft than a desktop would be, and using autologin on it would be just as safe. If you use your laptop outside the home, but infrequently, then you could just disable autologin before leaving the house. This way you can still keep everything encrypted, while still having the convenience of autologin when in a safe location. |
||
| + | このように、公共の場で持ち運ぶラップトップ以外は、pam_autologin を使うことは安全で、そこまで心配することではないことがわかります。 |
||
| − | As you can see, other than on laptops carried in public, using pam_autologin is quite safe and you should not be afraid to do so. |
||
== 参照 == |
== 参照 == |
||
* [https://sourceforge.net/projects/pam-autologin/ SourceForge プロジェクトページ] |
* [https://sourceforge.net/projects/pam-autologin/ SourceForge プロジェクトページ] |
||
| + | |||
| + | {{TranslationStatus|Pam_autologin|2022-08-10|740817}} |
||
2022年8月10日 (水) 14:22時点における最新版
pam_autologin は自動的にユーザにログインします。他の自動ログインメソッドと異なり、このモジュールはパスワードを保存し、そのパスワードを通常の認証プロセスで使用します。パスワードは、暗号化されたホームディレクトリをマウントするために pam_mount で使用したり、ログインキーリングをアンロックするために GNOME/Keyring で使用したりすることができます。
インストール
pam_autologinAUR パッケージをインストールしてください。
このモジュールを特定のアプリケーションに対して有効化するには、/etc/pam.d/ 内の設定ファイルを編集してください。例えば:
/etc/pam.d/login
#%PAM-1.0 auth required pam_autologin.so auth include system-local-login account include system-local-login session include system-local-login
ユーザ名とパスワードをセットできるようにするために、この自動ログインの行は auth セクションの先頭モジュールである必要があります。他のモジュールが前の行にありユーザ名を必要とする場合、パスワードを要求するプロンプトが表示されます。
ログアウトする時は他のアカウントにログイン場合がほとんどでしょうから、自動ログインは各 TTY で1回だけ行われます。このモジュールは /var、/log、/wtmp のパスを探索し、最後の起動以降の TTY でのログインを調べます。毎回自動ログインするには、always オプションを指定できます:
auth required pam_autologin.so always
ログインプロセスが PAM ベースのアプリケーション(例えばディスプレイマネージャ)や、loginxAUR のような getty/ログインの組み合わせにより実行される場合、設定は必要ありません。しかし、プレーンな agetty は PAM アプリケーションではありませんので、常にユーザ名を要求するプロンプトを表示します。これに対して自動ログインを有効化するには、すぐにログインを開始するようにするために getty に --skip-login オプションを渡す必要があります。以下のように、systemd の getty@.service に対するドロップインファイルを追加してください:
/etc/systemd/system/getty@.service.d/override.conf
ExecStart= ExecStart=-/sbin/agetty --skip-login - $TERM
設定
設定ファイルを作成して、自動ログインモジュールが次回のログインを保存するようにしてください:
# touch /etc/security/autologin.conf
再起動してください。次回のログインが保存されるという旨のメッセージが表示されるはずです。通常通りログインしてください。そして、再び再起動してください。自動でログインするはずです。
自動ログインを停止したい場合、設定ファイルを削除してください:
# shred -u /etc/security/autologin.conf
ファイルのリンクを解除する前に、shred ユーティリティを使ってファイルをゼロアウトしてください。このファイルにはユーザ名とパスワードが含まれており、ファイルを単に削除しただけではデータがストレージの未割り当て領域に取り残される可能性があります。ハッカーはそのデータを発見できる可能性があります。このファイルはランダムな鍵によって難読化されてはいますが、自動ログインモジュールがそのファイルを読み出せるようにするために鍵はそのファイル自体に保存されなければならないため、難読化されてはいますが、保護されているわけではありません。
セキュリティ
自動ログインはしばしば、そして不相応に安全でないと言われます。なので、この主題に関するいくつかの正当な考察が考えられます。自動ログインが安全でないかどうかを判断するには、「何から安全であるか」を問う必要があります。大半のユーザにとって心配すべき脅威は2種類だけ、マルウェアと盗難です。
マルウェアや様々な遠隔ハッキングの脅威は、ユーザ権限で実行されているプログラム(例えば、ウェブブラウザ)のバグにより生じます。しかし、このモジュールによって保存されたログイン情報は root からしか読み込めませんので、マルウェアは特権昇格の脆弱性を必要とします。root 権限で実行されているマルウェアはいずれにせよ、キーロガーでログインを盗聴することでパスワードを取得できます。なので、このような状況では、自動ログインがセキュリティを劣化させることは無いでしょう。
盗難はもう一つの一般的な脅威であり、確かに自動ログインによって犯人がコンピュータの全てにアクセスできてしまいます。しかし、あなたにとって盗難の懸念の大きさはどれほどのものでしょうか。あなたが自宅でデスクトップコンピュータを使用しているのであれば、盗まれる危険性は微々たるものでしょう。ニュースではよく耳にしますが、大都市以外では盗難はあまりありません。自宅で仕事をするのであれば特に安全です。泥棒は人と接することを嫌うからです。デスクトップで自動ログインを有効化すれば、有効化しない場合と同じくらい安全です。パスワードを入力しなくて済むという利便性のほうが懸念よりも大きくなるかもしれません。
一方、ラップトップは盗まれる可能性がより高いです。公共の場でラップトップを放置して、帰ってきたときに無くなっていたとしても不思議ではありません。なので通常、ラップトップで自動ログインを使うのはあまりいいアイデアではありません。しかし、ラップトップは常に公共の場で使用されるというわけではありません。自宅でのみラップトップを使う場合、盗まれる危険性はデスクトップと同じくらいで、自動ログインを使うことは安全でしょう。ラップトップを家の外で使うが頻繁ではない場合、家を出るときに自動ログインを無効化すればいいでしょう。こうすれば、安全な場所にいる時は利便性を維持し、すべてを暗号化しておくことができます。
このように、公共の場で持ち運ぶラップトップ以外は、pam_autologin を使うことは安全で、そこまで心配することではないことがわかります。