Home
Packages
Forums
Wiki
GitLab
Security
AUR
Download
コンテンツにスキップ
メインメニュー
メインメニュー
サイドバーに移動
非表示
案内
メインページ
目次
コミュニティに貢献
最近の出来事
おまかせ表示
特別ページ
交流
ヘルプ
貢献
最近の更新
最近の議論
新しいページ
統計
リクエスト
ArchWiki
検索
検索
表示
アカウント作成
ログイン
個人用ツール
アカウント作成
ログイン
Pam mountのソースを表示
ページ
議論
日本語
閲覧
ソースを閲覧
履歴を表示
ツール
ツール
サイドバーに移動
非表示
操作
閲覧
ソースを閲覧
履歴を表示
全般
リンク元
関連ページの更新状況
ページ情報
表示
サイドバーに移動
非表示
←
Pam mount
あなたには「このページの編集」を行う権限がありません。理由は以下の通りです:
この操作は、次のグループに属する利用者のみが実行できます:
登録利用者
。
このページのソースの閲覧やコピーができます。
{{DISPLAYTITLE:pam_mount}} [[Category:認証]] [[en:Pam mount]] {{Related articles start}} {{Related|dm-crypt/ログイン時にマウント}} {{Related|PAM}} {{Related articles end}} [http://pam-mount.sourceforge.net/ pam_mount] を使うことで ([[dm-crypt|LUKS]] や [[eCryptfs]] などで) 暗号化したホームパーティションをログイン時に自動的にマウントすることができます。ログインマネージャを使ったりコンソールでログインしたときに /home をマウントします (マウントポイントは自由に指定できます)。ドライブを暗号化するパスフレーズは Linux ユーザーのパスフレーズと同一である必要があります。同一ならばログインに使うパスフレーズと別のパスフレーズを入力する必要がありません。 {{Note|''pam_mount'' は、最後のセッションを閉じるときにパーティションをアンマウントすることもできますが、pam スタックで {{ic|pam_systemd.so}} が使用されているため、これはそのままでは機能しません。 [https://github.com/systemd/systemd/issues/8598 systemd issue 8598] および [https://wiki.archlinux.org/title/Talk:Pam_mount#automatic_unmounting_and_systemd Talk:Pam mount#automatic unmounting and systemd] を参照してください。}} == 設定 == {{pkg|pam_mount}} パッケージをインストールします。 === グローバル(システム)設定 === モジュールは {{ic|/etc/security/pam_mount.conf.xml}} で設定されます。詳細については、{{man|5|pam_mount.conf}} を参照してください。次のようにファイルを編集します。 {{hc|/etc/security/pam_mount.conf.xml|2= <!-- Generic encrypted partition example --> <volume user="''USERNAME''" fstype="auto" path="/dev/''sdaX''" mountpoint="/home" options="fsck,noatime" /> <!-- Example using CIFS --> <volume fstype="cifs" server="''server.example.com''" path="''share_name''" mountpoint="~/mnt/''share_name''" uid="10000-19999" options="sec=krb5i,vers=3.0,cruid=%(USERUID)" /> <mkmountpoint enable="1" remove="true" /> </pam_mount> }} 注意事項 * ファイルの最後、最後の閉じタグ {{ic|</pam_mount>}} の ''前'' に2行挿入してください。 * {{ic|''USERNAME''}} はあなたのユーザー名に置き換えてください。 * {{ic|/dev/''sdaX''}} は、対応するデバイスまたはコンテナファイルに置き換えてください。 * {{ic|1=fstype="auto"}} は {{ic|/usr/bin/mount.''type''}} にある任意の {{ic|''type''}} に変更できます。ほとんどの場合、{{ic|"auto"}} で問題ありません。{{ic|1=fstype="crypt"}} を使用すると、ログアウト時にループデバイスが必要なボリュームに対してクローズされます。 * 必要であれば、マウントオプションを追加してください。{{ic|mount.cifs}} は {{ic|smb.conf}} を読み込まないので、すべてのオプションを指定する必要があることに注意してください。この例では、{{ic|uid}} はローカルの {{ic|smb.conf}} パラメータ idmap config ... : range = にマッチするので、Unix のみのユーザに対して ''pam_mount'' が呼び出されることはありません。Kerberos は krb5 で示され、SMB3.0 が指定されているのは、相手側がデフォルトの SMB1をサポートしていない可能性があるためです。署名は krb5i の末尾の i で有効になります。詳細は {{man|8|mount.cifs}} を参照。 === ローカル (ユーザーごと) 設定 === ''pam_mount'' は、ユーザーがログイン時にホーム ディレクトリ内のファイルに独自のマウントを定義できるようにすることもサポートしています。この変更による潜在的なセキュリティへの影響を考慮してください。これを有効にするには、次の行が {{ic|/etc/security/pam_mount.conf.xml}} に存在し、アクティブであることを確認します。 {{hc|/etc/security/pam_mount.conf.xml|2= <luserconf name=".pam_mount.conf.xml" /> }} これにより、各ユーザーが {{ic|~/.pam_mount.conf.xml}} でマウントを設定できるようになります。ユーザーごとの設定ファイルは、{{ic|<volume>}} キーワードのみをサポートします。例: {{hc|~/.pam_mount.conf.xml|2= <?xml version="1.0" encoding="utf-8" ?> <!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd"> <pam_mount> <volume user="alex" fstype="tmpfs" path="tmpfs" mountpoint="~/test" options="nodev,nosuid" /> </pam_mount> }} また、選択できるマウント オプションと選択できないマウント オプションに関していくつかの制限があり、その一部は必須です ({{ic|nosuid}}、{{ic|nodev}}、{{ic|size}}、{{ ic|uid}}、これらは {{ic|/etc/security/pam_mount.conf.xml}}) を編集することで解除できます。バインドマウントはサポートされていないようです。所有権チェックはマウントポイントでも実行されます。 === LUKS ボリューム === [[LUKS]] 暗号化ボリュームは次のように簡単に構成できます。 {{hc|/etc/security/pam_mount.conf.xml|2= <volume user="''username''" fstype="crypt" path="/dev/disk/by-partuuid/''partition_uuid''" mountpoint="~" options="crypto_name=''volume_name'',allow_discard,fstype=btrfs,compress=zstd" /> }} ボリュームはロックが解除され、''mount.crypt'' でマウントされます。オプションの詳細については、{{man|8|mount.crypt|マウント オプション}} を参照してください。 === Veracrypt ボリューム === pam_mount は Veracrypt ボリュームをネイティブにサポートしていませんが、[https://forum.ubuntuusers.de/post/8882122/ 回避策] があります。 {{hc|/etc/security/pam_mount.conf.xml|2= <volume user="''username''" fstype="crypt" path="/dev/disk/by-partuuid/''partition_uuid''" mountpoint="''vcrypt''"/> <volume user="''username''" fstype="auto" path="/dev/mapper/''vcrypt''" mountpoint="/media/''mountpoint''"/> <cryptmount>cryptsetup --veracrypt open --type tcrypt %(VOLUME) %(MNTPT)</cryptmount> <cryptumount>cryptsetup close %(MNTPT)</cryptumount> }} LUKS ボリュームもある場合は、{{ic|cryptmount/cryptumount}} を使用する {{ic|crypt}} の代わりに、Veracrypt ボリュームに別の ''fstype'' を使用できます。たとえば、{{ic|ncpfs}} を使用します。 {{ic|ncpmount/ncpumount}} NCP ファイルシステムを使用しないように注意してください。 === F2FS 暗号化 === pam_mount に F2FS 復号化キーをセッションキーリングに追加させるトリックがあります。f2fscrypt でディレクトリを暗号化するときに選択した salt は、{{ic|/etc/security/pam_mount.conf.xml}} の salt (以下の例では 0x1111) と一致する必要があり、パスフレーズはユーザーのログインパスワードと一致する必要があります。この例では、pam_mount を使用して FUSE ファイルシステムをマウントしていないことを前提としています。 その場合は、{{ic|<fusemount>}} と {{ic|<fuseumount>}} の代わりに、{{ic|<ncpmount>/ などの別の {{ic|<*mount>}} の代わりに {{ic|<fusemount>}} と {{ic|<fuseumount>}} タグペアを追加します。 {{hc|/etc/security/pam_mount.conf.xml|2= <fusemount>f2fscrypt add_key -S 0x1111</fusemount> <fuseumount>f2fscrypt new_session</fuseumount> <volume noroot="1" ssh="0" fstype="fuse" path="/tmp/not-a-real-path-0" mountpoint="/tmp/not-a-real-path-1"/> }} {{ic|<volume>}} は、{{ic|<fusemount>}} と {{ic|<fuseumount>}} のコマンドをトリガーする以外は何も行いません。ログイン後、セッションキーリングに F2FS 復号キーがあることを確認できます。 {{hc|$ keyctl show|2= Session Keyring 910133222 --alswrv 1000 100 keyring: _ses 301049775 --alswrv 1000 65534 \_ keyring: _uid.1000 013481035 --alsw-v 1000 100 \_ logon: f2fs:2e64cf4a5bafcd7 }} == ログインマネージャの設定 == 一般に、ログイン時に ''pam_mount'' が呼び出されるように、{{ic|/etc/pam.d}} 内の設定ファイルを編集する必要があります。各ファイル内のエントリの正しい順序が重要です。{{ic|/etc/pam.d/system-login}} を以下のように編集する必要があります。[[ディスプレイマネージャ]] を使用する場合は、そのファイルに {{ic|system-login}} が含まれていることを確認してください。設定ファイルの例を次に示します。追加された行は太字で示されています。 セッション内の {{ic|pam_mount}} の前の {{ic|pam_succeed_if}} 行は、{{ic|pam_mount}} をスキップします ({{ic|1=success=''n''}} は、次の {{ic |''n''}} 行) {{ic|systemd-user}} サービスが PAM スタックを通じて実行されている場合 (つまり、{{ic|/etc/pam.d/systemd-user}}) これにより、{{ic|systemd --user}} インスタンスの起動時に、二重マウントの試行や削除された権限に関連するエラーが回避されます。[https://kempniu.wordpress.com/2016/01/07/making-pam_mount-play-nicer-with-systemd-user-sessions/] および [https://www.suse.com/support/kb] を参照してください。詳細については、[https://www.suse.com/support/kb/doc/?id=000019569] を参照してください。 {{hc|/etc/pam.d/system-login|2= #%PAM-1.0 auth required pam_shells.so auth requisite pam_nologin.so '''auth optional pam_mount.so''' auth include system-auth account required pam_access.so account required pam_nologin.so account include system-auth '''password optional pam_mount.so''' password include system-auth session optional pam_loginuid.so session optional pam_keyinit.so force revoke '''session [success=1 default=ignore] pam_succeed_if.so service = systemd-user quiet''' '''session optional pam_mount.so''' session include system-auth session optional pam_motd.so motd=/etc/motd session optional pam_mail.so dir=/var/spool/mail standard quiet -session optional pam_systemd.so session required pam_env.so }}
このページで使用されているテンプレート:
テンプレート:Hc
(
ソースを閲覧
)
テンプレート:Ic
(
ソースを閲覧
)
テンプレート:META Related articles start
(
ソースを閲覧
)
テンプレート:Man
(
ソースを閲覧
)
テンプレート:Note
(
ソースを閲覧
)
テンプレート:Pkg
(
ソースを閲覧
)
テンプレート:Related
(
ソースを閲覧
)
テンプレート:Related articles end
(
ソースを閲覧
)
テンプレート:Related articles start
(
ソースを閲覧
)
Pam mount
に戻る。
検索
検索
Pam mountのソースを表示
話題を追加