pam_autologin

提供: ArchWiki
2024年7月20日 (土) 14:12時点におけるKusanaginoturugi (トーク | 投稿記録)による版 (→‎参照: update TranslationStatus.)
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
ナビゲーションに移動 検索に移動

pam_autologin は自動的にユーザにログインします。他の自動ログインメソッドと異なり、このモジュールはパスワードを保存し、そのパスワードを通常の認証プロセスで使用します。パスワードは、暗号化されたホームディレクトリをマウントするために pam_mount で使用したり、ログインキーリングをアンロックするために GNOME/Keyring で使用したりすることができます。

インストール

pam_autologinAUR パッケージをインストールしてください。

このモジュールを特定のアプリケーションに対して有効化するには、/etc/pam.d/ 内の設定ファイルを編集してください。例えば:

/etc/pam.d/login
#%PAM-1.0
auth    required pam_autologin.so
auth    include  system-local-login
account include  system-local-login
session include  system-local-login

ユーザ名とパスワードをセットできるようにするために、この自動ログインの行は auth セクションの先頭モジュールである必要があります。他のモジュールが前の行にありユーザ名を必要とする場合、パスワードを要求するプロンプトが表示されます。

ログアウトする時は他のアカウントにログイン場合がほとんどでしょうから、自動ログインは各 TTY で1回だけ行われます。このモジュールは /var/log/wtmp のパスを探索し、最後の起動以降の TTY でのログインを調べます。毎回自動ログインするには、always オプションを指定できます:

auth required pam_autologin.so always

ログインプロセスが PAM ベースのアプリケーション(例えばディスプレイマネージャ)や、loginxAUR のような getty/ログインの組み合わせにより実行される場合、設定は必要ありません。しかし、プレーンな agetty は PAM アプリケーションではありませんので、常にユーザ名を要求するプロンプトを表示します。これに対して自動ログインを有効化するには、すぐにログインを開始するようにするために getty に --skip-login オプションを渡す必要があります。以下のように、systemd の getty@.service に対するドロップインファイルを追加してください:

/etc/systemd/system/getty@.service.d/override.conf
[Service]
ExecStart=
ExecStart=-/sbin/agetty --skip-login - $TERM

設定

設定ファイルを作成して、自動ログインモジュールが次回のログインを保存するようにしてください:

# touch /etc/security/autologin.conf

再起動してください。次回のログインが保存されるという旨のメッセージが表示されるはずです。通常通りログインしてください。そして、再び再起動してください。自動でログインするはずです。

自動ログインを停止したい場合、設定ファイルを削除してください:

# shred -u /etc/security/autologin.conf

ファイルのリンクを解除する前に、shred ユーティリティを使ってファイルをゼロアウトしてください。このファイルにはユーザ名とパスワードが含まれており、ファイルを単に削除しただけではデータがストレージの未割り当て領域に取り残される可能性があります。ハッカーはそのデータを発見できる可能性があります。このファイルはランダムな鍵によって難読化されてはいますが、自動ログインモジュールがそのファイルを読み出せるようにするために鍵はそのファイル自体に保存されなければならないため、難読化されてはいますが、保護されているわけではありません。

セキュリティ

この記事またはセクションの正確性には問題があります。
理由: The section addresses the topic rather single-sided, expanding on the same points as the module repo, when it should refer to it and address Arch relevant points instead. Links to wikipedia:Access control#Computer security,セキュリティ, 保存データ暗号化, alternatives like w:Security token, スマートカード may be useful. (議論: トーク:Pam autologin#)

自動ログインはしばしば、そして不相応に安全でないと言われます。なので、この主題に関するいくつかの正当な考察が考えられます。自動ログインが安全でないかどうかを判断するには、「何から安全であるか」を問う必要があります。大半のユーザにとって心配すべき脅威は2種類だけ、マルウェアと盗難です。

マルウェアや様々な遠隔ハッキングの脅威は、ユーザ権限で実行されているプログラム(例えば、ウェブブラウザ)のバグにより生じます。しかし、このモジュールによって保存されたログイン情報は root からしか読み込めませんので、マルウェアは特権昇格の脆弱性を必要とします。root 権限で実行されているマルウェアはいずれにせよ、キーロガーでログインを盗聴することでパスワードを取得できます。なので、このような状況では、自動ログインがセキュリティを劣化させることは無いでしょう。

盗難はもう一つの一般的な脅威であり、確かに自動ログインによって犯人がコンピュータの全てにアクセスできてしまいます。しかし、あなたにとって盗難の懸念の大きさはどれほどのものでしょうか。あなたが自宅でデスクトップコンピュータを使用しているのであれば、盗まれる危険性は微々たるものでしょう。ニュースではよく耳にしますが、大都市以外では盗難はあまりありません。自宅で仕事をするのであれば特に安全です。泥棒は人と接することを嫌うからです。デスクトップで自動ログインを有効化すれば、有効化しない場合と同じくらい安全です。パスワードを入力しなくて済むという利便性のほうが懸念よりも大きくなるかもしれません。

一方、ラップトップは盗まれる可能性がより高いです。公共の場でラップトップを放置して、帰ってきたときに無くなっていたとしても不思議ではありません。なので通常、ラップトップで自動ログインを使うのはあまりいいアイデアではありません。しかし、ラップトップは常に公共の場で使用されるというわけではありません。自宅でのみラップトップを使う場合、盗まれる危険性はデスクトップと同じくらいで、自動ログインを使うことは安全でしょう。ラップトップを家の外で使うが頻繁ではない場合、家を出るときに自動ログインを無効化すればいいでしょう。こうすれば、安全な場所にいる時は利便性を維持し、すべてを暗号化しておくことができます。

このように、公共の場で持ち運ぶラップトップ以外は、pam_autologin を使うことは安全で、そこまで心配することではないことがわかります。

参照

翻訳ステータス: このページは en:Pam_autologin の翻訳バージョンです。最後の翻訳日は 2024-07-20 です。もし英語版に 変更 があれば、翻訳の同期を手伝うことができます。