「Pam autologin」の版間の差分
(同期) |
Kusanaginoturugi (トーク | 投稿記録) (→インストール: 英語版をもとに更新) |
||
27行目: | 27行目: | ||
{{hc|/etc/systemd/system/getty@.service.d/override.conf|2= |
{{hc|/etc/systemd/system/getty@.service.d/override.conf|2= |
||
+ | [Service] |
||
ExecStart= |
ExecStart= |
||
ExecStart=-/sbin/agetty --skip-login - $TERM |
ExecStart=-/sbin/agetty --skip-login - $TERM |
2024年7月20日 (土) 14:11時点における版
pam_autologin は自動的にユーザにログインします。他の自動ログインメソッドと異なり、このモジュールはパスワードを保存し、そのパスワードを通常の認証プロセスで使用します。パスワードは、暗号化されたホームディレクトリをマウントするために pam_mount で使用したり、ログインキーリングをアンロックするために GNOME/Keyring で使用したりすることができます。
インストール
pam_autologinAUR パッケージをインストールしてください。
このモジュールを特定のアプリケーションに対して有効化するには、/etc/pam.d/
内の設定ファイルを編集してください。例えば:
/etc/pam.d/login
#%PAM-1.0 auth required pam_autologin.so auth include system-local-login account include system-local-login session include system-local-login
ユーザ名とパスワードをセットできるようにするために、この自動ログインの行は auth
セクションの先頭モジュールである必要があります。他のモジュールが前の行にありユーザ名を必要とする場合、パスワードを要求するプロンプトが表示されます。
ログアウトする時は他のアカウントにログイン場合がほとんどでしょうから、自動ログインは各 TTY で1回だけ行われます。このモジュールは /var
、/log
、/wtmp
のパスを探索し、最後の起動以降の TTY でのログインを調べます。毎回自動ログインするには、always
オプションを指定できます:
auth required pam_autologin.so always
ログインプロセスが PAM ベースのアプリケーション(例えばディスプレイマネージャ)や、loginxAUR のような getty/ログインの組み合わせにより実行される場合、設定は必要ありません。しかし、プレーンな agetty は PAM アプリケーションではありませんので、常にユーザ名を要求するプロンプトを表示します。これに対して自動ログインを有効化するには、すぐにログインを開始するようにするために getty に --skip-login
オプションを渡す必要があります。以下のように、systemd の getty@.service
に対するドロップインファイルを追加してください:
/etc/systemd/system/getty@.service.d/override.conf
[Service] ExecStart= ExecStart=-/sbin/agetty --skip-login - $TERM
設定
設定ファイルを作成して、自動ログインモジュールが次回のログインを保存するようにしてください:
# touch /etc/security/autologin.conf
再起動してください。次回のログインが保存されるという旨のメッセージが表示されるはずです。通常通りログインしてください。そして、再び再起動してください。自動でログインするはずです。
自動ログインを停止したい場合、設定ファイルを削除してください:
# shred -u /etc/security/autologin.conf
ファイルのリンクを解除する前に、shred ユーティリティを使ってファイルをゼロアウトしてください。このファイルにはユーザ名とパスワードが含まれており、ファイルを単に削除しただけではデータがストレージの未割り当て領域に取り残される可能性があります。ハッカーはそのデータを発見できる可能性があります。このファイルはランダムな鍵によって難読化されてはいますが、自動ログインモジュールがそのファイルを読み出せるようにするために鍵はそのファイル自体に保存されなければならないため、難読化されてはいますが、保護されているわけではありません。
セキュリティ
自動ログインはしばしば、そして不相応に安全でないと言われます。なので、この主題に関するいくつかの正当な考察が考えられます。自動ログインが安全でないかどうかを判断するには、「何から安全であるか」を問う必要があります。大半のユーザにとって心配すべき脅威は2種類だけ、マルウェアと盗難です。
マルウェアや様々な遠隔ハッキングの脅威は、ユーザ権限で実行されているプログラム(例えば、ウェブブラウザ)のバグにより生じます。しかし、このモジュールによって保存されたログイン情報は root からしか読み込めませんので、マルウェアは特権昇格の脆弱性を必要とします。root 権限で実行されているマルウェアはいずれにせよ、キーロガーでログインを盗聴することでパスワードを取得できます。なので、このような状況では、自動ログインがセキュリティを劣化させることは無いでしょう。
盗難はもう一つの一般的な脅威であり、確かに自動ログインによって犯人がコンピュータの全てにアクセスできてしまいます。しかし、あなたにとって盗難の懸念の大きさはどれほどのものでしょうか。あなたが自宅でデスクトップコンピュータを使用しているのであれば、盗まれる危険性は微々たるものでしょう。ニュースではよく耳にしますが、大都市以外では盗難はあまりありません。自宅で仕事をするのであれば特に安全です。泥棒は人と接することを嫌うからです。デスクトップで自動ログインを有効化すれば、有効化しない場合と同じくらい安全です。パスワードを入力しなくて済むという利便性のほうが懸念よりも大きくなるかもしれません。
一方、ラップトップは盗まれる可能性がより高いです。公共の場でラップトップを放置して、帰ってきたときに無くなっていたとしても不思議ではありません。なので通常、ラップトップで自動ログインを使うのはあまりいいアイデアではありません。しかし、ラップトップは常に公共の場で使用されるというわけではありません。自宅でのみラップトップを使う場合、盗まれる危険性はデスクトップと同じくらいで、自動ログインを使うことは安全でしょう。ラップトップを家の外で使うが頻繁ではない場合、家を出るときに自動ログインを無効化すればいいでしょう。こうすれば、安全な場所にいる時は利便性を維持し、すべてを暗号化しておくことができます。
このように、公共の場で持ち運ぶラップトップ以外は、pam_autologin を使うことは安全で、そこまで心配することではないことがわかります。