KDE Wallet
KDE Wallet Manager は、KDE Plasma システムでパスワードを管理するためのツールです。KDE ウォレットサブシステムを使うことで秘密を守ることだけでなく、KDE ウォレットと連動する全てのアプリケーションのパスワードを管理することができます。
目次
ログイン時に KDE ウォレットを自動的にアンロック
ログイン時に KDE ウォレットを自動的にアンロックするには、PAM 互換モジュールの kwallet-pam をインストールしてください。また、KDE ウォレットパスワードは現在のユーザーのパスワードと一致していなければなりません。
任意で、ウォレットの管理ツールの kwalletmanager をインストールしてください。このツールは、kcm-module で提供されない設定と blowfish 暗号のある KDE ウォレットを作成するのに使用できます。
PAM の設定
以下の行は、対応するそれぞれのセクションになければなりません:
auth optional pam_kwallet5.so session optional pam_kwallet5.so auto_start
状況に合わせて PAM 設定ファイルを編集してください:
- SDDM の場合、
/etc/pam.d/sddmに上記の行がすでに存在するため、編集する必要はありません。 - GDM の場合、
/etc/pam.d/gdm-passwordを適宜編集してください。 - greetd の場合、
/etc/pam.d/greetdを適宜編集してください。 - LightDM の場合、
/etc/pam.d/lightdmと/etc/pam.d/lightdm-autologinファイルを編集してください: - tty ログイン(ディスプレイマネージャなし)でアンロックするには、
/etc/pam.d/loginを適宜編集してください。force_run パラメータを指定する必要があります。
/etc/pam.d/login
auth optional pam_kwallet5.so session optional pam_kwallet5.so auto_start force_run
/etc/pam.d/lightdm
#%PAM-1.0 auth include system-login auth optional pam_kwallet5.so account include system-login password include system-login session include system-login session optional pam_kwallet5.so auto_start
/etc/pam.d/lightdm-autologin
#%PAM-1.0 auth required pam_env.so auth required pam_faillock.so preauth auth required pam_shells.so auth required pam_nologin.so auth [success=1 default=ignore] pam_succeed_if.so user ingroup autologin auth required pam_unix.so auth required pam_permit.so auth optional pam_kwallet5.so account include system-local-login password include system-local-login session include system-local-login session optional pam_kwallet5.so auto_start
/etc/pam.d/greetd
#%PAM-1.0 auth required pam_securetty.so auth requisite pam_nologin.so auth include system-local-login auth optional pam_kwallet5.so account include system-local-login session include system-local-login session optional pam_kwallet5.so auto_start force_run
KDE ウォレットを使って ssh 鍵のパスフレーズを保存
ksshaskpass パッケージをインストールしてください。
自動起動 .desktop ファイルを作成してください:
~/.config/autostart/ssh-add.desktop
[Desktop Entry] Exec=ssh-add -q Name=ssh-add Type=Application
また、SSH_ASKPASS 環境変数を ksshaskpass に設定し、SSH_ASKPASS_REQUIRE を prefer に設定する必要があります(SSH_ASKPASS_REQUIRE を prefer に設定すると、TTY よりも askpass プログラムを優先します)。ログイン時にその環境変数を自動的に設定するには、以下の systemd 環境変数を作成してください:
~/.config/environment.d/ssh_askpass.conf
SSH_ASKPASS='/usr/bin/ksshaskpass' SSH_ASKPASS_REQUIRE=prefer
パスワードを尋ねてきて、SSH 鍵をアンロックします。kwallet のパスワードを入力すれば、再起動時に SSH 鍵がアンロックされるはずです。
新しい鍵を追加して kwallet でパスワードを保存するには、以下のコマンドを使ってください。
$ ssh-add /path/to/new/key </dev/null
そして、上で説明したように ~/.config/autostart/ssh-add.desktop 内の鍵のリストにその鍵を追加して、kwallet のパスワード入力時にアンロックされるようにしてください。
KDE ウォレットを使って Git の資格情報を保存
Git は資格情報ヘルパーに資格情報の処理を委託できます。ksshaskpass を資格情報ヘルパーとして使うことで、HTTP/HTTPS と SMTP のパスワードは KDE ウォレットに安全に保存できます。
ksshaskpass パッケージをインストールしてください。
GIT_ASKPASS 環境変数で Git を設定してください:
~/.config/environment.d/git_askpass.conf
GIT_ASKPASS='/usr/bin/ksshaskpass'
代替や詳細は gitcredentials(7) を見てください。
Chrome と Chromium で KDE ウォレットを使う
Chrome/Chromium/Opera には組み込みのウォレット統合機能があります。それを有効化するには、--password-store=kwallet5 か --password-store=detect を引数として渡して Chromium を実行してください。この変更を永続化させるには、Chromium#フラグを永続的に設定 を見てください。(CHROMIUM_USER_FLAGS を設定してもうまく行きません。)
ターミナルからパスワードをクエリする
プレーンなテキストファイルにパスワードを保存する代わりに、kwallet-query を使って手動で新しいエントリをウォレットに追加したり、取得したりできます。
例えば、Podman で Docker Hub レジストリにログインしたい場合、以下のコマンドを使ってログインできます(Podman は --password-stdin フラグで標準入力からのパスワード入力を受け付けます):
$ kwallet-query -r folder_entry wallet_name -f folder_name | podman login docker.io -u dockerhub_username --password-stdin
この方法では、パスワードはテキストファイルに保存されず、ターミナルの履歴ファイルにも残りません。
ウインドウマネージャで KWallet を自動的にアンロックする
ログインパスワードで保護された KWallet をアンロックするには、PAM の設定に加えて以下をウインドウマネージャの設定ファイルに追加する必要があります:
exec --no-startup-id /usr/lib/pam_kwallet_init
KWallet を無効化する
KWallet を永久に無効化したい場合:
~/.config/kwalletrc
[Wallet] Enabled=false