「Pam mount」の版間の差分
ナビゲーションに移動
検索に移動
(en:Pam mountへの転送ページ) |
|||
| 1行目: | 1行目: | ||
| + | {{DISPLAYTITLE:pam_mount}} |
||
| − | #redirect[[en:Pam mount]] |
||
| + | [[Category:セキュリティ]] |
||
| + | [[en:Pam mount]] |
||
| + | pam_mount を使うことで ([[dm-crypt|LUKS]] や [[eCryptfs]] などで) 暗号化したホームパーティションをログイン時に自動的にマウントすることができます。ログインマネージャを使ったりコンソールでログインしたときに /home をマウントします (マウントポイントは自由に指定できます)。ドライブを暗号化するパスフレーズは Linux ユーザーのパスフレーズと同一である必要があります。同一ならばログインに使うパスフレーズと別のパスフレーズを入力する必要がありません。 |
||
| + | |||
| + | {{Warning|Pam_mount はセッションの終了時にパーティションをアンマウントすることもできますが、pam で使われている pam_systemd.so が原因で今のところ機能しません。}} |
||
| + | |||
| + | ==セットアップ== |
||
| + | |||
| + | #[[公式リポジトリ]]から {{pkg|pam_mount}} をインストールしてください。 |
||
| + | #以下のように {{ic|/etc/security/pam_mount.conf.xml}} を編集してください: |
||
| + | |||
| + | ファイルの末尾、''</pam_mount>'' というタグの前に新しい行を3行追加します: |
||
| + | *USERNAME はあなたの linux ユーザー名に置き換えて下さい。 |
||
| + | *{{ic|/dev/sdaX}} は適当なファイルやコンテナファイルに置き換えて下さい。 |
||
| + | *{{ic|1=fstype="auto"}} は {{ic|/usr/bin/mount.<type>}} の <type> に変えられます。大抵の場合は "auto" で問題ありません。{{ic|1=fstype="crypt"}} を使うとログアウト時にループデバイスが閉じられます。 |
||
| + | *必要なら、マウントオプションを追加してください。 |
||
| + | |||
| + | {{hc|/etc/security/pam_mount.conf.xml|2= |
||
| + | '''<lclmount>mount -t%(FSTYPE) %(VOLUME) %(MNTPT) "%(if %(OPTIONS),-o%(OPTIONS))"</lclmount>''' |
||
| + | '''<volume user="USERNAME" fstype="auto" path="/dev/sdaX" mountpoint="/home" options="fsck,noatime" />''' |
||
| + | '''<mkmountpoint enable="1" remove="true" />''' |
||
| + | |||
| + | </pam_mount> |
||
| + | }} |
||
| + | |||
| + | ==ログインマネージャの設定== |
||
| + | |||
| + | 通常、{{ic|/etc/pam.d}} の設定ファイルを編集してログイン時に pam_mount が実行されるようにする必要があります。それぞれのファイルのエントリの順番は重要です。以下に書かれているように {{ic|/etc/pam.d/system-auth}} を編集してください。ディスプレイマネージャを使用している場合 (例: Slim や GDM)、ディスプレイマネージャのファイルも編集してください。以下の設定例では、追加する行を太字で示しています。 |
||
| + | |||
| + | {{hc|/etc/pam.d/system-auth|2= |
||
| + | #%PAM-1.0 |
||
| + | |||
| + | auth required pam_env.so |
||
| + | auth required pam_unix.so try_first_pass nullok |
||
| + | '''auth optional pam_mount.so''' |
||
| + | auth optional pam_permit.so |
||
| + | |||
| + | account required pam_unix.so |
||
| + | account optional pam_permit.so |
||
| + | account required pam_time.so |
||
| + | |||
| + | '''password optional pam_mount.so''' |
||
| + | password required pam_unix.so try_first_pass nullok sha512 shadow |
||
| + | password optional pam_permit.so |
||
| + | |||
| + | '''session optional pam_mount.so''' |
||
| + | session required pam_limits.so |
||
| + | session required pam_env.so |
||
| + | session required pam_unix.so |
||
| + | session optional pam_permit.so |
||
| + | }} |
||
| + | |||
| + | === SLiM === |
||
| + | |||
| + | [[SLiM]] の場合: |
||
| + | |||
| + | {{hc|/etc/pam.d/slim| |
||
| + | auth requisite pam_nologin.so |
||
| + | auth required pam_env.so |
||
| + | auth required pam_unix.so |
||
| + | '''auth optional pam_mount.so''' |
||
| + | account required pam_unix.so |
||
| + | password required pam_unix.so |
||
| + | '''password optional pam_mount.so''' |
||
| + | session required pam_limits.so |
||
| + | session required pam_unix.so |
||
| + | '''session optional pam_mount.so''' |
||
| + | session optional pam_loginuid.so |
||
| + | session optional pam_ck_connector.so |
||
| + | }} |
||
| + | |||
| + | === GDM === |
||
| + | |||
| + | [[GDM]] の場合: |
||
| + | |||
| + | {{Note|GDM バージョン 3.2 から設定ファイルは ({{ic|/etc/pam.d/gdm}} から) {{ic|/etc/pam.d/gdm-password}} に変更されています。}} |
||
| + | |||
| + | {{hc|/etc/pam.d/gdm-password|2= |
||
| + | #%PAM-1.0 |
||
| + | auth requisite pam_nologin.so |
||
| + | auth required pam_env.so |
||
| + | |||
| + | auth requisite pam_unix.so nullok |
||
| + | '''auth optional pam_mount.so''' |
||
| + | auth optional pam_gnome_keyring.so |
||
| + | |||
| + | auth sufficient pam_succeed_if.so uid >= 1000 quiet |
||
| + | auth required pam_deny.so |
||
| + | |||
| + | account required pam_unix.so |
||
| + | |||
| + | password required pam_unix.so |
||
| + | '''password optional pam_mount.so''' |
||
| + | |||
| + | session required pam_loginuid.so |
||
| + | -session optional pam_systemd.so |
||
| + | session optional pam_keyinit.so force revoke |
||
| + | session required pam_limits.so |
||
| + | session required pam_unix.so |
||
| + | '''session optional pam_mount.so''' |
||
| + | session optional pam_gnome_keyring.so auto_start |
||
| + | }} |
||
2015年12月12日 (土) 23:52時点における版
pam_mount を使うことで (LUKS や eCryptfs などで) 暗号化したホームパーティションをログイン時に自動的にマウントすることができます。ログインマネージャを使ったりコンソールでログインしたときに /home をマウントします (マウントポイントは自由に指定できます)。ドライブを暗号化するパスフレーズは Linux ユーザーのパスフレーズと同一である必要があります。同一ならばログインに使うパスフレーズと別のパスフレーズを入力する必要がありません。
セットアップ
ファイルの末尾、</pam_mount> というタグの前に新しい行を3行追加します:
- USERNAME はあなたの linux ユーザー名に置き換えて下さい。
/dev/sdaXは適当なファイルやコンテナファイルに置き換えて下さい。fstype="auto"は/usr/bin/mount.<type>の <type> に変えられます。大抵の場合は "auto" で問題ありません。fstype="crypt"を使うとログアウト時にループデバイスが閉じられます。- 必要なら、マウントオプションを追加してください。
/etc/security/pam_mount.conf.xml
<lclmount>mount -t%(FSTYPE) %(VOLUME) %(MNTPT) "%(if %(OPTIONS),-o%(OPTIONS))"</lclmount> <volume user="USERNAME" fstype="auto" path="/dev/sdaX" mountpoint="/home" options="fsck,noatime" /> <mkmountpoint enable="1" remove="true" /> </pam_mount>
ログインマネージャの設定
通常、/etc/pam.d の設定ファイルを編集してログイン時に pam_mount が実行されるようにする必要があります。それぞれのファイルのエントリの順番は重要です。以下に書かれているように /etc/pam.d/system-auth を編集してください。ディスプレイマネージャを使用している場合 (例: Slim や GDM)、ディスプレイマネージャのファイルも編集してください。以下の設定例では、追加する行を太字で示しています。
/etc/pam.d/system-auth
#%PAM-1.0 auth required pam_env.so auth required pam_unix.so try_first_pass nullok auth optional pam_mount.so auth optional pam_permit.so account required pam_unix.so account optional pam_permit.so account required pam_time.so password optional pam_mount.so password required pam_unix.so try_first_pass nullok sha512 shadow password optional pam_permit.so session optional pam_mount.so session required pam_limits.so session required pam_env.so session required pam_unix.so session optional pam_permit.so
SLiM
SLiM の場合:
/etc/pam.d/slim
auth requisite pam_nologin.so auth required pam_env.so auth required pam_unix.so auth optional pam_mount.so account required pam_unix.so password required pam_unix.so password optional pam_mount.so session required pam_limits.so session required pam_unix.so session optional pam_mount.so session optional pam_loginuid.so session optional pam_ck_connector.so
GDM
GDM の場合:
/etc/pam.d/gdm-password
#%PAM-1.0 auth requisite pam_nologin.so auth required pam_env.so auth requisite pam_unix.so nullok auth optional pam_mount.so auth optional pam_gnome_keyring.so auth sufficient pam_succeed_if.so uid >= 1000 quiet auth required pam_deny.so account required pam_unix.so password required pam_unix.so password optional pam_mount.so session required pam_loginuid.so -session optional pam_systemd.so session optional pam_keyinit.so force revoke session required pam_limits.so session required pam_unix.so session optional pam_mount.so session optional pam_gnome_keyring.so auto_start