¿Cómo deshabilitar el llavero para SSH y GPG?
Me gustaría mantener el llavero para wifi y otras cosas. Estoy usando Ubuntu 12.04.
¿Cómo deshabilitar el llavero para SSH y GPG?
Me gustaría mantener el llavero para wifi y otras cosas. Estoy usando Ubuntu 12.04.
Respuestas:
Primero duplica el archivo /etc/xdg/autostart/gnome-keyring-ssh.desktop
en ~/.config/autostart/
.
Luego edite ~/.config/autostart/gnome-keyring-ssh.desktop
para eliminar la siguiente línea:
NoDisplay=true
y para agregar la siguiente línea al final:
X-GNOME-Autostart-enabled=false
Esto debería deshabilitar la administración SSH cuando reinicie su sesión. Para deshabilitar GPG, haga lo mismo con el archivo /etc/xdg/autostart/gnome-keyring-gpg.desktop
.
En una sesión de terminal (usando Ctrl- Alt- T) puede detener el proceso de gnome-keyring de trabajar con ssh usando:
unset SSH_AUTH_SOCK
La --no-use-agent
opción está disponible para gpg para evitar el uso del proceso gnome-keyring con gpg, sin embargo, ese es el valor predeterminado.
Puede evitar que nautilus seahorse-tool use el gpg-agent usando:
rm `echo $GPG_AGENT_INFO | sed s/:0:1//`
Puede detener el proceso de gnome-keyring completamente con el comando:
kill $GNOME_KEYRING_PID
Cada una de las acciones anteriores se restaura al iniciar sesión nuevamente.
Las contraseñas de wifi disponibles para todos los ID de usuario se almacenan en el /etc/NetworkManager/system-connections/
directorio en lugar de almacenarse en su llavero gnome, por lo que pueden permanecer disponibles si elimina el proceso de llavero gnome.
El ssh-add
comando se puede usar para eliminar (o agregar) claves específicas de / al gnome-keyring actual mientras se ejecuta el proceso de keyring.
Las contraseñas de claves individuales se pueden eliminar del inicio de sesión u otro llavero utilizando la Passwords
pestaña del Passwords and Keys
programa (seahorse).
Si el gnome-keyring no está presente, ssh-agent seguirá ejecutándose, pero no almacena las claves gpg.
Hay dos líneas /etc/pam.d/lightdm
involucradas con guardar la contraseña de inicio de sesión e iniciar gnome-keyring-daemon con el llavero de inicio de sesión desbloqueado con la contraseña de inicio de sesión. El segundo comienza el demonio:
session optional pam_gnome_keyring.so auto_start
Si comenta esta línea, evitará que se inicie en todas las sesiones de todos los usuarios de su sistema que usen la contraseña de inicio de sesión para desbloquear el llavero de inicio de sesión.
/etc/xdg/autostart/
contiene entradas de inicio para varias categorías de secretos que puede manejar gnome-keyring. Para evitar que el demonio inicie estos componentes, estos archivos se pueden mover fuera de este directorio. Puede mover todos los archivos gnome-keyring- * para detener el inicio del demonio o simplemente puede negarse a proporcionar la contraseña de inicio de sesión nuevamente para deshabilitar el conjunto de claves de inicio de sesión mientras se deja el demonio en ejecución.
gnome-keyring-daemon -r -d
. Esta es una forma sencilla de reiniciar el demonio. Un posible problema es que si no se estaba ejecutando en primer lugar, se iniciará (no conozco una buena manera de reiniciarlo solo si ya se está ejecutando, excepto el análisis ps
: /)
Para evitar que gnome-keyring inicie su agente SSH ( roto ) en Ubuntu 16.04:
mkdir ~/.config/upstart || true
echo manual > ~/.config/upstart/gnome-keyring-ssh.override
# This step can be done with the gnome-session-properties tool
mkdir ~/.config/autostart || true
cp /etc/xdg/autostart/gnome-keyring-ssh.desktop ~/.config/autostart
echo 'X-GNOME-Autostart-enabled=false' >> ~/.config/autostart/gnome-keyring-ssh.desktop
Hidden=true
al archivo .desktop. Básicamente, esto enmascara el acceso directo "real" (sistema) de todos los escritorios, incluso aquellos a los que normalmente podría aplicarse como GNOME / Unity. Probaré esto en breve, ya que he estado buscando una forma limpia de deshabilitar gnome-keyring-ssh sin afectar las otras funciones.
Con la versión actual de Ubuntu, cambiar el .desktop
archivo mencionado en otras respuestas ya no es suficiente. Se agregó un trabajo adicional adicional que también se inicia gnome-keyring-daemon
. El archivo se encuentra /usr/share/upstart/sessions/gnome-keyring.conf
y contiene:
eval "$(gnome-keyring-daemon --start)" >/dev/null
initctl set-env --global SSH_AUTH_SOCK=$SSH_AUTH_SOCK
initctl set-env --global GPG_AGENT_INFO=$GPG_AGENT_INFO
Aquí el demonio necesita ser restringido para proporcionar solo algunos servicios agregándolos --components=pkcs11,secrets
a la línea de comando. Las initctl
líneas también se pueden eliminar, lo que resulta en:
eval "$(gnome-keyring-daemon --start --components=pkcs11,secrets)" >/dev/null