Comment désactiver le trousseau de clés pour SSH et GPG?

16

Comment désactiver le trousseau de clés pour SSH et GPG?

Je voudrais garder le porte-clés pour le wifi et d'autres choses. J'utilise Ubuntu 12.04.

    
posée brodul 12.07.2012 - 18:05
la source

4 réponses

12

D'abord, dupliquez le fichier /etc/xdg/autostart/gnome-keyring-ssh.desktop dans ~/.config/autostart/ .

Puis éditez ~/.config/autostart/gnome-keyring-ssh.desktop afin de supprimer la ligne suivante:

NoDisplay=true

et pour ajouter la ligne suivante à la fin:

X-GNOME-Autostart-enabled=false

Cela devrait désactiver la gestion SSH lorsque vous redémarrez votre session. Pour désactiver GPG, faites de même avec le fichier /etc/xdg/autostart/gnome-keyring-gpg.desktop .

    
réponse donnée Pierre-Antoine 06.11.2012 - 09:13
la source
5

Dans une session de terminal (en utilisant Ctrl - Alt - T ), vous pouvez empêcher le processus gnome-keyring de travailler avec ssh en utilisant :

unset SSH_AUTH_SOCK 

L'option --no-use-agent est disponible pour gpg afin d'éviter d'utiliser le processus gnome-keyring avec gpg, mais c'est la valeur par défaut.

Vous pouvez arrêter l’outil nautilus seahorse d’utiliser l’agent gpg en utilisant:

rm 'echo $GPG_AGENT_INFO | sed s/:0:1//'

Vous pouvez arrêter complètement le processus gnome-keyring avec la commande:

kill $GNOME_KEYRING_PID

Chacune des actions ci-dessus est restaurée en vous connectant à nouveau.

Les mots de passe Wifi disponibles pour tous les utilisateurs sont stockés dans le répertoire /etc/NetworkManager/system-connections/ plutôt que stockés dans votre trousseau de clés gnome. Ils peuvent donc rester disponibles si vous arrêtez le processus gnome-keyring.

La commande ssh-add peut être utilisée pour supprimer (ou ajouter) des clés spécifiques depuis / vers le gnome-keyring en cours pendant l'exécution du processus de keyring.

Les mots de passe individuels peuvent être supprimés du login ou de tout autre trousseau de clés en utilisant l’onglet Passwords du programme Passwords and Keys (seahorse).

Si le gnome-keyring n'est pas présent, ssh-agent sera toujours en cours d'exécution, mais il ne stocke pas les clés gpg.

Il y a deux lignes dans /etc/pam.d/lightdm impliquées dans l'enregistrement du mot de passe de connexion et le démarrage du démon gnome-keyring avec le fichier de clés de connexion déverrouillé avec le mot de passe de connexion. Le second démarre le démon:

session optional        pam_gnome_keyring.so auto_start

Les commentaires sur cette ligne l’empêcheraient de démarrer pour toutes les sessions de tous les utilisateurs de votre système en utilisant le mot de passe de connexion pour déverrouiller le trousseau de connexion.

/etc/xdg/autostart/ contient des entrées de démarrage pour différentes catégories de secrets gnome-keyring peut gérer. Pour empêcher le démon de démarrer ces composants, ces fichiers peuvent être déplacés de ce répertoire. Vous pouvez déplacer tous les fichiers gnome-keyring- * pour empêcher le démon de démarrer ou simplement refuser de fournir à nouveau le mot de passe de connexion pour désactiver le trousseau de connexion pendant que le démon est en cours d'exécution.

    
réponse donnée John S Gruber 13.07.2012 - 18:35
la source
2

Pour empêcher gnome-keyring de démarrer son agent ( cassé ) SSH sur Ubuntu 16.04:

mkdir ~/.config/upstart || true
echo manual > ~/.config/upstart/gnome-keyring-ssh.override

# This step can be done with the gnome-session-properties tool
mkdir ~/.config/autostart || true
cp /etc/xdg/autostart/gnome-keyring-ssh.desktop ~/.config/autostart
echo 'X-GNOME-Autostart-enabled=false' >> ~/.config/autostart/gnome-keyring-ssh.desktop
    
réponse donnée dolmen 02.08.2016 - 11:10
la source
1

Avec la version actuelle d'Ubuntu, changer le fichier .desktop mentionné dans les autres réponses n'est plus suffisant. Un travail supplémentaire a été ajouté qui démarre également gnome-keyring-daemon . Le fichier se trouve dans /usr/share/upstart/sessions/gnome-keyring.conf et contient:

eval "$(gnome-keyring-daemon --start)" >/dev/null
initctl set-env --global SSH_AUTH_SOCK=$SSH_AUTH_SOCK
initctl set-env --global GPG_AGENT_INFO=$GPG_AGENT_INFO

Ici, le démon doit être restreint pour ne fournir que certains services en ajoutant --components=pkcs11,secrets à la ligne de commande. Les lignes initctl peuvent également être supprimées, ce qui entraîne:

eval "$(gnome-keyring-daemon --start --components=pkcs11,secrets)" >/dev/null
    
réponse donnée sth 15.11.2014 - 04:04
la source

Lire d'autres questions sur les étiquettes