GNOME/Keyring
GNOME Keyring 是 “GNOME 中用于存储密钥、密码、密钥、证书并使其可用于应用程序的组件集合。”
它提供了 org.freedesktop.secrets,一个 API,允许客户端应用程序使用在用户登录会话中运行的服务安全地存储密钥。
安全
防范恶意应用程序
过去曾报告过关于 GNOME/Keyring API 行为的安全问题(称为 CVE-2018-19358)。如果密钥环已解锁,则任何应用程序 都可以轻松读取任何密钥。而且,如果用户已登录,则登录/默认集合已解锁。默认情况下不使用可用的 D-Bus 保护机制(涉及 busconfig 和 policy XML 元素),并且无论如何都容易绕过。
GNOME 项目 不同意 此漏洞报告,因为根据他们声明的安全模型,不得允许不受信任的应用程序与密钥服务通信。
通过 Flatpak 沙盒化的应用程序仅对会话总线具有经过滤的访问权限。
会话锁定时,密钥环不会锁定
当会话被锁定时,密钥环不会自动锁定。[1] 这意味着密码仍然保留在内存中,这会使系统容易受到 DMA 攻击。
安装
gnome-keyring 是 gnome 组的成员,因此通常存在于运行 GNOME 的系统上。该软件包也可以单独安装。libsecret 也应该安装,以授予其他应用程序访问您的密钥环的权限。虽然 libgnome-keyring 已被弃用(并被 libsecret 取代),但某些应用程序可能仍然需要它。
gnome-keyring-daemon 在登录时通过 systemd 用户服务自动启动。它也可以通过套接字按需启动。
与 GNOME Keyring 相关的额外实用程序包括
- secret-tool — 从命令行访问 GNOME Keyring(以及任何其他实现 DBus Secret Service API 的服务)。
- lssecret — 使用 libsecret(例如 GNOME Keyring)列出所有密钥项。
使用 GUI 管理
您可以使用 Seahorse 管理 GNOME Keyring 的内容;安装 seahorse 软件包。
可以更改甚至删除密钥环(例如,默认密钥环 “Login”)的密码。有关更多信息,请参阅 GNOME 帮助中的 创建新密钥环 和 更新密钥环密码。
使用密钥环
PAM 模块 pam_gnome_keyring.so 部分初始化 GNOME Keyring,在此过程中解锁 login 密钥环。gnome-keyring-daemon 通过 systemd 用户服务自动启动。
PAM 步骤
- 要在自动登录的情况下使用自动解锁,您可以为密钥环设置空白密码。请注意,在这种情况下,密钥环的内容以未加密的方式存储。
- 或者,如果使用 GDM 和 LUKS,GDM 可以解锁您的密钥环(如果它与您的 LUKS 密码匹配)。为了使其工作,您需要在您的 mkinitcpio.conf 中使用 systemd init 以及相应的内核参数。有关更多详细信息,请参阅 [2]。
- 如果您希望跳过 PAM 步骤,则必须手动或通过其他方法解锁密钥环。请参阅 #在桌面环境(KDE、GNOME、XFCE 等)之外使用 gnome-keyring-daemon 和 GnomeKeyring wiki。
当使用显示管理器时,密钥环在大多数情况下都可以正常工作。GDM、LightDM、LXDM 和 SDDM 已经具有必要的 PAM 配置。对于不自动解锁密钥环的显示管理器,请编辑相应的文件,而不是下面提到的 /etc/pam.d/login。
当使用基于控制台的登录时,编辑 /etc/pam.d/login
在 auth 部分的末尾添加 auth optional pam_gnome_keyring.so,在 session 部分的末尾添加 session optional pam_gnome_keyring.so auto_start。
/etc/pam.d/login
#%PAM-1.0 auth required pam_securetty.so auth requisite pam_nologin.so auth include system-local-login auth optional pam_gnome_keyring.so account include system-local-login session include system-local-login session optional pam_gnome_keyring.so auto_start
SSH 密钥
GNOME Keyring 可以充当 ssh-agent 的包装器。在这种模式下,每次您需要解锁 SSH 密钥时,它都会显示 GUI 密码输入对话框。该对话框包含一个复选框,用于记住您输入的密码,如果选中该复选框,只要您的登录密钥环已解锁,将来就可以完全无密码地使用该密钥。
自版本 1:46 以来,SSH 功能在 gnome-keyring-daemon 构建中默认禁用。它已移动到 /usr/lib/gcr-ssh-agent,它是 gcr-4 软件包的一部分。
设置 gcr
您需要做的就是
- 启用
gcr-ssh-agent.socketsystemd 用户单元。 - 启动 一次
gcr-ssh-agent.socketsystemd 用户单元。这将创建套接字文件$XDG_RUNTIME_DIR/gcr/ssh。创建文件后,第 1 步足以让套接字单元自动启动。 - 如果
gcr-ssh-agent.socket单元处于活动状态,则无需手动配置SSH_AUTH_SOCK环境变量。用户注销并重新登录后,SSH_AUTH_SOCK环境变量的值应设置为$XDG_RUNTIME_DIR/gcr/ssh。已知这适用于使用fish作为默认 shell 的用户的 GnomeConsole应用程序。
有许多方法 可以设置环境变量,您使用哪种方法将取决于您的特定设置和首选项。
使用
您可以运行
$ ssh-add -L
列出正在运行的代理中加载的 SSH 密钥。这可以帮助确保您启动了适当的服务并正确设置了 SSH_AUTH_SOCK。
要将密码永久保存在密钥环中,请使用 seahorse 软件包中的 ssh-askpass
$ /usr/lib/seahorse/ssh-askpass my_key
要手动从另一个目录添加 SSH 密钥
$ ssh-add ~/.private/id_rsa Enter passphrase for ~/.private/id_rsa:
~/.ssh/id_rsa.pub)。此外,请确保公钥是私钥的文件名加上 .pub (例如,my_key.pub)。禁用所有手动添加的密钥
$ ssh-add -D
禁用
如果您希望运行备用 SSH 代理(例如直接 ssh-agent 或 gpg-agent),最好禁用 GNOME Keyring 的 ssh-agent 包装器。这样做并非绝对必要,因为每个代理都侦听不同的套接字,并且可以使用 SSH_AUTH_SOCK 在它们之间进行选择,但这可以使调试问题更容易。请注意,GNOME 实现不支持许多脚本功能,例如 BatchMode [3]。
要禁用 gcr-ssh-agent,请确保在 systemd 中禁用并停止 gcr-ssh-agent.socket 和 gcr-ssh-agent.service。
技巧与窍门
与应用程序集成
锁定密钥环
$ dbus-send --session --dest=org.freedesktop.secrets \ --type=method_call \ /org/freedesktop/secrets \ org.freedesktop.Secret.Service.Lock \ array:objpath:/org/freedesktop/secrets/collection/login
此命令执行 D-Bus 方法调用以锁定 login 密钥环。或者,如果您想使用 GUI,可以使用 Seahorse 锁定密钥环。
刷新密码
$ gnome-keyring-daemon -r -d
此命令启动 gnome-keyring-daemon,关闭先前运行的实例。
Git 集成
当您通过 HTTPS 推送时,GNOME 密钥环与 Git 结合使用非常有用。需要安装 libsecret 软件包才能使用此功能。
配置 Git 以使用 libsecret 助手
$ git config --global credential.helper /usr/lib/git-core/git-credential-libsecret
下次您运行 git push 时,如果您的密钥环尚未解锁,系统将要求您解锁。
GnuPG 集成
一些使用 GnuPG 的应用程序需要设置 pinentry-program。设置以下内容以使用 GNOME 3 pinentry,以便 GNOME 密钥环管理密码提示。
~/.gnupg/gpg-agent.conf
pinentry-program /usr/bin/pinentry-gnome3
另一种选择是强制 GPG 回环,这应该允许在应用程序中输入密码。
重命名密钥环
可以通过更改未加密的密钥环文件中的 display-name 值来更改密钥环的显示名称(即,在 Seahorse 和 file 中显示的名称)。密钥环通常存储在 ~/.local/share/keyrings/ 中,文件扩展名为 .keyring。
使用用户密码自动更改密钥环密码
追加 password optional pam_gnome_keyring.so 到 /etc/pam.d/passwd
/etc/pam.d/passwd
... password optional pam_gnome_keyring.so
在桌面环境(KDE、GNOME、XFCE 等)之外使用 gnome-keyring-daemon
启动
如果您正在使用 sway、i3 或任何不执行以下操作的窗口管理器
/etc/xdg/autostart/gnome-keyring-*.desktop/etc/X11/xinit/xinitrc.d/50-systemd-user.sh
您的窗口管理器需要在窗口管理器启动期间执行以下命令。这些命令不需要按任何特定顺序执行。
dbus-update-activation-environment DISPLAY XAUTHORITY WAYLAND_DISPLAY
或
dbus-update-activation-environment --all
此命令将环境变量从窗口管理器传递到会话 dbus。如果没有这个,GUI 提示将无法通过 DBus 触发。例如,这是 seahorse 密码提示所必需的。
这是必需的,因为会话 dbus 在图形环境启动之前启动。因此,会话 dbus 不知道您所处的图形环境。必须有人或某物通过将会话 dbus 描述图形环境的环境变量传递给会话 dbus,从而告知会话 dbus 关于图形环境的信息。
gnome-keyring-daemon --start --components=secrets
在登录期间,PAM 启动 gnome-keyring-daemon --login,它负责使用登录密码保持 gnome-keyring 解锁状态。如果 gnome-keyring-daemon --login 在几分钟内未连接到会话 dbus,则 gnome-keyring-daemon --login 将会终止。如果在窗口管理器中针对会话 dbus 启动了 gnome-keyring-daemon --start ...,则 gnome-keyring-daemon --login 将连接到会话 dbus。如果您的登录会话在 gnome-keyring-daemon --login 退出之前未启动 gnome-keyring-daemon --start ...,您也可以在 gnome-keyring-daemon --login 终止之前使用任何使用 gnome-keyring 或 secret service API 的程序。
GNOME 密钥环 XDG Portal
GNOME 密钥环公开了一个 XDG Portal 后端(例如,用于通过 flatpak 沙箱化的应用程序)。为了使其在 GNOME 之外工作,必须通过修改 UseIn 键将他们的桌面环境添加到 /usr/share/xdg-desktop-portal/portals/gnome-keyring.portal 配置文件中。例如,要添加 sway
/usr/share/xdg-desktop-portal/portals/gnome-keyring.portal
[portal] DBusName=org.freedesktop.secrets Interfaces=org.freedesktop.impl.portal.Secret UseIn=gnome;sway
有关 XDG Desktop Portal 后端的更多信息,请参阅 XDG Desktop Portal#后端。
故障排除
密码未记住
如果您在登录后被提示输入密码,并且发现您的密码未保存,那么您可能需要创建/设置默认密钥环。要使用 Seahorse(也称为“密码和密钥”)执行此操作,请参阅 GNOME 帮助中的创建新的密钥环 和 更改默认密钥环。
重置密钥环
如果您收到以下错误消息:“您用于登录计算机的密码与登录密钥环的密码不再匹配”,您将需要更改您的登录密钥环密码。
或者,您可以从 ~/.local/share/keyrings/ 中删除 login.keyring 和 user.keystore 文件。请注意,这将永久删除所有已保存的密钥。删除文件后,只需注销并重新登录即可。
无法找到守护进程控制文件
登录后,以下错误可能会出现在日志中
gkr-pam: unable to locate daemon control file
如果没有其他相关问题,则此消息“可以安全地忽略”[4]。
在路径 / 上没有这样的密钥集合
如果您尝试使用 Seahorse 添加新的密钥环,您可能会由于以下原因收到此错误
~/.local/share/keyrings/目录不存在。如果缺少,请创建它。- 使用自定义
~/.xinitrc。这可以通过添加以下行来解决[5]
~/.xinitrc
source /etc/X11/xinit/xinitrc.d/50-systemd-user.sh
终端给出消息“discover_other_daemon: 1”
这是由 gnome-keyring-daemon 第二次启动引起的。由于 systemd 服务与守护进程一起交付,因此您无需以其他方式启动它。因此,请确保从您的 .zshenv、.bash_profile、.xinitrc、config.fish 或类似文件中删除启动命令。或者,您可以禁用 gnome-keyring-daemon.service 和 gnome-keyring-daemon.socket 用户单元。
密钥环初始化不正确
这有一些症状
- SSH 或 Git 等程序在等待密钥环提供密码时挂起,最终超时并出现“agent refused operation”等错误。
- Seahorse 不显示任何密钥环,并且手动创建名为“login”的密钥环似乎没有任何作用。
- 以下错误消息出现在 seahorse 的输出中
couldn't load all secret collections: No such secret collection at path: /org/freedesktop/secrets/collection/login
要解决此问题,请执行以下操作
- 重启
gnome-keyring-daemon.servicesystemd 用户单元。这应该正确初始化 login 密钥环。 - 重启
gcr-ssh-agent.servicesystemd 用户单元(如果使用)。其他代理也可能需要重启。
如果这不能解决问题,请考虑重置密钥环。