GNOME/Keyring

GNOME Keyring 是 "GNOME 中用于存储密钥、密码、秘钥、证书并将它们提供给应用程序的组件集合。"

它提供了 org.freedesktop.secrets API，该 API 允许客户端应用程序使用用户登录会话中运行的服务安全地存储密钥。

安全

防范恶意应用程序

过去曾报告过关于 GNOME/Keyring API 行为的安全问题（称为 CVE-2018-19358）。如果密钥环未锁定，任何应用程序都可以轻松读取任何密钥。并且，如果用户已登录，则登录/默认集合将处于解锁状态。默认情况下不使用可用的 D-Bus 保护机制（涉及 busconfig 和 policy XML 元素），并且无论如何都容易绕过。

GNOME 项目不同意此漏洞报告，因为根据他们声明的安全模型，不应允许不受信任的应用程序与密钥服务通信。

通过 Flatpak 沙盒化的应用程序仅对会话总线具有过滤后的访问权限。

会话锁定时，密钥环不会锁定

当会话锁定时，密钥环不会自动锁定。[1] 这意味着密码仍然保留在内存中，这会使系统容易受到 DMA 攻击。

安装

gnome-keyring 是 gnome 组的成员，因此通常存在于运行 GNOME 的系统上。该软件包也可以单独安装。还应安装 libsecret 以授予其他应用程序访问您的密钥环的权限。虽然 libgnome-keyring 已被弃用（并被 libsecret 取代），但某些应用程序可能仍然需要它。

gnome-keyring-daemon 在登录时通过 systemd 用户服务自动启动。它也可以根据请求通过套接字启动。

与 GNOME Keyring 相关的额外实用程序包括

secret-tool — 从命令行访问 GNOME Keyring（以及任何其他实现 DBus Secret Service API 的服务）。

https://wiki.gnome.org/Projects/Libsecret || libsecret

lssecret — 使用 libsecret（例如 GNOME Keyring）列出所有密钥项。

https://gitlab.com/GrantMoyer/lssecret || lssecret-git^AUR

使用图形界面管理

您可以使用 Seahorse 管理 GNOME Keyring 的内容；安装 seahorse 软件包。

可以更改甚至删除密钥环的密码（例如，默认密钥环 "Login"）。有关更多信息，请参阅 GNOME 帮助中的创建新密钥环和更新密钥环密码。

使用密钥环

PAM 模块 pam_gnome_keyring.so 部分初始化 GNOME Keyring，在此过程中解锁 login 密钥环。gnome-keyring-daemon 通过 systemd 用户服务自动启动。

PAM 步骤

注意： 要在不自动登录的情况下使用自动解锁，用户帐户的密码应与 login 密钥环的密码相同。请参阅 #使用用户密码自动更改密钥环密码。

提示

要将自动解锁与自动登录一起使用，您可以为密钥环设置空白密码。请注意，在这种情况下，密钥环的内容以未加密的方式存储。
或者，如果使用 GDM 和 LUKS，如果 GDM 与您的 LUKS 密码匹配，则 GDM 可以解锁您的密钥环。为了使其工作，您需要在 mkinitcpio.conf 中的 systemd init 以及相应的内核参数。有关更多详细信息，请参阅 [2]。
如果您希望跳过 PAM 步骤，则必须手动或通过其他方法解锁密钥环。请参阅 #在桌面环境（KDE、GNOME、XFCE 等）之外使用 gnome-keyring-daemon 和 GnomeKeyring wiki。

当使用显示管理器时，密钥环在大多数情况下都可以开箱即用。GDM, LightDM, LXDM 和 SDDM 已经具有必要的 PAM 配置。对于不自动解锁密钥环的显示管理器，请编辑相应的文件，而不是下面提到的 /etc/pam.d/login。

当使用基于控制台的登录时，编辑 /etc/pam.d/login

在 auth 部分的末尾添加 auth optional pam_gnome_keyring.so，并在 session 部分的末尾添加 session optional pam_gnome_keyring.so auto_start。

/etc/pam.d/login

#%PAM-1.0

auth       required     pam_securetty.so
auth       requisite    pam_nologin.so
auth       include      system-local-login
auth       optional     pam_gnome_keyring.so
account    include      system-local-login
session    include      system-local-login
session    optional     pam_gnome_keyring.so auto_start

注意： 如果使用 greetd 登录管理器，则需要修改的文件是 /etc/pam.d/greetd，而不是 /etc/pam.d/login。

SSH 密钥

GNOME Keyring 可以充当 ssh-agent 的包装器。在该模式下，每次您需要解锁 SSH 密钥时，它都会显示一个 GUI 密码输入对话框。该对话框包含一个复选框，用于记住您输入的密码，如果选中该复选框，则允许将来完全无密码地使用该密钥，只要您的登录密钥环已解锁。

自版本 1:46 以来，SSH 功能在 gnome-keyring-daemon 构建中默认禁用。它已移至 /usr/lib/gcr-ssh-agent，这是 gcr-4 软件包的一部分。

设置 gcr

您需要做的就是

启用 gcr-ssh-agent.socket systemd 用户单元。
启动 gcr-ssh-agent.socket systemd 用户单元一次。这将创建套接字文件 $XDG_RUNTIME_DIR/gcr/ssh。创建文件后，第 1 步足以使套接字单元自动启动。
如果 gcr-ssh-agent.socket 单元处于活动状态，则无需手动配置 SSH_AUTH_SOCK 环境变量。用户注销并重新登录后，SSH_AUTH_SOCK 环境变量的值应设置为 $XDG_RUNTIME_DIR/gcr/ssh。已知这适用于使用 fish 作为默认 shell 的用户的 Gnome Console 应用程序。

设置环境变量的方法有很多种，您使用的方法将取决于您的具体设置和偏好。

使用方法

您可以运行

$ ssh-add -L

来列出正在运行的代理中加载的 SSH 密钥。这可以帮助确保您启动了适当的服务并正确设置了 SSH_AUTH_SOCK。

要将密码永久保存在密钥环中，请使用 seahorse 软件包中的 ssh-askpass

$ /usr/lib/seahorse/ssh-askpass my_key

提示： 在某些情况下（例如，当您不使用登录管理器或桌面环境时），另一种选择是使用 Seahorse secret-tool 来存储密码。

要从另一个目录手动添加 SSH 密钥

$ ssh-add ~/.private/id_rsa
Enter passphrase for ~/.private/id_rsa:

注意： 您必须在与私钥相同的目录中拥有相应的 .pub 文件（例如，示例中的 ~/.ssh/id_rsa.pub）。此外，请确保公钥是私钥的文件名加上 .pub（例如，my_key.pub）。

要禁用所有手动添加的密钥

$ ssh-add -D

禁用

如果您希望运行备用 SSH 代理（例如直接 ssh-agent 或 gpg-agent），最好禁用 GNOME Keyring 的 ssh-agent 包装器。这样做并非绝对必要，因为每个代理都在不同的套接字上侦听，并且可以使用 SSH_AUTH_SOCK 在它们之间进行选择，但它可以使调试问题更容易。请注意，GNOME 实现不支持许多脚本功能，例如 BatchMode [3]。

要禁用 gcr-ssh-agent，请确保 gcr-ssh-agent.socket 和 gcr-ssh-agent.service 在 systemd 中均已禁用并已停止。

技巧与诀窍

与应用程序集成

Chromium

锁定密钥环

$ dbus-send --session --dest=org.freedesktop.secrets \
   --type=method_call  \
   /org/freedesktop/secrets \
   org.freedesktop.Secret.Service.Lock \
   array:objpath:/org/freedesktop/secrets/collection/login

此命令执行 D-Bus 方法调用以锁定 login 密钥环。或者，如果您想使用 GUI，可以使用 Seahorse 锁定密钥环。

刷新密码

$ gnome-keyring-daemon -r -d

此命令启动 gnome-keyring-daemon，关闭先前运行的实例。

Git 集成

当您通过 HTTPS 推送时，GNOME 密钥环与 Git 结合使用非常有用。需要安装 libsecret 软件包才能使此功能可用。

配置 Git 以使用 libsecret 助手

$ git config --global credential.helper /usr/lib/git-core/git-credential-libsecret

下次运行 git push 时，如果您的密钥环尚未解锁，系统将提示您解锁。

GnuPG 集成

几个使用 GnuPG 的应用程序需要设置 pinentry-program。设置以下内容以使用 GNOME 3 pinentry，以便 GNOME Keyring 管理密码提示。

~/.gnupg/gpg-agent.conf

pinentry-program /usr/bin/pinentry-gnome3

另一种选择是为 GPG 强制环回，这应该允许在应用程序中输入密码。

重命名密钥环

密钥环的显示名称（即，Seahorse 和 file 中出现的名称）可以通过更改未加密密钥环文件中的 display-name 值来更改。密钥环通常存储在 ~/.local/share/keyrings/ 中，文件扩展名为 .keyring。

使用用户密码自动更改密钥环密码

注意： 这仅影响 login 密钥环。

附加 password optional pam_gnome_keyring.so 到 /etc/pam.d/passwd

/etc/pam.d/passwd

...
password	optional	pam_gnome_keyring.so

在桌面环境（KDE、GNOME、XFCE 等）之外使用 gnome-keyring-daemon

启动

本文或本节的事实准确性存在争议。

原因： 至少 xinit 和 SDDM 执行 /etc/X11/xinit/xinitrc.d/ 中的所有脚本，而 sway 提供 /etc/sway/config.d/50-systemd-user.conf，因此问题不是“在桌面环境之外”。如果 gnome-keyring 需要 XDG Autostart，则安装/配置部分应说明这一点。（在 Talk:GNOME/Keyring#Launching gnome-keyring-daemon outside desktop environments (KDE,_GNOME,_XFCE,...) 中讨论）

如果您正在使用 sway、i3 或任何不执行的窗口管理器

/etc/xdg/autostart/gnome-keyring-*.desktop
/etc/X11/xinit/xinitrc.d/50-systemd-user.sh

您的窗口管理器需要在窗口管理器启动期间执行以下命令。这些命令不需要按任何特定顺序执行。

dbus-update-activation-environment DISPLAY XAUTHORITY WAYLAND_DISPLAY

或

dbus-update-activation-environment --all

此命令将环境变量从窗口管理器传递到会话 dbus。没有这个，GUI 提示将无法通过 DBus 触发。例如，seahorse 密码提示需要此操作。

这是必需的，因为会话 dbus 在图形环境启动之前启动。因此，会话 dbus 不知道您所在的图形环境。必须有人或某物通过将会话 dbus 描述图形环境的环境变量传递给会话 dbus，从而教会会话 dbus 了解图形环境。

gnome-keyring-daemon --start --components=secrets

在登录期间，PAM 启动 gnome-keyring-daemon --login，它负责使用登录密码保持 gnome-keyring 解锁状态。如果 gnome-keyring-daemon --login 在几分钟内未连接到会话 dbus，则 gnome-keyring-daemon --login 将终止。如果在窗口管理器中针对会话 dbus 启动了 gnome-keyring-daemon --start ...，则 gnome-keyring-daemon --login 将连接到会话 dbus。如果您的登录会话在 gnome-keyring-daemon --login 退出之前未启动 gnome-keyring-daemon --start ...，您也可以在 gnome-keyring-daemon --login 终止之前使用任何使用 gnome-keyring 或密钥服务 API 的程序。

GNOME Keyring XDG Portal

本文或本节的事实准确性存在争议。

原因： 修改 /usr/share 中的软件包文件，将在 pacman 升级时撤消（在 Talk:GNOME/Keyring 中讨论）

GNOME Keyring 公开了一个 XDG Portal 后端（例如，用于通过 flatpak 沙盒化的应用程序）。为了使其在 GNOME 之外工作，必须通过修改 UseIn 键将他们的桌面环境添加到 /usr/share/xdg-desktop-portal/portals/gnome-keyring.portal 配置文件中。例如，要添加 sway

/usr/share/xdg-desktop-portal/portals/gnome-keyring.portal

[portal]
DBusName=org.freedesktop.secrets
Interfaces=org.freedesktop.impl.portal.Secret
UseIn=gnome;sway

有关 XDG Desktop Portal 后端的更多信息，请参阅 XDG Desktop Portal#Backends。

故障排除

密码未被记住

如果您在登录后被提示输入密码，并且发现您的密码未保存，则您可能需要创建/设置默认密钥环。要使用 Seahorse（又名“密码和密钥”）执行此操作，请参阅 GNOME 帮助中的创建新密钥环和更改默认密钥环。

重置密钥环

如果您收到以下错误消息：“您用于登录计算机的密码与您的登录密钥环的密码不再匹配”，您将需要更改您的登录密钥环密码。

或者，您可以从 ~/.local/share/keyrings/ 中删除 login.keyring 和 user.keystore 文件。请注意，这将永久删除所有已保存的密钥。删除文件后，只需注销并重新登录即可。

无法找到守护进程控制文件

登录后，以下错误可能会出现在日志中

gkr-pam: unable to locate daemon control file

如果没有其他相关问题，则可以“安全地忽略”此消息 [4]。

在路径 / 中没有此类密钥集合

如果您尝试使用 Seahorse 添加新的密钥环，则可能会由于以下原因收到此错误

~/.local/share/keyrings/ 目录不存在。如果缺少，请创建它。
使用了自定义的 ~/.xinitrc。这可以通过添加以下行来解决 [5]

~/.xinitrc

source /etc/X11/xinit/xinitrc.d/50-systemd-user.sh

终端显示消息 "discover_other_daemon: 1"

这是由 gnome-keyring-daemon 第二次启动引起的。由于 systemd 服务与守护进程一起交付，因此您无需以其他方式启动它。因此，请确保从您的 .zshenv, .bash_profile, .xinitrc, config.fish 或类似文件中删除启动命令。或者，您可以禁用 gnome-keyring-daemon.service 和 gnome-keyring-daemon.socket 用户单元。

密钥环初始化不正确

这有一些症状

SSH 或 Git 等程序在等待密钥环提供密码时挂起，最终超时并出现诸如 "agent refused operation" 之类的错误。
Seahorse 不显示任何密钥环，并且手动创建名为 "login" 的密钥环似乎没有任何作用。

以下错误消息出现在 seahorse 的输出中

couldn't load all secret collections: No such secret collection at path: /org/freedesktop/secrets/collection/login

要解决此问题，请执行以下操作

重启 gnome-keyring-daemon.service systemd 用户单元。这应该正确初始化 login 密钥环。
重启 gcr-ssh-agent.service systemd 用户单元（如果使用）。其他代理也可能需要重启。

如果这不能解决问题，请考虑重置密钥环。

参见