pam_autologin
pam_autologin 自动登录用户。与其他自动登录方法不同,此模块保存密码并在正常的身份验证过程中使用它。然后密码可以被 pam_mount 使用,以挂载加密的 home 目录,或者被 GNOME/Keyring 使用,以解锁登录密钥环。
安装
安装 pam_autologinAUR 软件包。
要为特定应用程序启用该模块,请编辑 /etc/pam.d/ 中的其配置,例如
/etc/pam.d/login
#%PAM-1.0 auth required pam_autologin.so auth include system-local-login account include system-local-login session include system-local-login
自动登录行应该是 auth 部分中的第一个模块,以允许它设置用户名和密码。如果另一个模块首先出现并且需要用户名,它将提示您输入。
自动登录在每个 TTY 上只会发生一次,因为当您注销时,您很可能打算登录到另一个帐户。该模块将搜索 /var、/log、/wtmp 路径,以查找自上次启动以来在其 TTY 上的登录。要每次都自动登录,您可以指定 always 选项
auth required pam_autologin.so always
如果登录过程由基于 PAM 的应用程序运行,例如显示管理器,或者像 loginxAUR 这样的 getty/login 组合,则无需进一步配置。但是,普通的 agetty 不是 PAM 应用程序,并且始终会提示输入用户名。要为其启用自动登录,您需要为 getty 提供 --skip-login 选项以立即启动登录,方法是为 systemd 的 getty@.service 添加 drop-in 文件
/etc/systemd/system/getty@.service.d/override.conf
[Service] ExecStart= ExecStart=-/sbin/agetty --skip-login - $TERM
配置
告诉自动登录模块保存下一次登录,方法是创建其配置文件
# touch /etc/security/autologin.conf
重启,您应该看到一条消息告诉您下一次登录将被保存。正常登录。再次重启,您应该自动登录。
当您想要停止自动登录时,删除配置文件
# shred -u /etc/security/autologin.conf
使用 shred 实用程序在取消链接文件之前将其归零。该文件包含您的用户名和密码,否则它们可能会最终出现在您的未分配存储区域中,一些黑客可能会在那里找到它们。虽然该文件使用随机密钥进行混淆处理,但密钥必须存储在文件本身中,以允许自动登录模块自动读取它,因此只能混淆处理,而不能保护。
安全性
自动登录经常被不公正地贬低为不安全,因此对该主题的一些观察似乎是有必要的。要确定它对您是否不安全,您必须问“对什么不安全?” 对于绝大多数用户来说,只有两种威胁需要关注:恶意软件和盗窃。
恶意软件和各种远程黑客威胁通过以用户权限运行的程序中的错误进入,通常是 Web 浏览器。此模块保存的登录信息只能由 root 读取,因此恶意软件首先需要权限提升漏洞。以 root 权限运行的恶意软件已经可以通过使用键盘记录器记录您的登录信息来获取您的密码,因此在这种情况下,自动登录不会降低您的安全性。
盗窃是另一种常见的威胁,也是自动登录确实允许窃贼完全访问所有内容的威胁。但是盗窃对您来说有多大的担忧呢?如果您在家中使用台式机,那么在大多数地方,它被盗的可能性微乎其微。与您在新闻中经常听到的相反,在主要城市以外的地方,入室盗窃并不常见。如果您在家工作,您会特别安全;窃贼不喜欢与人打交道。在台式机上启用自动登录,您几乎与没有它时一样安全,而不输入密码的便利性很可能超过任何剩余的担忧。
另一方面,笔记本电脑更容易被盗。任何时候您在公共场所无人看管地离开它,当您返回时发现它不见了,您都不应该感到惊讶。在笔记本电脑上使用自动登录通常不是一个好主意,但笔记本电脑并非总是在公共场所使用。如果您只在家中使用笔记本电脑,那么它被盗的风险并不比台式机更大,并且在其上使用自动登录也是一样安全的。如果您在家外使用笔记本电脑,但频率不高,那么您可以在离开家之前禁用自动登录。这样,您仍然可以保持所有内容加密,同时仍然可以在安全位置享受自动登录的便利。
如您所见,除了在公共场所携带的笔记本电脑上,使用 pam_autologin 是相当安全的,您不应害怕这样做。