"Panic Password" unter Linux

11

Ich führe Linux auf meinem Netbook mit einem verschlüsselten Home-Verzeichnis aus (entschlüsselt, wenn ich mich anmelde). Eine Idee, die ich hatte (teilweise von Cory Doctorows Little Brother ), war, ein Passwort zu haben, das ich eingeben konnte, um mich bei einem gefälschten Benutzerkonto anzumelden, während ich einen Befehl ausführte (z. B. den Inhalt des Festplattenlaufwerks zu löschen oder die Verschlüsselungskennwörter in etwas Zufälliges zu ändern und sehr lang).

Irgendwelche Ideen, wie das geht? (Antworten mit obskuren Kernelmodulen usw. sind willkommen, obwohl ein nettes Befehlszeilenprogramm wie immer ein bisschen netter sein könnte! Ich möchte besonders den gleichen Benutzernamen, aber nicht das gleiche Passwort haben: Benutzer bob meldet sich mit dem Passwort ABC an und wird angemeldet. aber Benutzer Bob meldet sich mit Passwort 123 an und bekommt seine Sachen gelöscht.)

linux security passwords encryption Elliot Hughes
quelle
Vielleicht verstehen es andere, aber nur für den Fall, dass ich nicht der einzige bin, der dieses Buch nicht bemerkt: Gibt es Details darüber, was dieses Buch über Panikberichte sagt? (Ich könnte es selbst lesen, da anscheinend die niederländische Version offiziell auch als DRM-freier Download ohne Bier unter craphound.com/littlebrother erhältlich ist. )
Arjan
1
Es spricht nicht im Detail - der Erzähler beschreibt kurz den Wunsch, er hätte ein Panikpasswort auf seinem Handy erstellt, bevor er sein Passwort an DHS weitergibt.
Elliot Hughes
Aha, die Antwort von elf81 und Ihr Kommentar machen deutlich, dass ich den Punkt verfehlt habe. :-) (Fügte es Ihrer Frage hinzu, nur für den Fall, dass es mehr Leute wie mich gibt.)
Arjan
Ich habe Little Brother zu Hause ... Ich werde es lesen , nachdem ich fertig bin Mostly Harmless . :)
Mateen Ulhaq

Antworten:

2

Es gibt jetzt ein GPLv2-lizenziertes PAM-Modul , das genau das tut, was Sie wünschen. Es ermöglicht demselben Konto, sich mit unterschiedlichen Passwörtern bei derselben Unix-Box anzumelden, je nachdem, was der Benutzer bei der Anmeldung wünscht. Interessanterweise erwähnt der Autor dasselbe Buch in seiner Beschreibung des Moduls.

Sie schreiben Ihre eigenen Skripte, die den verschiedenen Passwörtern zugeordnet werden - vom automatischen Anhängen eines verschlüsselten Dateisystems bei Eingabe eines "sicheren" bis zum automatischen Löschen desselben bei Eingabe des "Panik" -Systems. Und alles dazwischen.

Ich wünschte, etwas Ähnliches wäre bei E-Mail-Anbietern und verschiedenen Social-Media-Diensten erhältlich - um bestimmte Postfächer, Bilder usw. auszublenden, wenn sich der Benutzer mit einem speziellen Passwort anmeldet. Vielleicht kommen wir eines Tages auch dazu ...

Mikhail T.
quelle
8

Da Ihr Beitrag sehr allgemein und nicht detailliert war, muss meine Antwort sehr allgemein und nicht detailliert sein. Viele dieser Schritte werden verteilungsspezifisch sein.

In Ihrer Situation würde ich Folgendes tun:

  1. Schreiben Sie ein Skript, das die gewünschte Zerstörung ausführt.
  2. Erstellen Sie ein Panikbenutzerkonto und geben Sie dem Benutzer ein Kennwort.
  3. Machen Sie diesen Benutzer zu einem Mitglied der wheelGruppe, damit seine Aktionen wie die von root ausgeführt werden.
  4. Legen Sie den Eigentümer des Skripts als Panikbenutzer fest.
  5. Stellen Sie die Berechtigungen des Skripts so ein, dass es ausgeführt werden kann.
  6. Legen Sie die Anmeldesequenz dieses Benutzers so fest, dass das in Schritt 1 erstellte Skript ausgeführt wird.
  7. Hoffe, dass Sie sich nie als Panikbenutzer anmelden müssen!

Viel Glück!

elf81
quelle
Gute Antwort - was ich mir jedoch in meinem ursprünglichen Beitrag erhofft hatte, war, denselben Benutzernamen, aber nicht dasselbe Passwort zu haben (dh Benutzer Bob meldet sich mit dem Passwort ABC an und wird angemeldet, aber Benutzer Bob meldet sich mit Passwort 123 an und erhält seine Sachen gelöscht). Ich wollte dies vermeiden, da ich dies für die verschiedenen Distributionen tun möchte, die ich zu unterschiedlichen Zeiten installiert habe.
Elliot Hughes
(Wenn es Sie interessiert, läuft auf meinem Netbook derzeit Ubuntu 9.10)
Elliot Hughes
In diesem Fall müssten Sie mit der Login-Anwendung etwas Verrücktes machen. Sie müssen es nur bearbeiten, um ein bestimmtes Skript auszuführen, wenn ein bestimmtes Kennwort verwendet wird. Ich weiß nicht, wie ich das machen soll, und möglicherweise müssen Sie sogar Ihren eigenen Login-Manager schreiben.
Jonno_FTW