Chaospott Wiki (Alt)

Altes wiki. Hilf doch beim Migrieren mit! https://wiki.chaospott.de

Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Project
name pam_panic
status stable
descr. Bei Panik, mach verschlüsseltes kaputt!
owner Bandie
location git.chaospott.de
projekte:pam_panic:start

Dies ist eine alte Version des Dokuments!


pam_panic

pam_panic ist ein Softwareprojekt, welches unter mindestens zwei verschiedene Linux-Distributionen getestet wurde.

Idee

Das Ziel ist, Daten in einer verschlüsselten LUKS-Partition zu zerstören, sobald man ein bestimmtes Passwort oder ein bestimmten USB-Stick am bereits kryptogaphisch geöffneten System eingibt; wie zum Beispiel bei einem Login-Screen oder Screensaver.

Rechtliche Voraussetzung

Man sollte sich im Rechtsstaat befinden und sicher sein, dass von exekutiver Seite keine Spiegelung der Festplatte erstellt worden ist.

Systemvoraussetzung

Ein Linux, welches eine Partition enthält, die mit LUKS verschlüsselt wurde. Ubuntu-Systeme bieten dies beim Installieren an.

Wenn man eines der folgenden Systeme benutzt, existiert dafür ein fertiges Paket, was man sich installieren kann:

Bau des Paketes

Falls dein Betriebssystem nicht dabei ist und es dennoch ausprobieren/verwenden möchtest, muss es für das Betriebssystem gebaut werden. Wenn du ein altes Ubuntu Xenial benutzt, siehe dir das hier an.

Allgemein gesprochen gibt es folgende Abhängigkeiten:

  • git
  • automake
  • autoconf
  • make
  • m4
  • fakeroot
  • which
  • gcc
  • groff
  • gettext
  • gawk
  • pam (developer, auch libpam0g-dev)
  • cryptsetup
  • dialog

Wer schon mal Dinge gebaut hat, für denen ist diese Liste kaum eine Überraschung. "dialog" wird für das Konfigurationsmenü gebraucht.

Mit einem

git clone https://git.chaospott.de/Bandie/pam_panic

holen wir uns das Projekt.

Anschließend gehen wir mit cd pam_panic in das Projekt rein und führen dieses in der Reihenfolge aus:

autoreconf -i
./configure
make
sudo make install

Konfiguration

In der Kommandozeile führt man sudo pam_panic_config auf. Dieses Menü erstellt eine gültige pam_panic-Konfiguration. Dabei stellt es dich vor die Wahl, ob du ein Passwort oder ein USB-Stick einrichten möchtest. Die USB-Sticks müssen GPT-formatiert sein.

Anschließend muss pam_panic noch in das gegebene System durch includes in anderen Dateien der /etc/pam.d erfolgen. Man beachte dabei die Hinweise des Konfigurationsprogramms.

Ein Beispiel für xscreensaver:

#%PAM-1.0

auth       include      pampanic
account    include      pampanic

auth       include      system-auth
account    include      system-auth

Nachdem man dieses hinzugefügt hat, ist pam_panic sofort aktiv. In der obigen Beispiel-Konfiguration bedeutet das, dass xscreensaver zu erst nach dem pam_panic USB-Gerät oder Passwort fragen wird, bevor es das normale Benutzerpasswort verlangt.

projekte/pam_panic/start.1562455397.txt.gz · Zuletzt geändert: 07.07.2019 01:23 von Bandie