Verschlüsseltes Home-Verzeichnis und SSH (Key-Only-Authentication) unterbrechen die X11-Weiterleitung

Question 1

Mein erster Gedanke ist, ~/.profile wie folgt zu ändern:

cp "$HOME/.Xauthority" /temp/$USERNAME/
ecryptfs-mount-private 
mv /temp/$USERNAME/.Xauthority "$HOME"

Wobei /temp/$USERNAME ein Verzeichnis ist, das $USERNAME gehört und über 700 Berechtigungen verfügt. Ich bin mir jedoch nicht sicher, wie sicher diese Option ist.

Answer

Mein erster Gedanke ist, ~/.profile wie folgt zu ändern:

cp "$HOME/.Xauthority" /temp/$USERNAME/
ecryptfs-mount-private 
mv /temp/$USERNAME/.Xauthority "$HOME"

Wobei /temp/$USERNAME ein Verzeichnis ist, das $USERNAME gehört und über 700 Berechtigungen verfügt. Ich bin mir jedoch nicht sicher, wie sicher diese Option ist.

Question 2

Ich habe dies als meins verwendet /usr/local/bin/ecryptfs-mount-private:

#!/bin/sh
# eCryptfs helper script that transfers X11 Authority properly after mounting
# Copyright 2016+ by Adam Katz <https://github.com/adamhotep>, GPLv2+

# If you're root or lack the expected ecryptfs area, don't do anything extra
if [ "$(id -u)" = 0 ] || ! [ -d "/home/.ecryptfs/$USER" ]; then
  exec /usr/bin/ecryptfs-mount-private "$@"
  exit $?
fi

if grep -qs "$HOME/.Private $HOME ecryptfs" /proc/mounts; then
  exit # already mounted
fi

xauth="$(base64 $HOME/.Xauthority)"

if /usr/bin/ecryptfs-mount-private "$@"; then
  echo "$xauth" |base64 -d |xauth merge
fi

Dadurch wird das XAuth Ihres verschlüsselten Home-Servers sicher mit dem XAuth Ihres unverschlüsselten Home-Servers zusammengeführt, der die von SSH hinzugefügte Autorisierung enthält. Dies ist wichtig, wenn Sie sich von mehreren Hosts gleichzeitig aus verbinden (das Überschreiben des verschlüsselten Home-Servers ~/.Xauthoritywürde Autorisierungen für Sitzungen widerrufen, die erstellt wurden, während der verschlüsselte Home-Server gemountet war).

Es wird verwendet base64, um Binärdaten in etwas Sicheres umzuwandeln, das in einer Variablen gespeichert werden kann.

Answer

Ich habe dies als meins verwendet /usr/local/bin/ecryptfs-mount-private:

#!/bin/sh
# eCryptfs helper script that transfers X11 Authority properly after mounting
# Copyright 2016+ by Adam Katz <https://github.com/adamhotep>, GPLv2+

# If you're root or lack the expected ecryptfs area, don't do anything extra
if [ "$(id -u)" = 0 ] || ! [ -d "/home/.ecryptfs/$USER" ]; then
  exec /usr/bin/ecryptfs-mount-private "$@"
  exit $?
fi

if grep -qs "$HOME/.Private $HOME ecryptfs" /proc/mounts; then
  exit # already mounted
fi

xauth="$(base64 $HOME/.Xauthority)"

if /usr/bin/ecryptfs-mount-private "$@"; then
  echo "$xauth" |base64 -d |xauth merge
fi

Dadurch wird das XAuth Ihres verschlüsselten Home-Servers sicher mit dem XAuth Ihres unverschlüsselten Home-Servers zusammengeführt, der die von SSH hinzugefügte Autorisierung enthält. Dies ist wichtig, wenn Sie sich von mehreren Hosts gleichzeitig aus verbinden (das Überschreiben des verschlüsselten Home-Servers ~/.Xauthoritywürde Autorisierungen für Sitzungen widerrufen, die erstellt wurden, während der verschlüsselte Home-Server gemountet war).

Es wird verwendet base64, um Binärdaten in etwas Sicheres umzuwandeln, das in einer Variablen gespeichert werden kann.

Verschlüsseltes Home-Verzeichnis und SSH (Key-Only-Authentication) unterbrechen die X11-Weiterleitung

Antwort1

Antwort2

verwandte Informationen