Início / computer / Perguntas / 1787557
Accepted
dza
Asked: 2023-06-06 06:47:56 +0800 CST

systemd-ask-password-console e systemd-cryptsetup após ssh.target com prompt de senha anexado sem tempo limite

  • 772

Meu objetivo é atrasar o desbloqueio deste USB para depois que o sistema inicializar com o ssh.serviceativo e nunca expirar até que seja digitado. No entanto, o tempo limite ainda acontece e prossegue para getty. Você não pode digitar sua senha quando o prompt de senha aparecer (o TTY não está anexado)

Eu tenho copiado o que autoresulta /etc/crypttabem via systemd-cryptsetup-generator. Eu também estive olhando systemctl list-dependenciespara ver o que sysinit.targetsystemd-ask-password-console.pathpara anexar ao console TTY.

/etc/crypttab

crypt   /dev/disk/by-label/crypt        none    nofail,noauto,timeout=0,x-systemd.device-timeout=0

/etc/systemd/system/finish.target

[Unit]
Description=Mount crypt USB
Requires=multi-user.target
[email protected] systemd-ask-password-console.path
After=ssh.target
[email protected]

[Install]
WantedBy=multi-user.target

Se eu fizer Wants=mnt-crypt.mountou Wants=dev-mapper-crypt.devicerealmente respeitar os tempos limite, mas ainda não aceitar a entrada de senha.

ls -la /etc/systemd/system/multi-user.target.wants/finish.target

lrwxrwxrwx. 1 root root 33 Jun  6 00:04 /etc/systemd/system/multi-user.target.wants/finish.target -> /etc/systemd/system/finish.target

systemctl list-dependencies

●   ├─finish.target
●   │ ├─systemd-ask-password-console.path
●   │ ├─[email protected]
    │   └─...

Se o fizer, systemctl restart systemd-ask-password-console.serviceposso realmente começar a digitar a senha e ela funcionará como esperado tanto no terminal em execução quanto no console na tela ( /dev/tty1).

Parece que há um relacionamento em algum lugar que impede systemd-ask-password-consoleo início após a inicialização inicial, porque ele começará com prazer mais tarde ao lado de systemd-ask-password-wall.

Mesmo se eu copiá-lo e editá-lo como um novo serviço, ele também iniciará o systemd-ask password --watch --consoleprocesso.

systemd

1 respostas

  1. Best Answer

    Depois de muitas tentativas e erros, percebi que você não poderia reutilizar nenhuma das unidades integradas porque elas dependem fortemente das unidades no início do processo de inicialização. Temos que criar nossas próprias unidades e usar comandos simples.

    Eles vêm com um tempo limite padrão de 300s com desbloqueio (remova se desejar), então ele notificará normalmente via parede com outras solicitações de senha após o tempo limite.

    Desativamos os serviços ask-password-wall e, em seguida, consultamos uma única senha no console. Por que não usar systemd-ask-password-console.path|systemd-ask-password-console.service?

    • Porque ele também está profundamente vinculado ao processo de inicialização inicial e é iniciado --watchpara várias consultas, pois precisamos apenas de 1 neste caso.

    Como você pode ver attach-crypt-usb.service, [email protected]isso ocorre primeiro por causa da integração e, em segundo lugar, porque, caso contrário, a unidade de montagem mnt-crypt.mountacionaria o systemd-cryptsetup tentando anexar o dm-disk simultaneamente, uma vez solicitado.

    Se você tiver alguma entrada ou feedback, sinta-se à vontade para deixá-lo - voltarei e atualizarei conforme for testado em batalha.

    # /etc/systemd/system/crypt-usb.target
[Unit]
Description= Mount crypt USB late at boot

Before= [email protected]

After= sysinit.target

Conflicts= systemd-ask-password-wall.service systemd-ask-password-wall.path systemd-ask-password-console.service systemd-ask-password-console.path
Wants= attach-crypt-usb.service unlock-crypt-usb.service mount-crypt-usb.service

[Install]
WantedBy= multi-user.target


    # /etc/systemd/system/attach-crypt-usb.service
[Unit]
Description= Attach Crypt USB

After= dm-event.service

# requires After=dm-event.service
ConditionPathExists= !/dev/mapper/crypt

ConditionPathIsSymbolicLink= /dev/disk/by-label/crypt

# To avoid mnt-crypt.mount attempting [email protected]
Conflicts= umount.target [email protected]
BindsTo= dev-disk-by\x2dlabel-crypt.device
After= dev-disk-by\x2dlabel-crypt.device

[Service]
ExecStart= /lib/systemd/systemd-cryptsetup attach 'crypt' '/dev/disk/by-label/crypt' 'none' 'nofail,noauto'
ExecStop= /usr/bin/umount /mnt/crypt
ExecStopPost= /usr/sbin/cryptsetup close crypt
Type= exec
RemainAfterExit= true
Restart= on-failure

[Install]
WantedBy= crypt-usb.target


    # /etc/systemd/system/unlock-crypt-usb.service
[Unit]
Description= Unlock Crypt USB on console

Before= mount-crypt-usb.service
After= attach-crypt-usb.service dm-event.service

# requires After=dm-event.service
ConditionPathExists= !/dev/mapper/crypt

[Service]
TimeoutStartSec= 300
ExecStart= /usr/bin/systemd-tty-ask-password-agent --query --console=/dev/tty1
Type= oneshot
RemainAfterExit= yes

[Install]
WantedBy= crypt-usb.target


    # /etc/systemd/system/mount-crypt-usb.service
[Unit]
Description= Mount crypt USB and reactivate ask-password-wall

After= unlock-crypt-usb.service dev-mapper-crypt.device

Wants= mnt-crypt.mount

[Service]
ExecStart= /usr/bin/systemctl start systemd-ask-password-wall.service systemd-ask-password-wall.path
Type= oneshot
RemainAfterExit= yes

[Install]
WantedBy= crypt-usb.target
    • 1

relate perguntas