Início / unix / Perguntas / 447615
Accepted
gmarmstrong
Asked: 2018-06-04 03:39:09 +0800 CST

Forneça a senha para udisks para desbloquear o dispositivo criptografado com LUKS

  • 772

Atualmente, faço isso para montar meu pendrive criptografado:

# Works!
pass thumbdrive-password | # get device password entry from password manager
    head -n 1 | # get the device password itself
    sudo cryptsetup luksOpen /dev/sdb thumbdrive # unlock device
udisksctl mount -b /dev/mapper/thumbdrive # mount device

Eu gostaria de fazer algo assim em vez disso:

# Does not work!
pass thumbdrive-password |
    head -n 1 |
    udisksctl unlock -b /dev/sdb # unlock device
udisksctl mount -b /dev/mapper/luks-foobar # mount device with uuid "foobar"

Isso permitiria que usuários semiprivilegiados (com permissão para org.freedesktop.udisks2.filesystem-mountno polkit) montassem sistemas de arquivos criptografados sem usar o sudo. Os Udisks não aceitarão esse método de canalização, porque ele usa um prompt de senha interativo. Como posso fornecer a senha do meu dispositivo udisksctl unlocksem digitá-la manualmente?

luks udisks

3 respostas

  1. Best Answer

    Para udisks versão 2.6.4 e posterior

    Nota: eu não testei isso. Assim que obtiver o udisks 2.6.4 (sempre que https://github.com/NixOS/nixpkgs/pull/41723 for portado para o NixOS estável).

    Atualização: agora tenho udisks 2.8.0, então posso testar minha solução. A única coisa que perdi foi remover a nova linha à direita da saída de pass (...) | head (...). Para aparar isso, use o -nsinalizador com echo, ou anexe | tr -d '\n'à headsaída . Refleti isso em minhas duas soluções abaixo.

    Solução genérica (não segura)

    Use o --key-filesinalizador e substitua a string de senha no lugar de um arquivo-chave. Para desbloquear /dev/sdbcom a senha hunter2:

    udisksctl unlock --block-device /dev/sdb --key-file <(echo -n "hunter2")

    Passar dados confidenciais diretamente pela linha de comando não é seguro, portanto, esse método deve ser evitado.

    passimplementação

    Em vez disso, recupere a string de senha com pass thumbdrive-password | head -n 1, corte a nova linha à direita e substitua-a no lugar de um arquivo-chave:

    udisksctl unlock \
    --block-device /dev/sdb \
    --key-file <(pass thumbdrive-password | head -n 1 | tr -d '\n')
    • 4

  2. O problema é que os dados não são lidos, stdinmas do terminal de controle:

    desbloquear
    Desbloqueia um dispositivo criptografado. A senha será solicitada do terminal de controle e após a conclusão bem-sucedida, o dispositivo de texto não criptografado será impresso na saída padrão.

    Você pode usar a solução alternativa sugerida por frostschutz ou usar truques para fazer a entrada do pipeline aparecer no terminal de controle, por exemplo, com expectou socat.

    pass thumbdrive-password |
    head -n 1 |
    socat - EXEC:'udisksctl unlock -b /dev/sdb',pty,setsid,ctty
    • 3

  3. nunca é tarde para contribuir. Eu simplesmente executo #sudo apt-get install udisks2-lvm2 e ele é montado automaticamente. Kubuntu 20.4 - adaptador USB para disco SATA de 1 TB.

    • -2

relate perguntas