pam_panic
0.3.5
pam_panic は、機密データを保護し、緊急事態に備えたパニック機能を提供する PAM モジュールです。
次の 2 つのオプションから 1 つを選択できます。
キーとして機能するリムーバブル メディアには、認証キーとパニック キーの 2 つがあります。認証キーを使用するとパスワード プロンプトに進むことができますが、パニック キーを指定すると、LUKS ヘッダーが安全に消去され、データが読み取れなくなります。
設定できるパスワードは、キー パスワードとパニック パスワードの 2 つです。キー パスワードを使用すると、元のパスワード プロンプトに進むことができますが、パニック パスワードを指定すると、LUKS ヘッダーが安全に消去され、データが読み取れなくなります。
がある
新しいリリースには PPA アップデートがあります。
PPA を使用してパッケージをインストールするには:
sudo add-apt-repository ppa:bandie/pampanic
sudo apt-get update
sudo apt-get install pampanic
PAM ヘッダーだけでなく、GCC なども必要になります。一部のディストリビューションでは、PAM ヘッダーがlibpam0g-devとしてパッケージ化されています。また、 dialog 、 autoconf 、 gettext必要です。一部にはautopointも必要です。
コンパイルしてインストールするには、プロジェクトのルート ディレクトリ内で次の手順を実行します。
$ [ ! -e ./configure ] && autoreconf -i
$ ./configure
$ make
$ sudo make install注: reboot 、 poweroff 、およびcryptsetupコマンドのパスは、コンパイル時にモジュールに渡されます。
リムーバブル メディアを使用する場合は、GPT フォーマットされたリムーバブル ストレージ デバイスが 2 台必要で、そのデバイスには少なくとも 1 つのパーティションが必要です。これを実現する方法を示すfdiskセッションの例を次に示します。
$ sudo fdisk /dev/sdc
Welcome to fdisk (util-linux 2.31.1).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.
Command (m for help): g
Created a new GPT disklabel (GUID: AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA).
Command (m for help): n
Partition number (1-128, default 1):
First sector (2048-15661022, default 2048):
Last sector, +sectors or +size{K,M,G,T,P} (2048-15661022, default 15661022):
Created a new partition 1 of type 'Linux filesystem' and of size 7.5 GiB.
Command (m for help): wパーティションの UUID は/dev/disk/by-partuuid/にあります。お気に入りのシェルでls -l /dev/disk/by-partuuid/と入力すると、どのデバイスがどのデバイスであるかを確認できます。
より簡単な方法は、 pam_panic_configを実行することです。
難しい方法:
モジュールを設定するには、適切な PAM 設定ファイルに以下を追加します (これらのファイルの詳細については、 pam.conf(5)を参照してください)。
auth requisite /usr/local/lib/security/pam_panic.so auth=<UUID> reject=<UUID> reboot serious=<UUID>
account requisite /usr/local/lib/security/pam_panic.so
auth requisite /usr/local/lib/security/pam_panic.so password reboot serious=<UUID>
account requisite /usr/local/lib/security/pam_panic.so
パスワードを設定するには、好みのシェルで root としてpam_panic_pw実行します。
詳細については、 man 8 pam_panicおよびman 1 pam_panic_pwを参照してください。
再起動/シャットダウンを発行するときにメモリからすべての情報を確実に消去したい場合は、オプションpage_poison=onおよびslub_debug=Pカーネル引数に追加するとよいでしょう。 GRUB2 の場合は、これを/etc/default/grubのGRUB_CMDLINE_LINUXエントリに追加してから、GRUB2 構成のリビルドを発行します: grub-mkconfig -o /boot/grub/grub.cfg
