pam_panic
0.3.5
pam_panic — это модуль PAM, который защищает конфиденциальные данные и обеспечивает функцию паники в экстренных ситуациях.
Вы можете выбрать один из двух вариантов:
Есть два съемных носителя, которые работают как ключи: ключ аутентификации и ключ паники. Ключ аутентификации позволит вам перейти к запросу пароля, тогда как ключ паники, если он предоставлен, надежно сотрет заголовок LUKS, сделав данные нечитаемыми.
Вы можете установить два пароля: пароль ключа и пароль паники. Ключевой пароль позволит вам перейти к исходному запросу пароля, тогда как пароль паники, если он указан, надежно сотрет заголовок LUKS, сделав данные нечитаемыми.
Есть
Для новых выпусков имеется обновление PPA.
Чтобы установить пакет с помощью PPA:
sudo add-apt-repository ppa:bandie/pampanic
sudo apt-get update
sudo apt-get install pampanic
Вам понадобится GCC или аналогичный, а также заголовки PAM. Некоторые дистрибутивы упаковывают заголовки PAM как libpam0g-dev . Также вам нужны dialog , autoconf и gettext . Некоторым также требуется autopoint .
Чтобы скомпилировать и установить его, выполните следующие действия в корневом каталоге проекта:
$ [ ! -e ./configure ] && autoreconf -i
$ ./configure
$ make
$ sudo make install Примечание. Пути команд reboot , poweroff и cryptsetup передаются модулю во время компиляции.
Если вы хотите использовать съемный носитель, вам понадобятся два съемных запоминающих устройства в формате GPT, и на этих устройствах должен быть хотя бы один раздел. Вот пример сеанса fdisk , показывающий, как это можно сделать:
$ sudo fdisk /dev/sdc
Welcome to fdisk (util-linux 2.31.1).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.
Command (m for help): g
Created a new GPT disklabel (GUID: AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA).
Command (m for help): n
Partition number (1-128, default 1):
First sector (2048-15661022, default 2048):
Last sector, +sectors or +size{K,M,G,T,P} (2048-15661022, default 15661022):
Created a new partition 1 of type 'Linux filesystem' and of size 7.5 GiB.
Command (m for help): w Вы найдете UUID вашего раздела в /dev/disk/by-partuuid/ . Вы можете узнать, какое устройство какое, набрав ls -l /dev/disk/by-partuuid/ в своей любимой оболочке.
Более простой способ — запустить pam_panic_config .
Трудный путь:
Чтобы настроить модуль, добавьте следующее в соответствующие файлы конфигурации PAM: (подробную информацию об этих файлах см. pam.conf(5) ).
auth requisite /usr/local/lib/security/pam_panic.so auth=<UUID> reject=<UUID> reboot serious=<UUID>
account requisite /usr/local/lib/security/pam_panic.so
auth requisite /usr/local/lib/security/pam_panic.so password reboot serious=<UUID>
account requisite /usr/local/lib/security/pam_panic.so
Чтобы установить пароли, запустите pam_panic_pw от имени пользователя root в предпочитаемой вами оболочке.
Дополнительную информацию см. в man 8 pam_panic и man 1 pam_panic_pw .
Если вы хотите быть уверены, что ваша память очищена от всей информации при перезагрузке/выключении, вы можете добавить параметры page_poison=on и slub_debug=P к аргументам ядра. Для GRUB2 вы просто добавляете его в свою запись GRUB_CMDLINE_LINUX в /etc/default/grub , а затем выполняете пересборку конфигурации GRUB2: grub-mkconfig -o /boot/grub/grub.cfg
