Autologin e GNOME Keyring unlock su Ubuntu 10.04

Se usando Ubuntu con il login automatico avete problemi con il portachiavi (magari durante la connessione ad una rete WiFi protetta da password, o durante l’accesso remoto al desktop via VNC) e vi si presenta la finestra qui sopra, continuate pure a laggere: questo articolo fa al caso vostro! In caso contrario… fate voi ;-).

Il responsabile di questa finestra è GNOME Keyring, il sottosistema di GNOME che si occupa di gestire la memorizzazione delle password e delle chiavi di cifratura dell’utente. Bello, ma… come funziona? Facciamo un passo indietro: supponiamo di dover utilizzare password diverse per accedere alle condivisioni di rete, alla rete WiFi etc. etc. L’approccio più semplice di tutti è quello di usare la stessa password per tutti gli scopi. A parte il fatto che un esperto di sicurezza vi riderebbe in faccia se pensaste di farlo veramente, c’è da considerare che rimarrebbe la scocciatura di dover comunque inserire a mano, digitandola, la password ogni volta che si accede ad una risorsa che la richiede.

Ecco quindi che entrano in gioco i software “keyring” (portachiavi) il cui compito è memorizzare tutte le password in un file (detto, appunto, portachiavi) e all’abbisogna fornirle ai programmi che ne fanno richiesta. In questo modo si risparmia all’utente di dover digitare le varie password ogni volta. Meccanismi di questo tipo, declinati in vari modi, ci sono in tutti i sistemi operativi moderni. In GNOME (l’ambiente desktop installato di default su Ubuntu e su altre distribuzioni Linux) funzionano così, ad esempio, Nautilus quando accede alle condivisioni di rete, NetworkManager quando si connette alle reti WiFi, il server VNC vino quando deve autenticare i client remoti.

Bisogna poi considerare un importante risvolto di sicurezza: non è bene che il portachiavi sia memorizzato in chiaro. Se, per qualsiasi motivo, il file del portachiavi dovesse cadere nelle mani sbagliate le nostre password sarebbero immediatamente compromesse. Di norma, quindi, le password sono salvate nel portachiavi cifrate attraverso una parola chiave. Ma, se ogni volta che un programma necessita di una password occorresse inserire la chiave di cifratura del portachiavi, saremmo punto e a capo.

La soluzione definitiva prevede che il portachiavi sia aperto e decifrato, o – in gergo – sbloccato, inserendo la chiave di cifratura una sola volta, e resti caricato in RAM nella sua forma in chiaro per tutta la durata della sessione (cioè fino a quando si fa il logout o si spegne il computer). In questo modo il portachiavi sul disco rimane cifrato, i programmi possono accedere alle password senza dover importunare l’utente e, dopo il logout, le password tornano ad essere indisponibili.
Per semplificare le cose, è possibile usare la stessa password sia per il login che come chiave di cifratura: così il portachiavi viene sbloccato automaticamente nel momento stesso in cui la password viene inserita per effettuare il login dovendola digitare, in effetti, una sola volta invece che due. Se invece password di login e chiave del portachiavi sono diverse, la sessione parte con il portachiavi bloccato, che tale rimane fintanto che una qualsiasi applicazione non richiede di accedervi e, conseguentemente, la chiave di cifratura non viene inserita nell’apposita finestra (quella in testa all’articolo) che si presenta all’utente.

Un caso in cui questo meccanismo va in crisi è quando si usa la funzione di login automatico di GDM. Questa funzione fa proprio quello che dice: all’avvio del PC effettua automaticamente il login dell’utente per il quale è stata configurata a farlo, il tutto senza dover inserire alcuna password. Ma, proprio perché non si è inserita la password, il portachiavi resterà bloccato comunque, anche se la password di login è uguale alla chiave di cifratura. Questo impedisce di effettuare alcune operazioni quando il computer non è “sorvegliato” da un umano, come – ma guarda un po’ – connettersi da remoto via VNC o collegarsi ad una rete WiFi protetta da password. Ma se VNC non può essere usato quando il PC cui ci si vuole collegare non è presidiato fisicamente, dove sta la sua utilità?

In attesa di un meccanismo uguale a quello di Mac OS X, sul quale il portachiavi viene sbloccato comunque – anche quando la sessione è originata da un login automatico -, la soluzione bovina, inelegante e insicura che resta è impostare un portachiavi non cifrato, non protetto da chiave, e quindi sempre sbloccato. Operativamente ci si comporta così:

  1. lanciare Applicazioni->Accessori->Password e chiavi di cifratura;
  2. nella linguetta Password, fare click con il tasto destro sulla voce Password: login;
  3. cliccare sulla voce Cambia password;
  4. inserire come Vecchia password la password attuale (che, a meno di configurazioni esoteriche, sarà uguale alla password di login) e lasciare gli altri campi in bianco;
  5. fare click su OK e confermare, nella successiva finestra di dialogo, che va bene un’archiviazione non sicura;
  6. chiudere l’applicazione Password e chiavi di cifratura.

D’ora in avanti il portachiavi di default sarà sempre sbloccato, quindi non ci saranno più problemi con il login automatico. Va opportunamente ribadito che le password saranno memorizzate in chiaro. Per rendersene conto si può dare un’occhiata al file $HOME/.gnome2/keyrings/login.keyring.

Fonti

Annunci

Un pensiero su &Idquo;Autologin e GNOME Keyring unlock su Ubuntu 10.04

  1. Grazie!
    Finalmente dopo giorni e giorni di spiegazioni esoteriche e stmapati infiniti di codici e comandi da terminale, ho trovato questo stupendo articolo che spiega in poche, semplici, e chiare parole come funziona e come configurare per le proprie necessità il keyring di Ubuntu.

    Davvero mille grazie…e speriamo che risolvano con una soluzione meno “mandriana” di questa nelle prossime versioni.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...