{"id":2312,"date":"2008-06-03T11:00:23","date_gmt":"2008-06-03T08:00:23","guid":{"rendered":"http:\/\/mummila.net\/vuorovaikutus\/?p=128"},"modified":"2008-06-03T11:00:23","modified_gmt":"2008-06-03T08:00:23","slug":"inklusiivinen-kayttooikeustason-kohotus-pam-usbn-avulla","status":"publish","type":"post","link":"https:\/\/mummila.net\/nuudelisoppa\/2008\/06\/03\/inklusiivinen-kayttooikeustason-kohotus-pam-usbn-avulla\/","title":{"rendered":"[Ratkaisu] Inklusiivinen k\u00e4ytt\u00f6oikeustason kohotus PAM USB:n avulla"},"content":{"rendered":"<dl>\n<dt>L\u00e4ht\u00f6kohta<\/dt>\n<dd>Pakettienhallinnassa <code>pamusb-tools<\/code> ja <code>libpam-usb<\/code> ovat asennettuna. Olen m\u00e4\u00e4ritellyt <code>PAM USB:n<\/code> avulla tunnistautumismenetelm\u00e4kseni USB-porttiin kytketyn muistitikun.<\/dd>\n<dt>Ongelma<\/dt>\n<dd>Turvallisuuden vuoksi haluan sulkea <a href=\"http:\/\/mummila.net\/vuorovaikutus\/2008\/04\/30\/pam-usb-pois-paalta-xscreensaverin-nayton-lukituksen-avauksessa\/\">USB-muistitikulla tunnistautumisen oletusarvoisesti pois k\u00e4yt\u00f6st\u00e4<\/a>, ja m\u00e4\u00e4ritell\u00e4 sen erikseen k\u00e4ytt\u00f6\u00f6notetuksi niiden palveluiden osalta, joissa haluan sit\u00e4 hy\u00f6dynt\u00e4\u00e4: j\u00e4rjestelm\u00e4n asetusten tekemisen ja yll\u00e4pitot\u00f6iden vaatiman oikeustason kohotuksen yhteydess\u00e4.<\/dd>\n<dt>Ratkaisu<\/dt>\n<dd>M\u00e4\u00e4rittelen <code>\/etc\/pamusb.conf<\/code> -tiedostoni alussa seuraavanlaisen osion:<\/p>\n<blockquote>\n<pre><code>&lt;defaults&gt;\n  &lt;option name=\"enable\"&gt;false&lt;\/option&gt;\n&lt;\/defaults&gt;<\/code><\/pre>\n<\/blockquote>\n<p>   Kun olen tallentanut tiedostoon tekem\u00e4ni muutokset, muistitikulla tunnistautuminen on oletusarvoisesti pois k\u00e4yt\u00f6st\u00e4.<br \/>\n   M\u00e4\u00e4rittelen sen j\u00e4lkeen hieman alempana seuraavanlaisen osion:<\/p>\n<blockquote>\n<pre><code>&lt;services&gt;\n  &lt;service id=\"sudo\"&gt;\n    &lt;option name=\"enable\"&gt;true&lt;\/option&gt;\n  &lt;\/service&gt;\n  &lt;service id=\"gksudo\"&gt;\n    &lt;option name=\"enable\"&gt;true&lt;\/option&gt;\n  &lt;\/service&gt;\n  &lt;service id=\"polkit\"&gt;\n    &lt;option name=\"enable\"&gt;true&lt;\/option&gt;\n  &lt;\/service&gt;\n&lt;\/services&gt;<\/code><\/pre>\n<\/blockquote>\n<p>   Kun olen tallentanut tiedostoon tekem\u00e4ni muutokset, USB-portissa oleva muistitikku riitt\u00e4\u00e4 tunnistautumiseksi j\u00e4rjestelm\u00e4n asetusten tekemisen ja yll\u00e4pitot\u00f6iden vaatiman oikeustason kohotuksen yhteydess\u00e4. Sen sijaan esimerkiksi sis\u00e4\u00e4nkirjautuminen ja n\u00e4yt\u00f6n lukituksen avaaminen vaativat edelleen salasanan kirjoittamisen.<\/dd>\n<dt>Huomautuksia<\/dt>\n<dd>\n<ul>\n<li>T\u00e4m\u00e4 ratkaisu on sin\u00e4ns\u00e4 varsin triviaali sovellus <a href=\"http:\/\/www.pamusb.org\/doc\/configuration\">PAM USB:n asetusten tekemisen ohjeista<\/a>, mutta muiden muassa <code>Verkko<\/code>-yll\u00e4pitosovelluksen k\u00e4ytt\u00e4j\u00e4n tunnistamisessa k\u00e4ytt\u00e4m\u00e4\u00e4n <code>PolicyKitiin<\/code> liittyv\u00e4\u00e4 palvelun nime\u00e4 ei l\u00f6ytynyt suoraan annettuna mist\u00e4\u00e4n, joten p\u00e4\u00e4tin kirjata sen yl\u00f6s t\u00e4h\u00e4n, vaikka sekin on sin\u00e4ns\u00e4 varsin helppo p\u00e4\u00e4tell\u00e4.<\/li>\n<li>Palveluiden nimien l\u00f6yt\u00e4misess\u00e4 on avuksi <code>\/var\/log\/auth.log<\/code> -tiedosto. Kun muistitikulla tunnistautumisen sallii tilap\u00e4isesti oletusarvoisesti kaikkialla, tiedostoon kirjautuu halutun palvelun k\u00e4yt\u00f6n yhteydess\u00e4 seuraavanlainen rivi:<br \/>\n<blockquote>\n<pre><code>Jun  3 10:30:20 shuttle-xpc pam_usb[17130]: Authentication request for user \"jani\" (polkit)<\/code><\/pre>\n<\/blockquote>\n<p>     Rivill\u00e4 k\u00e4ytt\u00e4j\u00e4tunnuksen per\u00e4ss\u00e4, suluissa oleva merkkijono on palvelun nimi.<\/li>\n<li>Yll\u00e4 mainittujen osioiden lis\u00e4ksi olen m\u00e4\u00e4ritellyt asetustiedostossa USB-muistitikun tunnistautumismenetelm\u00e4ksi ainoastaan omalla k\u00e4ytt\u00e4j\u00e4tunnuksellani, seuraavanlaisella osiolla:<br \/>\n<blockquote>\n<pre><code>&lt;users&gt;\n  &lt;user id=\"jani\"&gt;\n    &lt;device&gt;\n      MicroMemory\n    &lt;\/device&gt;\n  &lt;\/user&gt;\n&lt;\/users&gt;<\/code><\/pre>\n<\/blockquote>\n<p>     T\u00e4m\u00e4 vaatii luonnollisesti asetustiedostoon lis\u00e4ksi <code>MicroMemory<\/code>-nimisen m\u00e4\u00e4rittelyn itse muistitikulle.<\/li>\n<\/ul>\n<\/dd>\n<\/dl>\n","protected":false},"excerpt":{"rendered":"<p>Haluan tunnistautua muistitikun avulla vain oikeustason kohotuksen yhteydess\u00e4. T\u00e4m\u00e4 tapahtuu m\u00e4\u00e4r\u00e4\u00e4m\u00e4ll\u00e4 sudo, gksudo ja polkit k\u00e4ytt\u00e4m\u00e4\u00e4n tunnistautumista PAM USB:n asetustiedostossa.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[3635],"class_list":["post-2312","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-policykit"],"_links":{"self":[{"href":"https:\/\/mummila.net\/nuudelisoppa\/wp-json\/wp\/v2\/posts\/2312","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mummila.net\/nuudelisoppa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mummila.net\/nuudelisoppa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mummila.net\/nuudelisoppa\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/mummila.net\/nuudelisoppa\/wp-json\/wp\/v2\/comments?post=2312"}],"version-history":[{"count":0,"href":"https:\/\/mummila.net\/nuudelisoppa\/wp-json\/wp\/v2\/posts\/2312\/revisions"}],"wp:attachment":[{"href":"https:\/\/mummila.net\/nuudelisoppa\/wp-json\/wp\/v2\/media?parent=2312"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mummila.net\/nuudelisoppa\/wp-json\/wp\/v2\/categories?post=2312"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mummila.net\/nuudelisoppa\/wp-json\/wp\/v2\/tags?post=2312"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}