Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Résolu] montage partition luks avec utilisateur lambda

Rapty

bonjour

il y a un changement de comportement sous F17 depuis F16 avec les partitions cryptées et je ne parviens pas à trouver de cas similaires sur internet.
Avec luks, il faut forcément être root pour monter une partition cryptée et c'est assez embêtant.

Je cherche à autoriser un utilisateur lambda à monter une partition cryptée, sous réserve bien sur qu'il connaisse la passphrase.
Lorsqu'on parle d'une partition sur un disque externe, il n'y a pas de soucis. On branche le disque externe, la partition apparait dans thunar, on clique dessus, il demande la passphrase puis il mappe la partiton comme n'importe qu'elle clé usb.
C'est toujours vrai avec F17.

Par contre, si on parle d'une partition non USB, là c'est une autre histoire. Sous F16, j'avais trouvé une parade.
Avec thunar, je clique sur la partition cryptée. Il me demande la passphrase. Ensuite, je surveille /dev/mapper et je vois apparaître

ls /dev/mapper/
udisks-luks-uuid-ff101135-311a-41dd-9250-e368ac78d275-uid1000

J'en déduis que Thunar, sans passer par root, a exécuté

cryptsetup luksOpen UUID=ff101135-311a-41dd-9250-e368ac78d275 udisks-luks-uuid-ff101135-311a-41dd-9250-e368ac78d275-uid1000

Content de cette découverte, j'ajoute dans mon fstab

/dev/mapper/udisks-luks-uuid-ff101135-311a-41dd-9250-e368ac78d275-uid1000		          /mnt/Protege		  ext4	  rw,user,noauto	  1 2

(avec /mnt/Protege le dossier ou je souhaite récupérer ma partition cryptée)

Résultat :
A chaque démarrage, la partiton reste cryptée jusqu'à ce que, avec thunar, je clique dessus et donne le passphrase. Alors, la partition se retrouvait montée toute seule, sans mot de passe root, dans /mnt/Protege

Mais maintenant, ça ne marche plus.
Non seulement thunar me demande le mot de passe root après le passphrase, mais en plus, si je laisse ça dans fstab, thunar n'arrive pas à monter la partition et il oublie toute allusion a la partition cryptée (comme si elle n'existait pas).
Si je commente ma ligne dans fstab, alors thunar arrive à monter la partiton crypté dans /media/mon_nom/uuid_de-la-partition mais seulement après m'avoir demandé le mot de passe root.

Quelq'un saurait-il se passer de se mot de passe root ?

Rapty

je crois que je suis sur une piste
ça serait polkit qui aurait changé et en particulier cette action

org.freedesktop.udisks2.encrypted-unlock-system

je regarde ça

EDIT ok "udsiks2" semble nouveau car sous F16 il n'y avait que "udsik" et udisk n'avait pas d'action "encrypted-unlock-system"

Rapty

partant du principe que F17 est mieux que F16, je pense qu'il est mauvais de prendre la politique de F16 pour remplacer celle de F17 (donc je ne remplacerai pas "udisks2" par "usdisks")

En regardant de plus prêt, on voit

<action id="org.freedesktop.udisks2.encrypted-unlock">
<description>Unlock an encrypted device</description>
<message>Authentication is required to unlock an encrypted device</message>
<defaults>
<allow_any>auth_admin</allow_any>
<allow_inactive>auth_admin</allow_inactive>
<allow_active>yes</allow_active>
</defaults>
</action>
<action id="org.freedesktop.udisks2.encrypted-unlock-system">
<description>Unlock an encrypted system device</description>
<message>Authentication is required to unlock an encrypted device</message>
<defaults>
<allow_any>auth_admin</allow_any>
<allow_inactive>auth_admin</allow_inactive>
<allow_active>auth_admin_keep</allow_active>                                                            ***c'est ici que ça ne va pas !
</defaults>
</action>

on voit bien la différence de politique entre partition externe et partition interne.
C'est ça qu'il faut modifier.

La doc sur Policykit n'étant pas terminée, et les docs sur internet n'étant pas très explicites, j'ai du mal à savoir si je peux modifer ce fichier .policy directement ou pas.
J'ai mis la même politique pour les disques internes qu'externes (du moins, les cryptés) et maintenant je n'ai plus de différence.
Ce n'est pas tout à fait comme dans F16 (je suis condamné à passer par /run/media/moi/uiid) mais c'est quand même opérationel sans root.

La question qu'il me reste est : ai-je correctement manipulé le fichier ? Est ce que par hasard, à la prochaine mise à jour de polkit je ne vais perdre ma modificaiton ?
(un peu comme avec Gurb2 si on modifie directement le fichier conf généré)

merci

C@sp€r

Salut Rapty,
si tu modifies /usr/share/polkit-1/actions/org.freedesktop.udisks2.policy cette modif sera perdue à la prochaine mise à jour de Policykit. Car à chaque mise à jour d'un paquet, les anciens fichiers de ce paquet sont écrasés par les fichiers du nouveau paquet (il y a des exceptions lorsque que tu vois des .rpmnew apparaître, mais ce sont des cas très rares).

La solution consiste donc à créer un nouveau fichier qui contiendra les règles policykit que tu souhaites mettre en rigueur, à placer dans /var/lib/polkit-1/localauthority/. Voici un exemple dont tu pourrais t'inspirer...

J'ai mis la même politique pour les disques internes qu'externes (du moins, les cryptés) et maintenant je n'ai plus de différence.
Ce n'est pas tout à fait comme dans F16 (je suis condamné à passer par /run/media/moi/uiid) mais c'est quand même opérationel sans root.
La question qu'il me reste est : ai-je correctement manipulé le fichier ?

J'ai comparé ce que t'as mis entre balise code avec le contenu de mon fichier et je n'ai trouvé aucune différence, j'ai loupé quelque chose ? :-D

Rapty

C@sp€r,

c'est normal car j'ai mis entre balise le fichier avant que je ne le modifie.
Ma seule modification a été de retirer "auth_admin_keep" de <allow_activ> de "encrypted-unlock-system" et de mettre, comme dans "encrypted-unlock", "yes" à <allow-activ>.

(dur à suivre mais en gros j'ai copié collé la politique pour les partitions externes aux internes -du coup plus de différence interne/externe pour les cryptés du moins)

merci pour le lien.
ça ressemble à ce qu'il y a dans le début de doc du site, mais je ne savais pas comment appliquer ces modifications (fallait il générer comme grub2-mkconfig ?)
D'après ton lien, non

bon je me replonge la dedans et j'essaye

Rapty

Ok Nikel Chrome merci C@sp€r !!

J'ai remis la politique .policy comme elle était (comme quoi c'était une bonne idée de citer l'originale dans mon précédent post)
J'ai essayé... le retour à l'ancienne et donc à mon problème initial fut immédiat

J'ai créé udisks2.encrypted-unlock-system-policy.pkla (le nom importe peu visiblement, du moment qu'il finisse en extension pkla ?) dans /var/lib/polkit-1/localauthority/50-local.d/

Son contenu

[Let All Users Mount Uncrypted Internal Partition]
Identity=unix-user:*
Action=org.freedesktop.udisks2.encrypted-unlock-system
ResultAny=auth_admin
ResultInactive=auth_admin
ResultActive=yes

Pas besoin de génération, effet immédiat 😉