Подключитесь к аутентификации linux для запуска скрипта или программы при выполнении определенных условий

Question

Используя ecryptfs или encfs (возможно, больше), фактическая фраза-пароль дешифрования сохраняется в файле, который расшифровывается паролем.

Из-за этого, если параноиком (или пытаться произвести впечатление), вы можете эффективно уничтожить всезашифрованные данные в соответствии с американскими стандартами DOD (обычно весь домашний каталог) за несколько миллисекунд.

Я хочу настроить свой компьютер (или, по крайней мере, мою систему vbox) на уничтожение парольной фразы, если введен определенный парольили неверный пароль вводится определенное количество раз подряд.

Это было бы достаточно просто, но я не знаю, как войти в систему аутентификации linux на уровне, который позволит мне проверитьневерный пароль и / или запустите программу уничтожения файлов.

TL; DR: Кто-нибудь знает, как сделать так, чтобы linux уничтожил файл, если при неправильном входе в систему использовался определенный пароль?

Answer 1

Обычно для подключения к аутентификации Linux используется метод PAM .Либо написать свой собственный модуль PAM, либо найти тот, который можно заставить выполнять то, что вы хотите.

Самый простой вариант, который я вижу, это pam_script .

Установить,затем поместите auth optional pam_script.so в соответствующий файл (ы) в /etc/pam.d и напишите скрипт pam_script_auth, который смотрит на $ PAM_USER и $ PAM_AUTHTOK.

Обратите внимание, что скрипт может быть запущен как root или какпользователь, поэтому хранение данных о сбое пароля должно осуществляться с тщательным вниманием к разрешениям.

Простая версия без версии с несколькими сбоями выглядит примерно так:

if [ $PAM_USER = "jv" ] && [ $PAM_AUTHTOK = "ThePoliceHaveMe" ]; then
  shredcommand
fi

Answer 2

Хорошие ответы уже были опубликованы, объясняющие, как делать то, что вы хотите делать с помощью сменных модулей аутентификации, поэтому я не буду их повторять.

Три вещи, которые нужно иметь в виду:

Во-первых, когда вы автоматически уничтожаете свои ключи шифрования после определенного числа неудачных попыток входа в систему, возникает неприятная уязвимость, приводящая к отказу в обслуживании, когда любой может уничтожить все ваши данные, просто неоднократно входя в систему неправильно.

Во-вторых, вы, вероятно, думаете, что это сработает, когда «они» получат вашу машину, но это не сработает, потому что, пытаясь сломать ваше шифрование или угадать ваш пароль, никто не будет использовать вашу систему, чтобы сделать это. Это. Первое, что нужно сделать, это скопировать ваши сырые разделы и поиграть с вашими данными в безопасной среде, где они могут быть уверены, что данные, которые они пытаются прочитать, не будут уничтожены в процессе.

В-третьих, что касается измельчения целых данных в соответствии с американскими стандартами DOD за несколько миллисекунд, не забудьте также уничтожить весь раздел подкачки или вообще не использовать его. Кроме того, хотя это может показаться ненужным, не забывайте также измельчать содержимое ОЗУ, поскольку содержимое ОЗУ иногда можно восстановить даже после потери питания.

Answer 3

Вам нужно будет разработать модуль PAM и настроить свою систему для использования его для проверки пароля.

Если это немного утомительно, вы можете попробовать PAM-script , который заявляет о способности запускать сценарии как часть процесса аутентификации.Я сам не пробовал.