pam_mount

Wie bereits geschrieben musste ich mir für die “komfortable” Nutzung meines verschlüsselten /home Verzeichnisses etwas neues einfallen lassen. Gesagt getan. Das PAM Modul pam_mount ist Dein Freund. Wenn ich mir das so recht ansehe, ist diese Lösung auch wirklich schön und ich bin ein wenig traurig, dass ich das nicht früher schon einmal gefunden habe – aber egal.

pam_mount ist ein PAM Modul, welches bei der Anmeldung ausgeführt wird. Man kann definieren, welcher Benutzer welches Verzeichnis bei der Anmeldung mountet. Das ganze funktioniert eben auch mit über cryptsetup angelegten Volumes, die mit dem bei der Anmeldung angegebenen Passwort dann auch gemountet werden (sofern das Passwort passt).

Die Einrichtung ist sehr einfach:

1. das Paket libpam-mount installieren

2. unter /etc/security/ die Datei pam_mount.conf.xml als root öffnen

3. nach der Zeile "<!-- Volume definitions -->" eine Definition wie z.B. "<volume fstype="crypt" path="/dev/sda7" mountpoint="/home" options="fsck" />" eintragen

Mit dieser Konfiguration wird bei einer Anmeldung versucht /home auf /dev/sda7 mit dem angegebenen Passwort (das Passwort des Benutzers) zu mounten. Eine Zeile wie

<volume user="testuser" fstype="crypt" path="/dev/sda7" mountpoint="/home/testuser" options="fsck" />

würde entsprechend das ganze nur versuchen, wenn der User testuser sich anmeldet und auch nur dessen Home mounten.

Wichtig zu wissen – für diverse Szenarien – ist, dass man für ein mit cryptsetup eingerichtetes Volume auch mehrere Passwörter vergeben kann. Damit ist es möglich die Konfiguration des ersten Beispiels für mehrere Benutzer einzurichten. Ebenfalls wichtig ist, dass wenn man das Passwort ändert, man ebenfalls das Passwort des verschlüsselten Laufwerks ändern muss (das geschieht über … addkey, … remove key).