staging.inyokaproject.org

Bei (K)ubuntu kann ich Partitionen einhängen, ohne ein Passwort eingeben zu müssen. Dies möchte ich ändern, da ich eine Partition mit selten benötigten Daten nicht immer verfügbar haben möchte. Verschlüsselung kommt für mich leider nicht in Frage. Bei einigen anderen Distributionen (z.B. Debian) werde ich beim Einhängen einer systemfremden Partition nach dem root-Passwort gefragt. Kann ich das bei Kubuntu wieder aktivieren?

Versuche in der Datei org.freedesktop.udisks2.policy sind gescheitert. Früher habe ich das Problem dadurch gelöst, dass ich root aktiviert habe, und den User aus der sudo-Gruppe genommen habe. Mache ich das jetzt (Kubuntu 22.04), kommt bei jedem Start eine Abfrage nach dem Rootpasswort für eine Partition die eigentlich gar nicht eingehängt ist bzw. werden soll! Daher vertraue ich dem System noch weniger, und befürchte, dass im Grundzustand alle Partitionen mehr oder weniger eingehängt sind, und dort Daten aus Versehen von mir oder absichtlich von Schadsoftware verändert werden können.

Hallo!

Prinzipiell bist du bei der Datei richtig. Im Standard fragt die folgendes ab:

1
2
3
4
5
6
7
8

<action id="org.freedesktop.udisks2.filesystem-mount">
…
    <defaults>
      <allow_any>auth_admin</allow_any>            # Nur Admin(-passwort) gilt
      <allow_inactive>auth_admin</allow_inactive>  # inaktive sessions wie ssh
      <allow_active>yes</allow_active>             # aktive sessions = nutzer-login
    </defaults>
  </action>

Welche Versuche hast du denn da gestartet? Zwecks Sicherheit einen Hauptbenutzer zu verwenden, der nicht mittels sudo an irgendwas drankommt halte ich generell für sinnvoll.

Was das automatische Einhängen angeht, spielen auch die UEFI-Einstellung und die entsprechenden UDEV-Regeln eine Rolle. Bspw. habe ich an einem Rechner Hotplug-Möglichkeiten für Festplatten (Sata). Das habe ich im UEFI aktiv, insofern sind bei mir alle Festplatten „Wechselmedien“ und können im laufenden Betrieb getauscht/eingehängt/ausgehängt werden. Die Sata-Ports an denen die Systemplatten hängen habe ich ohne Hotplug laufen, damit ich nicht auf dumme Ideen komme 😉

Wenn du nun auf eine einhängbare Partition zugreifst, läuft das PolKit-Prozedere ab. Das kommt unter Plasma meist durch den Aufruf von kio exec, gewollt oder ungewollt. Automatisch kommt das nur, wenn eine Ressource versucht darauf zuzugreifen, weil du bspw. in Dolphin noch einen Tab offen hast, einen Ordner gebookmarkt, oder ähnliches. Insofern würde ich vor dem Test erst mal die Historien löschen [1]. Ebenso sollte Baloo diese Ordner nicht indizieren, wenn der Dienst durchgehend läuft. Deaktivierst du Baloo nach der Indizierung, stellt das kein Problem dar, da die reine Suche über die lokale DB läuft. Du musst dann nur ab und an neu indizieren, um Änderungen zu übertragen.

Hast du einen fstab-Eintrag oder eine mount-unit für die besagte Partition? Ein noauto und read only würden zumindest dafür sorgen, das diese Partition nicht von systemd eingehängt wird und wenn, nur lesend. Umgekehrt: Platten die du verwendest können automatisch gemountet werden. Dann sparst du dir die Abfrage bei der Anmeldung, da alles schon da ist.

• 1: zuletzt verwendete Dateien und die History der Aktivitäten in Systemeinstellungen → Workspace Verhalten → Aktivitäten → History und → Dateisuche → Plasmasuche

Vielen Dank für die Antwort. Ich hatte die Datei org.freedesktop.udisks2.filesystem-mount bei "allwo_inaktive" von yes auf auth_admin geändert. Das hat aber keine Auswirkung auf die fehlende Passwortanfrage beim Mounten einer Partition gebracht. Die Datei ist für mich etwas unübersichtlich, angesichts von hunderten von Zeilen für unterschiedliche Gebietsschemata. Das yes stand übrigens in der Voreinstellung nur im obersten Bereich, bei den Wechseldatenträgern. Meine Festplatte ist das ja eigentlich nicht. Trotzdem, wie gesagt, hat keinen Effekt gehabt.

Die Dateiindizierung hatte ich eigentlich ausgeschaltet. Ich hatte aber gestern noch in den Einstellungen bei den Wechseldatenträgern das automatische Mounten deaktiviert. Alle meine Partitionen waren (was für mich unlogisch ist) in den KDE-Settings im Bereich Wechseldatenträger als solche gelistet, und bei allen der Haken für automatisches Mounten. Zusätzlich habe ich die History in den KDE-Settings wie von dir beschrieben gelöscht und deaktiviert. Seit dem (kann auch Zufall sein) werde ich nach dem Anmelden mit dem Benuzter auch nicht mehr nach dem root-Passwort zwecks Plattenzugriff gefragt. Dem Benuzter habe ich, wie geschrieben, sudo entzogen. Das System ist so nun lauffähig für mich, ich bin beruhigt. Eventuell werde ich es mal mit zwei Benutzern probieren. Einer ohne sudo als Standarduser, und einer mit sudo für Systemaufgaben. Aktuell habe ich einen Benutzer ohne sudo, und root.

Mein System sieht so aus, dass ich drei Linux-Systeme auf drei Partitionen habe. Eines für Arbeit und Onlinebanking, eines zum Test, und eines (Kubuntu 22.04) für Internet (alles außer Onlinebanking). Auf einer vierten Partition sind meine Daten (Bilder, Texte, etc.). Daher möchte ich eben, dass das Kubuntu möglichst abgeschirmt läuft von den anderen Partitionen. Die Fstab ist leer bzw. nur die Systempartition drin. Das ist meines Wissens auch die Voreinstellung. Die Idee meine Datenpartition und auch die Arbeitspartition als read only rein zu schreiben, ist gut. Damit werde ich mich mal näher beschäftigen. Langfristig wäre vermutlich eine Verschlüsselung des Produktivsystems und der Datenpartition sinnvoll. Aktuell scheue ich den Aufwand, da ich vor mehreren Jahren trotz vielen Versuchen mit PAM-mount gescheitert bin.

userfromhome schrieb:

…von yes auf auth_admin geändert. Das hat aber keine Auswirkung…

Passwörter können ggf. auch im Schlüsselbund, also gnome-keyring oder KWallet gespeichert sein. Da müsstest du ggf. auch reingucken.

… bei den Wechseldatenträgern. Meine Festplatte ist das ja eigentlich nicht.

Falls dein System Hotplug unterstützt, dann sieht es auch jede Festplatte als Wechseldatenträger an. Scheint also bei dir auch möglich zu sein.

…Einer ohne sudo als Standarduser, und einer mit sudo für Systemaufgaben. Aktuell habe ich einen Benutzer ohne sudo, und root.

Mache ich auch noch immer so. Ich habe auf den meisten Systemen nicht mal sudo installiert. Updates und sowas läuft über PolKit zufriedenstellend und wenn ich mal chown/chmod brauche, habe ich ne Dropdwown-Shell, in der ich eben per su - zum root wechseln kann.

Mein System sieht so aus, dass ich drei Linux-Systeme auf drei Partitionen habe…

Dafür drei Systeme warten ist auch aufwändig. Wieso nimmst du nicht eine Distribution und nur unterschiedliche Nutzerkonten? Den gegenseitigen (Lese-)Zugriff kannst du ja mittels umask unterbinden. Zum Rumtesten gibt es QEMU oder ähnliche Virtualisierungen. Je nachdem wie leistungsfähig alles sein muss, könntest du auch generell diverse Dinge nur in einer VM machen.

Verschlüsselung nutze ich nur bei meinen Laptops, da die ja auch mal verloren gegangen werden können. Da halte ich die allerdings auch für Pflicht. Ich nutze den Weg, die gesamte Festplatte bis auf einen kleinen Boot-Bereich zu verschlüsseln und innerhalb des LUKS nutze ich dann LVM zur Partitionierung. Habe auch btrfs laufen, funktioniert auch. LVM bin ich allerdings gewohnt und bevorzuge das daher.

Was die „gemeinsamen“ Daten angeht. Ich habe zwei „Hauptbenutzerkonten“ und ein Verzeichnis /home/common, in dem das alles liegt (Nextcloud, lokaler Git, Einbindung der Medien, etc.). Da musste ich ein wenig mit ACL hantieren, damit jeder der beiden Benutzer auf alles die gleichen Rechte bekommt. Die statischen Daten wie Musik/Hörbücher, Bilder, Videos, etc. binde ich auch nur lesend ein, allerdings über NFS, bzw. FUSE/sshfs, da diese auf meinem Heimserver liegen.