KWallet: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „== Syntax ==“ durch „== Aufruf ==“
 
(95 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Linux:Sicherheit:SingleLogin
'''KWallet''' ist der KDE-Plasma Passwortspeicher


= Ziel =
== Beschreibung ==
* Dieser Beitrag beschreibt die Integration in SDDM (Simple Desktop Display Manager), dem Standard Display Manager des Plasma5 Desktop
* Der KDE Wallet Manager ist eine Passwortverwaltung mit der man Zugangsdaten und Passwörter, mit allen Programmen (Network Manager, KMail usw.) die mit KWallet interagieren, unter Plasma5 zentral sichern und verwalten kann.


= Voraussetzungen =
== Installation ==
# apt install kwalletmanager
 
== Aufruf ==
=== Optionen ===
=== Parameter ===
=== Umgebung ===
=== Rückgabewert ===
== Anwendung ==
=== Konfiguration ===
* Unter KDE ist diese standardmäßig aktiviert und wartet im eingerichteten Zustand im Hintergrund darauf, dass eine KDE-Anwendung ein Passwort anfordert.
* Gibt man für eine KDE-Anwendung ein Passwort ein, wird dies automatisch im Passwortspeicher gespeichert.
* Mit dem Paket '''pam_kwallet''' der Passwortspeicher automatisch bei der Installation mit dem Benutzerpasswort angelegt und anschließend bei jedem Login entsperrt.
* Danach speichern alle KDE-Anwendungen, welche mit dem Speicher kooperieren, in diese - sofern man dies bei der Abfrage nach einer Kennworteingabe nicht abwählt.
* Daher ist es auch problemlos möglich, dass Anwendung A in die Tasche speichert, B aber nicht, wenn der Nutzer es so will.
 
=== Hinweis ===
* Das [https://wiki.ubuntuusers.de/sudo/ Root]-Kennwort ist davon ausgeschlossen
** wenn ein Programm Root-Rechte benötigt oder bestimmte Einstellungen in [https://wiki.ubuntuusers.de/KDE_Systemeinstellungen/ KDE Systemeinstellungen], so muss das Root-Kennwort eingegeben werden.
** dieses Passwort kennt nur der Administrator
* den Passwortspeicher kann aber jeder Benutzer des PCs für sich selbst einrichten, dieser kennt das Passwort dann ja nicht zwangsläufig unbedingt.
* Außerdem dient diese Einschränkung der allgemeinen Systemsicherheit.
 
=== Passwortspeicher öffnen und schließen ===


= Vorgehen =
; Hinweis
* Sofern der Benutzer per [https://wiki.ubuntuusers.de/Autologin/ Autologin] angemeldet wird, muss zur Sicherheit der KDE Passwortspeicher weiterhin manuell durch Passworteingabe entsperrt werden.
* Die automatische Entsperrung mittels pam-kwallet funktioniert dann nicht.


== Installation ==
KWallet wird automatisch beim Login des Benutzers gestartet und beim Beenden einer Sitzung wieder geschlossen.
* KWallet wird bei einer Standard-Installation bereits mit installiert.  
 
Sofern man manuell während einer Sitzung den Passwortspeicher schließen möchte, sollte man das Symbol im Systemabschnitt der Kontrollleiste aktivieren. Dazu muss unter ''Systemeinstellungen > Benutzerkontodetails → KDE-Passwortspeicher'' die Option ''"Passwortverwaltung im Systembereich anzeigen"'' aktiviert werden. Möchte man während der Sitzung den KDE Passwortspeicher manuell schließen, so klickt man nun mit der rechten Maustaste auf das KDE-Brietaschensymbol in der Systemleiste und wählt ''"Alle digitalen Passwortspeicher schließen"'' oder tut dies über den KWallet-Manager (siehe unten).
 
Eine geschlossener Passwortspeicher wird mit diesem Icon dargestellt , eine offener Passwortspeicher mit diesem Icon (je nach Kubuntu-Version und KDE-Variante könnten die Symbole leicht anders aussehen).


== Konfiguration ==
== Konfigurierung ==
# vi /etc/pam.d/sddm
Zur Konfiguration des Passwortspeichers klickt man entweder mit rechts auf das Symbol in der Systemleiste und wählt ''"Passwortspeicher einrichten"'', ruft alternativ das Programm kwalletmanager auf [https://wiki.ubuntuusers.de/KDE_Passwortspeicher/#source-2 [2]] und wählt ''"Passwortspeicher einrichten"'' an, oder aber kann in KDE die Konfiguration auch über die [https://wiki.ubuntuusers.de/KDE_Systemeinstellungen/ KDE Systemeinstellungen] geöffnet werden. Dazu wählt man ''Systemeinstellungen → Benutzerkontodetails → KDE Passwortspeicher''.


Hinzufügen / anpassen:
=== Deaktivierung ===
auth optional pam_kwallet5.so
Möchte man den KDE Passwortspeicher ausschalten, so entfernt man das Kreuz bei ''"KDE Passwortspeichersystem aktivieren"''. Ab dann werden keine Passwörter der KDE-Programme mehr gespeichert.
session optional pam_kwallet5.so auto_start


'''Benutzerpasswort und KWallet-Passwort MÜSSEN sein'''
=== Automatische Deaktivierung (zeitweise) ===
Soll der Speicher nicht die komplette KDE-Sitzung offen sein, kann man festlegen, dass sie sich unter bestimmten Umständen automatisch schließt:
* ''"xy Minuten nach der letzten Nutzung"''
* ''"Wenn der Bildschirmschoner aktiviert ist" ''oder
* ''"Wenn keine Anwendung mehr darauf zugreift"''
Dies ist beispielsweise nützlich, wenn man den PC verlässt und seine Passwörter verschlossen haben möchte, ohne dass man extra die Tasche manuell abschalten muss.


== KeePassXC ==
=== Nutzung mehrerer Passwort-Sammlungen ===
=== Opening KeePass securely and automatically in KDE===
Das Passwortspeicher-Programm bietet die Möglichkeit, mehrere Passwort-Sammlungen zu beinhalten, welche in der Regel unterschiedliche Passwörter nutzen (beispielsweise einen Speicher für diese Passwörter, einen andere für jene).
* So I use KeePass a lot as my password manager.
* Why you should use a password manager is a little beyond this post, but it’s a great way to securely store individual passwords for every use you have, so you can use more secure passwords that you’ll never remember, and when one password is compromised, the other accounts you have remain secure.
* Keepass works good in Ubuntu Linux using the Mono library, and it also works with Android, windows, which I need.
* There is a KeePassX project for a native port, but the normal version works well enough for me.
* So when I logged into KDE4 I would have to type in my Kwallet password (kwallet is the password manager built into KDE – if anyone builds a plugin to read Keepass files, I will send you money) so I could connect to the WIFI, then I would have to type in the master password for KeePass, and then occasionally KOrganizer will ask for my gmail password to sync the calendar.
* This sucks, so I wrote a quick little script to store my KeePass master password in Kwallet, and when KDE starts, retrieve it and start KeePass automatically from the file in my Dropbox folder.


#!/bin/bash
Dazu ist das ''"Dienstprogramm für die Passwortverwaltung"'' zu starten (dann ''"Datei"'' → ''"Neuer Passwortspeicher..."'') oder bei ''"Standardpasswortspeicher"'' bzw. ''"Anderen Passwortspeicher"'' auf ''"Neu..."'' zu klicken. Dort kann man auch festlegen, welcher KDE Passwortspeicher standardmäßig verwendet werden soll.
# startup keepass with a password from KWallet
walletkey=$(/usr/bin/kwalletcli -f Passwords \
-e KeePass)
#open Keepass
mono /opt/KeePass2/KeePass.exe --lock &
#give keepass enough time to actually open, otherwise results are inconsistent
sleep 3
# Tell keypass to open your password database
mono /opt/KeePass2/KeePass.exe \ "/home/user/Dropbox/keepass/passwords.kdbx" \ -pw:$walletkey


* Then save this script somewhere (I put it in /usr/local/bin/) and then go into Settings -> startup/shutdown and tag it as a script to start when you log into KDE.
Durch das erwähnte Dienstprogramm kann man mehrere Passwort-Sammlungen auch wirklich verwalten, also neue hinzufügen, alte löschen, Passwörter abändern usw.
* So now I just log in, type in my Kwallet password, and KeePass opens as well.


====EDIT – 2015-04-06====
=== Erscheinung im Desktop ===
* Thanks to everyone who commented below with their ideas on improving this script.
Der KDE Passwortspeicher kann sich als Icon in der Systemleiste zeigen, dies bietet einen schnellen Zugriff. Man kann einstellen, ob und wann sie dies tun soll.
* As mentioned, there’s a security issue with this script, which can be reduced by not using the password directly on the comment line.  
* There are two methods below, YMMV, but I ended up with this hybrid:
#!/bin/bash
# startup keepass with a password from KWallet
walletkey=$(/usr/bin/kwalletcli -f Passwords -e KeePass)
dbpath="/home/user/Dropbox/keepass/passwords.kdbx"
echo "$walletkey" | mono /opt/KeePass2/KeePass.exe $dbpath --pw-stdin
* This works really well, and the password is only available briefly, really reducing the ease at which it can be sniffed.
* Still not 100%, but security is always a tradeoff between ease of use and effectiveness. Thanks for everyone’s help!


=== Einrichtung von expliziten Programmzugriffen ===
Im Reiter ''"Zugriffsüberwachung"'' kann man noch konfigurieren, auf welche Weise welches Programm auf den Passwortspeicher zugreifen darf, wobei für eine reibungslose Nutzung die Voreinstellung normalerweise nicht geändert werden muss.


= Anwendungen =
== Datensicherung und Nutzung auf verschiedenen PCs ==
#!/usr/bin/env bash
* Es besteht die Möglichkeit, die vorhandenen Passwortspeicher mitsamt allen ihren Einträgen zu sichern.  
# set -xv
* Dazu ist das Verzeichnis ''/home/BENUTZER/.local/share/kwalletd'' zu öffnen, die Passwort-Sammlungen liegen dort als Dateien im Format ''.kwl'' vor und lassen sich nach Belieben kopieren.
# exec 1>~/keepass.sh.log 2>&1
* Oder aber lässt sich der gewünschte Speicher per [https://de.wikipedia.org/wiki/Drag&Drop Drag&Drop] aus dem Fenster des kwalletmanagers, d.h. der Passwortspeicher-Dienstverwaltung, ins Zielverzeichnis bewegen.
* Indem man diese Passwortspeicher-Datei (Standard: '''kwallet.kwl''') vervielfältigt, ist auch die Nutzung der selben Passwörter und Einstellungen an mehreren Computern möglich. Beispielsweise durch Übertragen auf einen USB-Stick.
echo opening KeepassXC ...
kwallet-query -f 'keepass' -r 'keepass' kdewallet | keepassxc –pw-stdin ~/cloud/pwd/pwd.kdbx &
echo opening volume geschäftlich ...
kwallet-query -f 'volumes' -r 'geschaeftlich' kdewallet | sirikali -b stdin -d /media/daten/.geschaeftlich/ -z /home/dirkwagner/geschaeftlich/ &
echo opening volume privat ...
kwallet-query -f 'volumes' -r 'privat' kdewallet | sirikali -b stdin -d /media/daten/.privat/ -z /home/dirkwagner/privat/ &


=Links=
== Problembehebung ==
==Intern==
* Wenn man die Wallet mit pam entsperren lässt (Siehe [https://wiki.ubuntuusers.de/KDE_Passwortspeicher/#Benutzung Benutzung]) und sein Account-Passwort ändert, kann es vorkommen, dass man bei jedem Login vom ''"Migrationsassistenten für KDE Wallet"'' aufgefordert wird, sein Passwort einzugeben.
TDOD
* Um das Problem zu beheben, prüft man zunächst, ob in der Passwortverwaltung, ob kdewallet bereits entsperrt ist.
* Wenn nicht, muss man hier die Wallet noch einmal mit dem alten Passwort entsperren und das Passwort auf das neue setzen.
* Danach fügt man folgende Zeilen in die <tt>~/.config/kwalletrc</tt> hinzu:
[Migration]
alreadyMigrated=true
Man sollte nun nicht mehr unnötig nach dem Passwort nach dem Login gefragt werden.
=== Problembehebung ===
== Konfiguration ==
=== Dateien ===
== Anhang ==
=== Siehe auch ===
# [[kwallet-query]]
==
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Sicherheit ====
==== Dokumentation ====
===== RFC =====
===== Man-Page =====
===== Info-Pages =====
==== Links ====
===== Einzelnachweise =====
<references />
===== Projekt =====


==Extern==
===== Weblinks =====
# https://wiki.ubuntuusers.de/KDE_Passwortspeicher/
# https://wiki.ubuntuusers.de/KDE_Passwortspeicher/
# http://thisisnt.com/opening-keepass-securely-and-automatically-in-kde/
# [http://utils.kde.org/projects/kwalletmanager/ Projektseite auf kde.org]
# [http://www.freiesmagazin.de/mobil/freiesMagazin-2009-02.html#09_02_kwallet Artikel zur KDE Brieftasche aus freiesMagazin 02/2009]
# https://www.reddit.com/r/kde/comments/a26dqm/ecryptfs_kwallet_unlock_on_login_quick_peruser_fix/
 
<noinclude>
 
=== Testfragen ===
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
[[Kategorie:Plasma5]]
[[Kategorie:Linux/Passwort]]


[[Category:Linux:Sicherheit]]
</noinclude>
[[Category:Linux:Plasma5]]
[[Category:Sicherheit:Passwörter]]
[[Category:Entwurf]]

Aktuelle Version vom 12. November 2024, 18:46 Uhr

KWallet ist der KDE-Plasma Passwortspeicher

Beschreibung

Installation

# apt install kwalletmanager

Aufruf

Optionen

Parameter

Umgebung

Rückgabewert

Anwendung

Konfiguration

  • Unter KDE ist diese standardmäßig aktiviert und wartet im eingerichteten Zustand im Hintergrund darauf, dass eine KDE-Anwendung ein Passwort anfordert.
  • Gibt man für eine KDE-Anwendung ein Passwort ein, wird dies automatisch im Passwortspeicher gespeichert.
  • Mit dem Paket pam_kwallet der Passwortspeicher automatisch bei der Installation mit dem Benutzerpasswort angelegt und anschließend bei jedem Login entsperrt.
  • Danach speichern alle KDE-Anwendungen, welche mit dem Speicher kooperieren, in diese - sofern man dies bei der Abfrage nach einer Kennworteingabe nicht abwählt.
  • Daher ist es auch problemlos möglich, dass Anwendung A in die Tasche speichert, B aber nicht, wenn der Nutzer es so will.

Hinweis

  • Das Root-Kennwort ist davon ausgeschlossen
    • wenn ein Programm Root-Rechte benötigt oder bestimmte Einstellungen in KDE Systemeinstellungen, so muss das Root-Kennwort eingegeben werden.
    • dieses Passwort kennt nur der Administrator
  • den Passwortspeicher kann aber jeder Benutzer des PCs für sich selbst einrichten, dieser kennt das Passwort dann ja nicht zwangsläufig unbedingt.
  • Außerdem dient diese Einschränkung der allgemeinen Systemsicherheit.

Passwortspeicher öffnen und schließen

Hinweis
  • Sofern der Benutzer per Autologin angemeldet wird, muss zur Sicherheit der KDE Passwortspeicher weiterhin manuell durch Passworteingabe entsperrt werden.
  • Die automatische Entsperrung mittels pam-kwallet funktioniert dann nicht.

KWallet wird automatisch beim Login des Benutzers gestartet und beim Beenden einer Sitzung wieder geschlossen.

Sofern man manuell während einer Sitzung den Passwortspeicher schließen möchte, sollte man das Symbol im Systemabschnitt der Kontrollleiste aktivieren. Dazu muss unter Systemeinstellungen > Benutzerkontodetails → KDE-Passwortspeicher die Option "Passwortverwaltung im Systembereich anzeigen" aktiviert werden. Möchte man während der Sitzung den KDE Passwortspeicher manuell schließen, so klickt man nun mit der rechten Maustaste auf das KDE-Brietaschensymbol in der Systemleiste und wählt "Alle digitalen Passwortspeicher schließen" oder tut dies über den KWallet-Manager (siehe unten).

Eine geschlossener Passwortspeicher wird mit diesem Icon dargestellt , eine offener Passwortspeicher mit diesem Icon (je nach Kubuntu-Version und KDE-Variante könnten die Symbole leicht anders aussehen).

Konfigurierung

Zur Konfiguration des Passwortspeichers klickt man entweder mit rechts auf das Symbol in der Systemleiste und wählt "Passwortspeicher einrichten", ruft alternativ das Programm kwalletmanager auf [2] und wählt "Passwortspeicher einrichten" an, oder aber kann in KDE die Konfiguration auch über die KDE Systemeinstellungen geöffnet werden. Dazu wählt man Systemeinstellungen → Benutzerkontodetails → KDE Passwortspeicher.

Deaktivierung

Möchte man den KDE Passwortspeicher ausschalten, so entfernt man das Kreuz bei "KDE Passwortspeichersystem aktivieren". Ab dann werden keine Passwörter der KDE-Programme mehr gespeichert.

Automatische Deaktivierung (zeitweise)

Soll der Speicher nicht die komplette KDE-Sitzung offen sein, kann man festlegen, dass sie sich unter bestimmten Umständen automatisch schließt:

  • "xy Minuten nach der letzten Nutzung"
  • "Wenn der Bildschirmschoner aktiviert ist" oder
  • "Wenn keine Anwendung mehr darauf zugreift"

Dies ist beispielsweise nützlich, wenn man den PC verlässt und seine Passwörter verschlossen haben möchte, ohne dass man extra die Tasche manuell abschalten muss.

Nutzung mehrerer Passwort-Sammlungen

Das Passwortspeicher-Programm bietet die Möglichkeit, mehrere Passwort-Sammlungen zu beinhalten, welche in der Regel unterschiedliche Passwörter nutzen (beispielsweise einen Speicher für diese Passwörter, einen andere für jene).

Dazu ist das "Dienstprogramm für die Passwortverwaltung" zu starten (dann "Datei""Neuer Passwortspeicher...") oder bei "Standardpasswortspeicher" bzw. "Anderen Passwortspeicher" auf "Neu..." zu klicken. Dort kann man auch festlegen, welcher KDE Passwortspeicher standardmäßig verwendet werden soll.

Durch das erwähnte Dienstprogramm kann man mehrere Passwort-Sammlungen auch wirklich verwalten, also neue hinzufügen, alte löschen, Passwörter abändern usw.

Erscheinung im Desktop

Der KDE Passwortspeicher kann sich als Icon in der Systemleiste zeigen, dies bietet einen schnellen Zugriff. Man kann einstellen, ob und wann sie dies tun soll.

Einrichtung von expliziten Programmzugriffen

Im Reiter "Zugriffsüberwachung" kann man noch konfigurieren, auf welche Weise welches Programm auf den Passwortspeicher zugreifen darf, wobei für eine reibungslose Nutzung die Voreinstellung normalerweise nicht geändert werden muss.

Datensicherung und Nutzung auf verschiedenen PCs

  • Es besteht die Möglichkeit, die vorhandenen Passwortspeicher mitsamt allen ihren Einträgen zu sichern.
  • Dazu ist das Verzeichnis /home/BENUTZER/.local/share/kwalletd zu öffnen, die Passwort-Sammlungen liegen dort als Dateien im Format .kwl vor und lassen sich nach Belieben kopieren.
  • Oder aber lässt sich der gewünschte Speicher per Drag&Drop aus dem Fenster des kwalletmanagers, d.h. der Passwortspeicher-Dienstverwaltung, ins Zielverzeichnis bewegen.
  • Indem man diese Passwortspeicher-Datei (Standard: kwallet.kwl) vervielfältigt, ist auch die Nutzung der selben Passwörter und Einstellungen an mehreren Computern möglich. Beispielsweise durch Übertragen auf einen USB-Stick.

Problembehebung

  • Wenn man die Wallet mit pam entsperren lässt (Siehe Benutzung) und sein Account-Passwort ändert, kann es vorkommen, dass man bei jedem Login vom "Migrationsassistenten für KDE Wallet" aufgefordert wird, sein Passwort einzugeben.
  • Um das Problem zu beheben, prüft man zunächst, ob in der Passwortverwaltung, ob kdewallet bereits entsperrt ist.
  • Wenn nicht, muss man hier die Wallet noch einmal mit dem alten Passwort entsperren und das Passwort auf das neue setzen.
  • Danach fügt man folgende Zeilen in die ~/.config/kwalletrc hinzu:
[Migration]
alreadyMigrated=true

Man sollte nun nicht mehr unnötig nach dem Passwort nach dem Login gefragt werden.

Problembehebung

Konfiguration

Dateien

Anhang

Siehe auch

  1. kwallet-query

==

Sicherheit

Dokumentation

RFC
Man-Page
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks
  1. https://wiki.ubuntuusers.de/KDE_Passwortspeicher/
  2. Projektseite auf kde.org
  3. Artikel zur KDE Brieftasche aus freiesMagazin 02/2009
  4. https://www.reddit.com/r/kde/comments/a26dqm/ecryptfs_kwallet_unlock_on_login_quick_peruser_fix/


Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5