我使用全盘加密,在启动时需要输入密码,因此我喜欢设置 Gnome Shell 自动登录,并设置 Seahorse 保持我的登录密钥环解锁*,这样我就不需要两次输入密码** 。 (这似乎是合乎逻辑的事情 - 但也许有更好的方法?)这工作得很好,除了每隔几周左右钥匙圈似乎会重新锁定自己,这样当我时它会再次询问我的登录密码启动例如Chrome。每当软件包更新时(在我的例子中,在 Arch Linux 上),似乎都会发生这种情况seahorse,也可能在其他时候发生,尽管我没有注意到任何其他模式。
* 也就是说,我将登录密钥环上的密码设置为空字符串,然后当它警告我“您确定要解密您的密钥环吗?”时我说是。
** 也就是说,我第一次输入密码是在启动的早期,甚至在挂载我的根分区之前。所以就 Gnome 而言,我根本没有输入过密码。我认为这种设置对于加密磁盘的人来说一定很常见,但也许我做错了:p
答案1
Gnome 密钥环将其解密的内容存储在内存中。这意味着每当它更新并需要重新启动时,或者每当相关进程要求它重新启动时,您都必须再次输入密码才能解密内容并将它们再次移入内存。未经您的许可,它不需要重新加密,因为原始文件从未被解密的数据覆盖。
密钥环上的 Gnome 页面围绕着这个事实,但很明显,从他们所说的“[Gnome Keyring 防止]在用户注销后从内存或从磁盘的交换区域读取密码”来看,很明显这就是它的工作方式。
答案2
我怀疑这是 PAM Gnome 密钥环集成的一部分。在我的 Ubuntu 上,我可以通过配置 PAMpam-auth-update并禁用GNOME Keyring Daemon - Login keyring management.
我刚刚这样做了,所以我不确定这是否能真正解决问题,但考虑到文档https://wiki.gnome.org/Projects/GnomeKeyring/Pam/Manual事实上,/etc/pam.d/common-password我非常有信心这个集成中有一个条目正在重置钥匙圈上的密码。
编辑:不幸的是,这似乎不是解决方案,至少密码被再次重置。我会继续寻找。