磁盘实用程序允许使用简单的 GUI 更改硬盘加密密码。
我想允许非管理员/非root用户更改他们的luks密码(IT有另一个恢复插槽)。
不幸的是,当尝试以非管理员身份更改 luks 密码时,磁盘实用程序会提示用户输入管理员密码来“解锁加密设备”。
有没有办法允许此操作?也许通过将用户添加到特定的安全组?
答案1
解决方案是添加 polkit 规则。
我创建了组
luks-unlock。该组将被允许解锁和更改 polkit 规则中加密文件系统的密码。我创建了该文件
/etc/polkit-1/localauthority/50-local.d/luks-unlock.pkla:
[Change LUKS Password]
Identity=unix-group:luks-unlock
Action=org.freedesktop.udisks2.encrypted-change-passphrase;org.freedesktop.udisks2.encrypted-change-passphrase-system;org.freedesktop.udisks2.encrypted-lock-others;org.freedesktop.udisks2.encrypted-unlock;org.freedesktop.udisks2.encrypted-unlock-crypttab;org.freedesktop.udisks2.encrypted-unlock-other-seat;org.freedesktop.udisks2.encrypted-unlock-system
ResultActive=yes
- 将允许的用户添加到
luks-unlock组。
在 Ubuntu 22.04 上运行良好。