Přihlásit
: [1]
   |   
: Mozilla Thunderbird a Enigmail  ( 2603 )
gln
Jr. Member
**

Karma: 4
: 65


Mors omnibus communis!


« : December 10, 2009, 03:31:16 »

Ahojte lidi...

Na začátek tohoto příspěvku předesílám, že nejsem v žádném případě paranoik... )))
Nicméně jsem se s vámi chtěl podělit o takovou malou zkušenost - řešení jednoho problému. Pro zkušenější uživatele to bude asi jednoduchá brnkačka, méně zkušeným uživatelům (stejně jako jsem já...) to může pomoci. I v jiné souvislosti, než popíšu...

K vyřizování pošty používám emailový klient Mozilla Thunderbird. A protože u některých emailů potřebuji zašifrovat jejich obsah, popřípadě podepsat pomocí GPG, používám doplněk Enigmail.
V čem jsem viděl problém... Trochu mi vadilo, že klíče jsou uloženy v adresáři /home/uživatel/.gnupg/ na HDD počítače. Sice by se nemělo nic stát, přístup ke klíčům je pod heslem, nicméně mi to vadilo.
Rozhodl jsem se je tedy dát na nějaké výměnné zařízení - v mém případě SD kartu, s tím, že ji zasunu po PC, připojím a klíče se mi Enigmail načte. (Zde musí být v Thunderbirdu nastavena cesta ke klíčům - OpenPGP - Předvolby - Rozšířené - Doplňkové parametry pro GnuPG - ve tvaru: --homedir "/cesta ke klíčům/")
Jenže ouha... Pokud jsem SD kartu normálně připojil do /media/ - tak mi Thunderbird sice klíče přečetl, šly s nimi dělat základní operace - zdaleka však ne všechno. Thunderbird hlásil neustále nějaký bezpečnostní problém. Nakonec jsem vydedukoval, že to bude zapříčiněno právy a vlastnictvím ke složce s klíči. Zařízení připojená do složky /media/ mají jako vlastníka uvedeného příslušného uživatele a skupinu root. Přístupová práva jsou: Vlatník může prohlížet a měnit obsah, Skupina a Ostatní mohou prohlížet obsah. (Tedy jestli to správně píšu, tak rwx r-x r-x). Když jsem se podíval na příslušnou předdefinovanou složku pro gpg - /home/uživatel/.gnupg/, tak jako vlastník je uvedený příslušný uživatel, skupina také příslušný užival a přístupová práva jsou rwx --- ---. V tom byl myslím si problém. Jenže..., u zařízení připojených do /media/ oprávnění nejdou normálně měnit - alespoň jsem nepřišel na způsob jak.
Jak jsem to tedy vyřešil:

1. Naformátoval jsem SD kartu na soubor. systém ext3.
2. Pomocí příkazu $ ls -l /dev/disk/by-uuid/ jsem zjistil UUID karty. (Tady jsem při hledání na NETu zjistil, že ne vžy tento příkaz funguje správně - zejména u USB flash disků. Zde se doporučuje jako root zadat příkaz: # blkid.
3. V domovském /home/uživatel/.gnupg/ jsem vytvořil podsložku, např. moje_klice a té jsem přidělil práva rwx --- ---, vlastník a skupina jen já.
4. Po dlouhém laborování a zkoušení připojování (zkoušel jsem to i v drakdisku... ) jsem vytvořil jednoduchý skript pro připojení a odpojení SD karty:

Připojení:
:
   #!/bin/bash
   mount -t ext3 -o nosuid,user,user_xattr,noexec,nodev UUID=šílené-opsané-hausnumero /home/uživatel/.gnupg/moje_klice

Možná by stačilo jen, funguje také:
:
   #!/bin/bash
   mount -t ext3 -o user,user_xattr UUID=šílené-opsané-hausnumero /home/uživatel/.gnupg/moje_klice

Odpojení:
:
   #!/bin/bash
   umount /home/uživatel/.gnupg/moje_klice

5. Uvedené skripty je potřeba spouštět jako root. Proto jsem si upravil spouštěcí soubory (nevím, jak se to přesně nazývá - s příponou *.desktop) a těmi skripty jako root spouštím. (o heslo si řeknou při poklepání)

Připojení (gpg_start.desktop):
:
   [Desktop Entry]
Comment[cs]=Otevře kartu s klíči
Comment=Otevře kartu s klíči
Exec=/home/uživatel/.scripts/gpg_start.sh
GenericName[cs]=Skript
GenericName=Skript
Icon=/usr/share/pixmaps/keyring.png
MimeType=
Name[cs]=Gnupg-key start
Name=Gnupg-key start
Path=
StartupNotify=false
Terminal=false
TerminalOptions=
Type=Application
X-DBUS-ServiceName=
X-DBUS-StartupType=none
X-KDE-SubstituteUID=true
X-KDE-Username=root 

Odpojení (gpg_stop.desktop):
:
   [Desktop Entry]
Comment[cs]=Zavře kartu s klíči
Comment=Zavře kartu s klíči
Exec=/home/uživatel/.scripts/gpg_stop.sh
GenericName[cs]=Skript
GenericName=Skript
Icon=kpgp
MimeType=
Name[cs]=Gnupg-key stop
Name=Gnupg-key stop
Path=
StartupNotify=false
Terminal=false
TerminalOptions=
Type=Application
X-DBUS-ServiceName=
X-DBUS-StartupType=none
X-KDE-SubstituteUID=true
X-KDE-Username=root

6. Na SD kartu jsem nahrál příslušné klíčenky.
7. A ještě úprava v Thunderbirdu: OpenPGP - Předvolby - Rozšířené - Doplňkové parametry pro GnuPG -   --homedir "/home/uživatel/.gnupg/moje_klice/")

A funguje to.... Thunderbird používám normálně, většinou bez šifrování a podepisování. GPG klíčenky v jiném programu nevyužívám. Pokud potřebuju šifrovat, tak vsunu kartu do PC a připojím ji. Po ukončení práce zase odpojím.

Tak..., omlouvám se za délku příspěvku - nějak neumím psát stručně. ))) Třeba ale tento postup někomu pomůže. A pokud by někdo ze zkušenějších našel  v tomto postupu chyby, popřípadě jednodušší řešení, tak dejte prosím vědět. 

Dík, Jirka.

HP 550 ‎(Intel Core2Duo T5470 1.60GHz,2GB RAM,250 GB HDD,Intel X3100),Mandriva Linux 2010.0 Free-32bit,KDE4.3.5
HP mini 2140 ‎(Intel Atom N270 1.60GHz,1GB RAM,160 GB HDD,Intel GMA 950),Mandriva Linux 2009 Spring One-32bit,KDE4.2.4
Live Easy Debian na USB Flash LaCie 4 GB
: [1]
   |   
 
: