使用 Solokey (Yubiko) 無密碼登錄後如何解鎖 Gnome Keyring？

我在 Ubuntu 19.04 系統上進行了一些實驗， 並在此處查看：https://schulz.dk/2019/08/23/using-solokey-for-linux-login/ 和此處： https ://wiki.gnome。 org/Projects/GnomeKeyring/Pam#Advanced_configuration

在此之後創建了一個名為 common-fido-auth 的文件並將其包含在

/etc/pam.d/sudo 

和 /etc/pam.d/gdm-password

最後一個看起來像這樣

#%PAM-1.0
session required pam_env.so readenv=1 user_readenv=0
session required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-fido-auth #instead of @include common-auth
@include common-account
@include common-session-noninteractive

我假設 common-auth 具有解鎖 gnome 密鑰環並從 common-auth 複製一些行的模組

auth include common-fido
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so

common-fido 的樣子

auth sufficient pam_u2f.so
auth [success=1 default=ignore] pam_unix.so nullok_secure

但這似乎是錯誤的。pam_unix.so 沒有正確互動，並且使用 Solokey 我必須輸入 Gnome Keyring 的密碼

有人有什麼想法嗎？

現在有一個項目可以解決這個問題，方法是創建一個包含密鑰環的加密密碼的文件，該文件可以使用硬體加密狗自動解密。

https://github.com/recolic/gnome-keyring-yubikey-unlock

正如https://github.com/Yubico/pam-u2f/issues/130中提到的，上面提到的 Twinkybot，GNOME Keyring 需要密碼才能解鎖，所以如果您使用其他方式登錄，則無法提供密碼由 pam 發送給 GNOME Keyring 守護程序。

替代方案包括：

• 將密碼留空。這確實意味著儲存在密鑰環中的內容不再加密。
• 使用儲存在您的安全密鑰（GPG 或 PIV）上的密鑰對密碼進行加密，因此如果您將其插入以進行登錄，腳本可以使用包含加密密碼的文件自動解鎖您的密鑰環。

引用自：https://unix.stackexchange.com/questions/551021