Ubuntuのセキュリティ機能について考える。
どうでもいいが、俺はレ◯ボのノーパソに「Ubuntu」を入れて使用している。「Ubuntu」が「プリインストール」された状態で出荷されるモデルなので、「入れて」というより「入って」いる。
購入から結構時間が経っているのでそろそろ買い替え時である。次回も費用とパフォーマンスを考えたらデスクトップの方が良いが、処分の面倒さや旅行などで持ち運びを考えて結局「Ubuntuが公式に使える」ノーパソになるだろう。
ちなみに、遠隔地にもとある理由で何台かデスクトップを運用しているが、それらもすべてUbuntuだ。
特にUbuntuである必要は無いが、広範囲で使用され、安定して長期にサポートされる無料の配布版(ディストリ)となると、Ubuntuが現段階では事実上標準だ。
それはいいとして、相当長いUbuntu使用歴中で「気になっている」のが、いつから入ったのか覚えていないが、「Keyring」という機能だ。gnome desktopの一部として、Ubuntuでは長らく「標準」で導入されるソフトウエアである。
Keyringはパスワード管理ソフトであり、ウェブサイトやアプリ等、「外部」サービスのパスワードや、保護されているsshのキーをロック解除するための「内部」で使用するパスワード、等を一箇所にまとめ参照できるようにするモノだ。
で、その「一箇所にまとめられたデータ」自体も当然パスワードで保護される。
俺が調べた限りでは、「システムに普通にログイン」する設定では、そのログイン自体でロックが自動解除される。従って追加の「解除」の面倒は無い。裏でパスワード管理が自動で動く事自体が自分の制御外になりがちで気になるが、とにかくシステム全体の使用感はそれ程変わらない(と思う)。
だが、「システムに自動ログイン」する場合に於いては、Keyringは「頻繁に」、「データロック解除」のパスワードを聞いてくる。これは自動ログインに於いては、そのログインセッションが保護されていないため、「アクセスを希望するプログラム毎」に許可するのでこうなるらしい。
だから、「煩わしいロック解除ダイアログ」を避けるためには、自動ログインにしないのがとりあえずの良い解決策である。
だが、セキュリティ上慎重になるべきではあるとしても、已むを得ず「自動ログイン」を使用する場合もあるだろう。俺の場合は遠隔マシンでopenssh-serverがそのままでは動かないのが困るので、最初はすくなくとも手っ取り早く「自動ログイン」を使用する。
そこで頻繁な「ダイアログ」が煩わしい場合は、聞かれるパスワードを「無し」にして避けるという使用者も多いかもしれない。俺もセットアップ中など、とりあえずそうする場合も多い。
セキュリティ機能なので「パスワード無し」が良いことなのか、推奨されるべきでないのか、はたまたどれだけ危険なのか、非常に慎重になるべきであるが、備忘記録的にその手順を書いておくと、20.04においては以下のような感じである(注意 自分では未確認だが、ネット情報だと22.04以降では以下の方法はもうできないらしい):
- 「Passwords and Keys」を開く。
- 「Passwords」下の「Login」を意義クリック。
- 「Change Password」を選択。
- 「Login」パスワードを聞かれるので、入力。
- 最初のパスワードは、何も設定していなければ、ログインパスワードになる(らしい)。
- 「新しいパスワード」を聞かれるので、両フィールドを空欄のままにして「Continue」ー>「Continue」。
繰り返すが、これは推奨すべきかどうか不明である。俺も機器の初期設定中は他のやり方も知らないしやってしまうが、(Keyring自体どうこうでなく、安易にこうしがちだという結果的に、)控えめ?に見ても「セキュリティホール」になる。
だが、このダイアログを避ける方法についての投稿がとても多い事から、多くのユーザーが悩まされている事は確かな様である。一方でUbuntuあるいはGnomeデスクトップが長年Keyringを維持している事から、提供側からすると必要な機能で外せないという事情もあると思われる。
そこで、空のパスワード以外にどんな方策があるか、代替できるソフトウエアはあるのか、等を今後の投稿で題材とする。どうだろうか。
