Bandie/pam_panic
1
0
Fork 0
Code Issues 5 Pull Requests Releases Wiki Activity

Convert the project to use the GNU Build System (aka Autotools)

Browse Source 
LICENSE was renamed COPYING because otherwise `autoreconf` complains loudly.
This is also the reason AUTHORS, INSTALL, and README were created.

Man pages were moved into src/pam_panic/man and src/pam_panic_pw/man.

Finally, certain variables are passed through the config.h file to the
module rather than as -D flags on the command-line.
This commit is contained in:
Jordy Dickinson
2018-04-02 14:34:43 -04:00
parent c7e74b6769
commit 05d8fe5d5f
32 changed files with 507 additions and 95 deletions
Download Patch File Download Diff File Expand all files Collapse all files

25
src/pam_panic/Makefile
View File

@ -1,25 +0,0 @@
CFLAGS = -Wall --std=gnu11 -O2 -fPIC -DPOWEROFF=\"`which poweroff`\" -DREBOOT=\"`which reboot`\" -DCRYPTSETUP=\"`which cryptsetup`\" -DPPASSFILE=\"$(PPASSFILE)\"
#LDFLAGS = -x -shared -lcrypt -lpam -lpam_misc
LDFLAGS = -shared -lcrypt -lpam -lpam_misc
OBJ = pam_panic_authdevice.o pam_panic_password.o pam_panic_reject.o
pam_panic: $(OBJ)
cc $(CFLAGS) $(LDFLAGS) -o ../../build/pam_panic.so pam_panic.c $(OBJ)
# ld $(LDFLAGS) -o ../../build/pam_panic.so $(OBJ)
%.o: %.c
$(CC) $(CFLAGS) -c -o $@ $<
all:
mkdir -p ../../build
clean:
rm *.o
# cc $(CFLAGS) -c pam_panic.c -o ../../obj/pam_panic.o
# ld $(LDFLAGS) -o ../../build/pam_panic.so ../../obj/pam_panic.o

13
src/pam_panic/Makefile.am Normal file
View File

@ -0,0 +1,13 @@
SUBDIRS = man
securelibdir = $(SECUREDIR)
securelibexecdir = $(securelibdir)
securelibexec_LTLIBRARIES = pam_panic.la
pam_panic_la_SOURCES = \
pam_panic.c \
pam_panic_authdevice.c \
pam_panic_password.c \
pam_panic_reject.c
pam_panic_la_LDFLAGS = -module -no-undefined -avoid-version
pam_panic_la_LIBADD = -lpam -lcrypto

9
src/pam_panic/config.h.in Normal file
View File

@ -0,0 +1,9 @@
#ifndef PAM_PANIC_CONFIG_H
#define PAM_PANIC_CONFIG_H
#define REBOOT "@REBOOT@"
#define POWEROFF "@POWEROFF@"
#define CRYPTSETUP "@CRYPTSETUP@"
#define PPASSFILE "@PPASSFILE@"
#endif

17
src/pam_panic/man/Makefile.am Normal file
View File

@ -0,0 +1,17 @@
man8_MANS = man8/pam_panic.8
install-data-local: install-man-de install-man-es install-man-fr
install-man-de: de/man8/pam_panic.8
mkdir -p $(mandir)/de/man8
cp $< $(mandir)/de/man8
install-man-es: es/man8/pam_panic.8
mkdir -p $(mandir)/es/man8
cp $< $(mandir)/es/man8
install-man-fr: fr/man8/pam_panic.8
mkdir -p $(mandir)/fr/man8
cp $< $(mandir)/fr/man8
.PHONY: install-data-local install-man-de install-man-es install-man-fr

209
src/pam_panic/man/de/man8/pam_panic.8 Normal file
View File

@ -0,0 +1,209 @@
'\" t
.\" Title: pam_panic
.\" Author: [see the "AUTHORS" section]
.\" Date: 2018-03-31
.\" Manual: PAM Panic Manual
.\" Source: PAM Panic Manual
.\" Language: German
.\"
.TH "PAM_PANIC" "8" "2018-03-31" "PAM Panic Handbuch" "PAM Panic Handbuch"
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
pam_panic \- PAM-Modul mit Panik-Funktion zum Sch\(:utzen von wichtigen Daten in Notsituationen
.SH "\(:UBERSICHT"
.HP \w'\fBpam_panic\&.so\fR\ 'u
\fBpam_panic\&.so\fR [password] [allow=\fIUUID(GPT)\fR] [reject=\fIUUID(GPT)\fR] [reboot] [poweroff] [serious=\fIUUID\fR]
.SH "BESCHREIBUNG"
.PP
Das pam_panic PAM Modul wurde mit dem Hintergedanken entwickelt, Personen mit wichtigen Daten zu sch\(:utzen\&. Es bietet eine Panik-Funktion\&.
.PP
Es gibt zwei M\(:oglichkeiten der Verwendung:
.PD 0
.PP
Erste M\(:oglichkeit:
.RS 2
Man verwendet zwei Wecheldatentr\(:ager, die als Schl\(:ussel dienen\&.
Hierbei funktioniert eines als Authentifizierungsschl\(:ussel und eines als Panikschl\(:ussel\&.
Der Panikschl\(:ussel f\(:uhrt die \fIPanikfunktion\fR aus\&.
.PD 0
.PP
Siehe dazu die Optionen \fBallow\fR und \fBreject\fR\&.
.RE
.PP
Zweite M\(:oglichkeit:
.RS 2
Man verwendet zwei Passw\(:orter, die als Schl\(:ussel dienen\&.
Dabei wird ein Schl\(:usselpasswort (Key password) und ein Panikpasswort (Panic password) festgelegt\&.
Das Panikpasswort wird hierbei die \fIPanikfunktion\fR aufrufen\&.
.PD 0
.PP
Siehe dazu die Option \fBpassword\fR\&.
.RE
.PD 1
.PP
Die Panikfunktion:
.RS 2
Das Verhalten der Panikfunktion wird durch die Argumente \fBreboot\fR, \fBpoweroff\fR und/oder \fBserious\fR definiert\&.
.RE
.SH "OPTIONEN"
.PP
\fBpassword\fR
.RS 4
Diese Option aktiviert die Passwortfunktion mit einem Panikpasswort und einem Schl\(:usselpasswort. Wenn \fBallow\fR und \fBreject\fR gesetzt sind, wird diese Option ignoriert.
.PD 0
.PP
.PD 1
Um die Passw\(:orter zu setzen steht das Programm \fBpam_panic_pw\fR(1) zur Verf\(:ugung.
.RE
.PP
\fBallow=\fR\fB\fIUUID(GPT)\fR\fR
.RS 4
Diese Ger\(:ate-UUID wird zur Authentifizierung benutzt (Authentifierungsschl\(:ussel)\&.
.PD 0
.PP
.PD 1
Es ist notwendig, dass ein GPT-formatierter Wecheldatentr\(:ager mit mindestens einer Partition benutzt wird\&.
Die UUID eines GPT-formatierten Ger\(:ates sieht beispielsweise so aus: "12345678-9ABC-DEF0-1234-56789ABCDEF0"\&.
.PP
Weitere Informationen im Abschnitt \fBWIE BESTIMME ICH MEINE UUIDS\fR\&.
.RE
.PP
\fBreject=\fR\fB\fIUUID(GPT)\fR\fR
.RS 4
Diese Ger\(:ate-UUID wird \fBreboot\fR, \fBpoweroff\fR und/oder die Panik-Funktion \fBserious\fR, sofern als Argument angegeben, aufrufen\& (Panikschl\(:ussel).
.PD 0
.PP
.PD 1
Es ist notwendig, dass ein GPT-formatierter Wecheldatentr\(:ager mit mindestens einer Partition benutzt wird\&.
Die UUID eines GPT-formatierten Ger\(:ates sieht beispielsweise so aus: "12345678-9ABC-DEF0-1234-56789ABCDEF0"\&.
.PP
Weitere Informationen im Abschnitt \fBWIE BESTIMME ICH MEINE UUIDS\fR\&.
.RE
.PP
\fBreboot\fR (empfohlen)
.RS 4
Wenn dieses Argument angegeben wird, wird das System neu gestartet, sobald der Wecheldatentr\(:ager mit der UUID des Arguments \fBreject=UUID(GPT)\fR eingelegt wurde\&.
Diese Option wird empfohlen\&.
.PP
Wenn \fBpoweroff\fR ebenfalls als Argument angegeben wird, wird \fBreboot\fR ignoriert\&.
.RE
.PP
\fBpoweroff\fR
.RS 4
Wenn dieses Argument angegeben wird, wird das System heruntergefahren, sobald der Wecheldatentr\(:ager mit der UUID des Arguments \fBreject=UUID(GPT)\fR eingelegt wurde\&.
Aus Sicherheitsgr\(:unden wird von dieser Option abgeraten\&.
.RE
.PP
\fBserious=\fR\fB\fIUUID\fR\fR
.RS 4
Die Ger\(:ate-UUID, dessen luksHeaders zerst\(:ort werden w\(:urde, sobald der Wecheldatentr\(:ager mit der UUID des Arguments \fBreject=UUID(GPT)\fR eingelegt wurde\&.
Das hei\(sst, dass die Daten auf den in den Optionen angegebenen Datentr\(:ager f\(:ur niemanden mehr lesbar sein werden\&.
.PD 0
.PP
Intern wird das Programm "\fBcryptsetup luksErase [UUID]\fR" ausgef\(:uhrt\&.
.PD 1
.PP
(Eine Erinnerung daran, ein luksHeader-Backup zu machen bevor diese Funktion benutzt wird.\&.)
.RE
.PP
.SH "ANWENDUNG"
.PP
Um das Modul zu aktivieren, muss PAM konfiguriert werden\&. Siehe dazu \fBpam\&.conf(5)\fR\&.
.PP
Man f\(:uge folgende beispielhafte Zeilen am Anfang einer Konfigurationsdatei hinzu:
.PD 0
.RS 4
auth requisite pam_panic.so auth=<UUID> reject=<UUID> reboot serious=<UUID>
.PP
account requisite pam_panic.so
.RE
Oder auch:
.RS 4
auth requisite pam_panic.so password reboot serious=<UUID>
.PP
account requisite pam_panic.so
.RE
.PD 1
.SH "WIE BESTIMME ICH MEINE UUIDS"
.PP
Die UUIDs k\(:onnen unter \fI/dev/disk/by-partuuid\fR gefunden werden\&.
Um nachvollziehen zu k\(:onnen, welcher Wecheldatentr\(:ager welches ist, ist es ratsam "\fBls -l /dev/disk/by-partuuid/\fR" in der Lieblingsshell auszuf\(:uhren\&.
.SH "R\(:UCKGABEWERTE"
.PP
PAM_SUCCESS
.RS 4
Zugriff wurde gew\(:ahrt\&.
.RE
.PP
PAM_IGNORE
.RS 4
Ein Fehler ist aufgetreten\&. Dieses Modul wird ignoriert\&.
.RE
.PP
PAM_MAXTRIES
.RS 4
Der Wecheldatentr\(:ager wurde nicht erkannt\&.
.RE
.SH "DATEIEN"
.PP
/lib/*/security/pam_panic\&.so
.RS 4
Shared object-Datei, die f\(:ur alles zust\(:andig ist\&.
.RE
.PP
/usr/local/bin/pam_panic_pw
.RS 4
Programm zum Setzen und Ver\(:andern der Passw\(:orter\&.
.RE
.SH "BUGS"
.PP
Fehlerberichte (m\(:oglichst auf Englisch) und Codeverbesserungen k\(:onnen hier eingereicht werden: <https://github\&.com/pampanic/pam_panic>
.SH "SIEHE AUCH"
.PP
\fBpam_panic_pw\fR(1),
\fBcryptsetup\fR(8),
\fBpam\&.conf\fR(5),
\fBpam\fR(8)\&.
.SH "AUTOREN"
.PD 0
.PP
Dieses pam_panic PAM Modul wurde durch Bandie <bandie@chaospott\&.de> entwickelt\&.

149
src/pam_panic/man/es/man8/pam_panic.8 Normal file
View File

@ -0,0 +1,149 @@
'\" t
.\" Title: pam_panic
.\" Author: [vea la secci\('on "AUTORES"]
.\" Date: 2018-03-28
.\" Manual: Linux-PAM Panic Manual
.\" Source: Linux-PAM Panic Manual
.\" Language: Spanish
.\"
.TH "PAM_PANIC" "8" "2018-03-28" "PAM Panic Manual" "PAM Panic Manual"
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NOMBRE"
pam_panic \- un m\('odulo de PAM para controlar acceso usando media removible (con funci\('on p\('anica)
.SH "SINOPSIS"
.HP \w'\fBpam_panic\&.so\fR\ 'u
\fBpam_panic\&.so\fR [allow=\fIUUID(GPT)\fR] [reject=\fIUUID(GPT)\fR] [reboot] [poweroff] [serious=\fIUUID\fR]
.SH "DESCRIPCI\('ON"
.PP
El m\('odulo pam_panic protege los datos delicados y proporci\('ona una funci\('on p\('anica para emergencias\&.
.PP
Hay dos medias removibles que estan usado como claves. La primera es para autenticaci\('on, y la segunda es para emergencias. La clave para autenticaci\('on se permite ingresar su contrase\(~na mientras la clave para p\('anica, si se proporciona, borrar\('a el encabezamiento de LUKS de forma segura, que hace que los datos sean ilegibles.
.SH "OPCI\('ONES"
.PP
\fBallow=\fR\fB\fIUUID(GPT)\fR\fR (necesario)
.RS 4
Es el UUID del dispositivo para autenticaci\('on.
.PD 0
.PP
.PD 1
El dispositivo debe estar formateado por GPT y contener al menos una partici\('on\&.
El UUID de un dispositivo se ve como \[Fo]12345678-9ABC-DEF0-1234-56789ABCDEF0\[Fc]\&.
.PP
Vea \fBC\('OMO DETERMINAR MIS UUIDS\fR para detalles\&.
.RE
.PP
\fBreject=\fR\fB\fIUUID(GPT)\fR\fR (necesario)
.RS 4
Es el UUID del dispositivo para emergencias. Cuando este dispositivo est\('a presente, se disparar\('a un reinicio, un apagado, y / o la funci\('on p\('anica, seg\('un si \fBreboot\fR, \fBpoweroff\fR, y / o \fBserious\fR han sido especificados.
.PD 0
.PP
.PD 1
El dispositivo debe estar formateado por GPT y contener al menos una partici\('on\&.
El UUID de un dispositivo se ve como \[Fo]12345678-9ABC-DEF0-1234-56789ABCDEF0\[Fc]\&.
.PP
Vea \fBC\('OMO DETERMINAR MIS UUIDS\fR para detalles\&.
.RE
.PP
\fBreboot\fR (recomendado)
.RS 4
Indica que la sistema debe reiniciarse cuando se encontra el dispositivo especificado por \fBreject\fR\&.
.PP
Si \fBpoweroff\fR est\('a especificado tambi\('en, \fBreboot\fR estar\('a ignorado\&.
.RE
.PP
\fBpoweroff\fR
.RS 4
Indica que la sistema debe apagarse cuando se encontra el dispositivo especificado por \fBreject\fR\&.
Esta opci\('on no se recomienda por razones de seguridad\&.
.RE
.PP
\fBserious=\fR\fB\fIUUID\fR\fR
.RS 4
Es el UUID del dispositivo que contene el encabezamiento de LUKS que estar\('a borrado cuando encuentra el dispositivo especificado por \fBreject\fR\&.
.PP
NOTA: Se deberi\('a hacer una copia del encabezamiento de LUKS antes de usar esta funci\('on.
.RE
.PP
.SH "USAR"
.PP
Para activar el m\('odulo se tiene que configurar PAM\&. Vea \fBpam\&.conf(5)\fR para detalles\&.
.PP
En general, se necesita agregar lo siguiente al comienzo de un archivo de configuraci\('on PAM:
.PD 0
.RS 4
auth requisite pam_panic\&.so auth=<UUID> reject=<UUID> reboot serious=<UUID>
.PP
account requisite pam_panic\&.so
.RE
.PD 1
.SH "C\('OMO DETERMINAR MIS UUIDS"
.PP
Se puede encontrar sus UUIDs en \fI/dev/disk/by-partuuid\fR\&.
Es posible que desee ejecutar \[Fo]\fBls -l /dev/disk/by-partuuid\fR\[Fc] en su shell favorito para encontrar cu\('al UUID es su dispositivo\&.
.SH "VALORES DE RETORNO"
.PP
PAM_SUCCESS
.RS 4
Indica que acceso fue permitido\&.
.RE
.PP
PAM_IGNORE
.RS 4
Indica que se ha producido un error\&. El m\('odulo estar\('a ignorado.
.RE
.PP
PAM_MAXTRIES
.RS 4
El media removible no fue detectados\&.
.RE
.SH "ARCHIVOS"
.PP
/lib/*/security/pam_panic\&.so
.RS 4
Este m\('odulo\&.
.RE
.SH "ERRORES"
.PP
Por favor repuerta errores y enviar pull requests a <https://github\&.com/pampanic/pam_panic>\&.
.SH "VER TAMBI\('EN"
.PP
\fBcryptsetup\fR(8), \fBpam\fR(8), \fBpam\&.conf\fR(5)
.SH "AUTORES"
.PD 0
.PP
pam_panic fue escrito por Bandie <bandie@chaospott\&.de>\&.
.PP
Este p\('agina man fue traducido al espa\(~nol por Jordy Dickinson <jordy\&.dickinson@icloud\&.com>\&.

154
src/pam_panic/man/fr/man8/pam_panic.8 Normal file
View File

@ -0,0 +1,154 @@
'\" t
.\" Title: pam_panic
.\" Author: [see the "AUTEURS" section]
.\" Date: 2018-03-28
.\" Manual: Linux-PAM Panic Manual
.\" Source: Linux-PAM Panic Manual
.\" Language: French
.\"
.TH "PAM_PANIC" "8" "2018-03-26" "Manuel de PAM Panic" "Manuel de PAM Panic"
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NOM"
pam_panic \- Module PAM pour un contrôle d'accès via l'utilisation d'un périphérique amovible (avec une fonction panique)
.SH "SYNOPSIS"
.HP \w'\fBpam_panic\&.so\fR\ 'u
\fBpam_panic\&.so\fR [allow=\fIUUID(GPT)\fR] [reject=\fIUUID(GPT)\fR] [reboot] [poweroff] [serious=\fIUUID\fR]
.SH "DESCRIPTION"
.PP
Le module PAM pam_panic protège les données sensibles et fournit une fonction de panique pour les situation d'urgence\&.
.PP
Il y à deux périphériques amovibles qui fonctionnent comme clé : la clé d'authentification et la clé de panique\&. La clé d'authentification permet de passer à la demande de mot de passe alors que la clé de panique, si fournie, écrasera avec sécuritée l'entête LUKS, rendant les données illisibles\&.
.SH "OPTIONS"
.PP
\fBallow=\fR\fB\fIUUID(GPT)\fR\fR (requis)
.RS 4
L'UUID du péripherique à utiliser pour l'authentification (la clé d'authentification)\&.
.PD 0
.PP
.PD 1
Le périphérique doit être formatté en GPT avec au moins une partition\&.
L'UUID du périphérique formatté en GPT ressemble à "12345678-9ABC-DEF0-1234-56789ABCDEF0"\&.
.PP
Lisez \fBCOMMENT DÉTERMINER MES UUIDS\fR pour plus de détails\&.
.RE
.PP
\fBreject=\fR\fB\fIUUID(GPT)\fR\fR (requis)
.RS 4
L'UUID du périphérique à utiliser en cas d'urgence. La présence de ce périphérique entrainera un \fBreboot\fR, \fBpoweroff\fR et/ou la fonction de panique, selon si \fBreboot\fR, \fBpoweroff\fR, et/ou \fBserious\fR sont spécifiés.
.PD 0
.PP
.PD 1
Le périphérique doit être formatté en GPT avec au moins une partition\&.
L'UUID du périphérique formatté en GPT ressemble à "12345678-9ABC-DEF0-1234-56789ABCDEF0"\&.
.PP
Lisez \fBCOMMENT DÉTERMINER MES UUIDS\fR pour plus de détails\&.
.RE
.PP
\fBreboot\fR (recommendé)
.RS 4
Indique que le système doit redémarrer lorsqu'il détecte le périphérique spécifié avec \fBreject\fR\&.
.PP
Si \fBpoweroff\fR est aussi spécifié, \fBreboot\fR sera ignoré\&.
.RE
.PP
\fBpoweroff\fR
.RS 4
Indique que le système doit s'éteindre lorsqu'il détecte le périphérique spécifié avec \fBreject\fR\&.
Cette option est déconseillée pour des raisons de sécurité\&.
.RE
.PP
\fBserious=\fR\fB\fIUUID\fR\fR
.RS 4
L'UUID du périphérique contenant l'entête LUKS à éffacer lors de la détéction du périphérique spécifié avec \fBreject\fR\&.
.PP
NOTE: Vous devriez faire une sauvegarde de l'entête LUKS avant d'utiliser cette fonction\&.
.RE
.PP
.SH "UTILISATION"
.PP
Pour activer ce module vous devez configurer PAM\&. Lisez \fBpam\&.conf(5)\fR pour plus de détails\&.
.PP
En général, vous voudrez ajouter ce qui suit au début du fichier de configuration PAM:
.PD 0
.RS 4
auth requisite pam_panic\&.so auth=<UUID> reject=<UUID> reboot serious=<UUID>
.PP
account requisite pam_panic\&.so
.RE
.PD 1
.SH "COMMENT DÉTERMINER MES UUIDS"
.PP
Vous trouverz vos UUIDs dans \fI/dev/disk/by-partuuid\fR\&.
Vous voudriez peut-être executer "\fBls -l /dev/disk/by-partuuid/\fR" dans votre shell favoris pour trouver quel UUID correspond à quel périphérique\&.
.SH "VALEURS DE RETOUR"
.PP
PAM_SUCCESS
.RS 4
Accès autorisé\&.
.RE
.PP
PAM_IGNORE
.RS 4
Une erreur est survenue\&. Le module sera ignoré\&.
.RE
.PP
PAM_MAXTRIES
.RS 4
Le péripherique amovible n'a pas été détécté\&.
.RE
.SH "FICHIERS"
.PP
/lib/*/security/pam_panic\&.so
.RS 4
Ce module PAM\&.
.RE
.SH "BUGS"
.PP
Veuillez reporter les bugs ou envoyer une demande de correction à <https://github\&.com/pampanic/pam_panic>\&.
.SH "VOIR AUSSI"
.PP
\fBcryptsetup\fR(8), \fBpam\fR(8), \fBpam\&.conf\fR(5)
.SH "AUTEURS"
.PD 0
.PP
pam_panic à été écris par Bandie <bandie@chaospott\&.de>\&.
.PP
La page de manuel Anglaise à été révisée par Jordy Dickinson <jordy\&.dickinson@icloud\&.com>\&.
.PP
La version Française à été traduite par Dashie <dashie@otter\&.sh>\&.

197
src/pam_panic/man/man8/pam_panic.8 Normal file
View File

@ -0,0 +1,197 @@
'\" t
.\" Title: pam_panic
.\" Author: [see the "AUTHORS" section]
.\" Date: 2018-03-26
.\" Manual: Linux-PAM Panic Manual
.\" Source: Linux-PAM Panic Manual
.\" Language: English
.\"
.TH "PAM_PANIC" "8" "2018-03-26" "PAM Panic Manual" "PAM Panic Manual"
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
pam_panic \- PAM module with panic function to protect sensitive data in emergency situations
.SH "SYNOPSIS"
.HP \w'\fBpam_panic\&.so\fR\ 'u
\fBpam_panic\&.so\fR [password] [allow=\fIUUID(GPT)\fR] [reject=\fIUUID(GPT)\fR] [reboot] [poweroff] [serious=\fIUUID\fR]
.SH "DESCRIPTION"
.PP
The pam_panic PAM module protects sensitive data and provides a panic function for emergency situations\&.
.PP
There are two possible options in how to use this PAM module:
.PD 0
.PP
First possible option:
.RS 2
There are two removable media which work as keys: the auth key and the panic key\&.
The auth key will let you pass to the password prompt whereas the panic key will call the panic function\&.
.RE
Second possible option:
.RS 2
There are two passwords: the key password and the panic password\&. The key password will let you pass to the original password prompt whereas the panic password will call the panic function\&.
.RE
.PD 1
.PP
The panic function:
.RS 2
The behaviour of this function is defined through the arguments \fBreboot\fR, \fBpoweroff\fR and/or \fBserious\fR\&. See the \fBOPTIONS\R section for details\&.
.RE
.SH "OPTIONS"
.PP
\fBpassword\fR
.RS 4
Activates the password function having a panic and key password\&.
If the options \fBallow\fR and \fBreject\fR are provided this option will be ignored\&.
.PD 0
.PP
These passwords can be set with the \fBpam_panic_pw\fR(1) command\&.
.RE
.PD 1
.PP
\fBallow=\fR\fB\fIUUID(GPT)\fR\fR
.RS 4
The UUID of the device to be used for authentication (the auth key)\&.
.PD 0
.PP
.PD 1
The device must be GPT-formatted and contain at least one partition\&.
The UUID of a GPT-formatted device looks like "12345678-9ABC-DEF0-1234-56789ABCDEF0"\&.
.PP
See \fBHOW TO DETERMINE MY UUIDS\fR for details\&.
.RE
.PP
\fBreject=\fR\fB\fIUUID(GPT)\fR\fR
.RS 4
The UUID of the device to be used in emergencies. The presence of this device will trigger \fBreboot\fR, \fBpoweroff\fR and/or the panic function, depending on whether \fBreboot\fR, \fBpoweroff\fR, and/or \fBserious\fR are specified.
.PD 0
.PP
.PD 1
The device must be GPT-formatted and contain at least one partition\&.
The UUID of a GPT-formatted device looks like "12345678-9ABC-DEF0-1234-56789ABCDEF0"\&.
.PP
See \fBHOW TO DETERMINE MY UUIDS\fR for details\&.
.RE
.PP
\fBreboot\fR (recommended)
.RS 4
Indicates that the system should reboot upon encountering the device specified with \fBreject\fR\&.
.PP
If \fBpoweroff\fR is also specified, \fBreboot\fR will be ignored\&.
.RE
.PP
\fBpoweroff\fR
.RS 4
Indicates that the system should shut down upon encountering the device specified with \fBreject\fR\&.
This option is discouraged for security reasons\&.
.RE
.PP
\fBserious=\fR\fB\fIUUID\fR\fR
.RS 4
The UUID of the device containing the LUKS header to erase upon encountering the device specified with \fBreject\fR\&.
Erasing the LUKS header will render the data unreadable\&.
.PP
NOTE: You should make a backup of the LUKS header before using this function\&.
.RE
.PP
.SH "USAGE"
.PP
To activate the module you have to configure PAM\&. See \fBpam\&.conf(5)\fR for details\&.
.PP
In general, you will want to add the following to the top of a PAM configuration file:
.PD 0
.RS 4
auth requisite pam_panic\&.so auth=<UUID> reject=<UUID> reboot serious=<UUID>
.PP
account requisite pam_panic\&.so
.RE
Or:
.RS 4
auth requisite pam_panic.so password reboot serious=<UUID>
.PP
account requisite pam_panic.so
.RE
.PD 1
.SH "HOW TO DETERMINE MY UUIDS"
.PP
You will find your UUIDs in \fI/dev/disk/by-partuuid\fR\&.
You might want to execute "\fBls -l /dev/disk/by-partuuid/\fR" in your favourite shell to find out which UUID is which device\&.
.SH "RETURN VALUES"
.PP
PAM_SUCCESS
.RS 4
Access was granted\&.
.RE
.PP
PAM_IGNORE
.RS 4
An error has occured\&. The module will be ignored.\&.
.RE
.PP
PAM_MAXTRIES
.RS 4
The removable media was not detected\&.
.RE
.SH "FILES"
.PP
/lib/*/security/pam_panic\&.so
.RS 4
This PAM module\&.
.RE
.PP
/usr/local/bin/pam_panic_pw
.RS 4
Program to set and change the passwords\&.
.RE
.SH "BUGS"
.PP
Please report bugs and send pull requests to <https://github\&.com/pampanic/pam_panic>\&.
.SH "SEE ALSO"
.PP
\fBpam_panic_pw\fR(1),
\fBcryptsetup\fR(8),
\fBpam\fR(8),
\fBpam\&.conf\fR(5)
.SH "AUTHORS"
.PD 0
.PP
pam_panic was written by Bandie <bandie@chaospott\&.de>\&.
.PP
This man page has been revised by Jordy Dickinson <jordy\&.dickinson@icloud\&.com>

1
src/pam_panic/pam_panic.c
View File

@ -16,6 +16,7 @@ LICENSE : GNU-GPLv3
#include <security/pam_modules.h>
#include <security/pam_ext.h>
#include <syslog.h>
#include "config.h"
#include "pam_panic_reject.h"
#include "pam_panic_authdevice.h"
#include "pam_panic_password.h"

2
src/pam_panic/pam_panic_password.h
View File

@ -5,6 +5,8 @@ DATE : 2018-03-27T02:34:08+02:00
LICENSE : GNU-GPLv3
*/
#include "config.h"
#ifndef PPASSFILE
#error PPASSFILE must be declared!
#endif

1
src/pam_panic/pam_panic_reject.c
View File

@ -10,6 +10,7 @@ LICENSE : GNU-GPLv3
#include <unistd.h>
#include <security/pam_ext.h>
#include <sys/wait.h>
#include "config.h"
#include "pam_panic_reject.h"
int reject(char *serious_dev, int8_t bSerious, int8_t bReboot, int8_t bPoweroff){