Comment désactiver le trousseau de clés pour SSH et GPG?

Dans une session de terminal (en utilisant Ctrl-Alt-T) vous pouvez empêcher le processus gnome-keyring de fonctionner avec ssh en utilisant:

unset SSH_AUTH_SOCK 

L'option --no-use-agent est disponible pour gpg afin d'éviter l'utilisation du processus gnome-keyring avec gpg, bien que ce soit la valeur par défaut.

Vous pouvez empêcher l'outil Nautilus Seahorse-tool d'utiliser gpg-agent en utilisant:

rm `echo $GPG_AGENT_INFO | sed s/:0:1//`

Vous pouvez arrêter complètement le processus gnome-keyring avec la commande:

kill $GNOME_KEYRING_PID

Chacune des actions ci-dessus est restaurée en se reconnectant.

Les mots de passe Wi-Fi disponibles pour tous les utilisateurs sont stockés dans le répertoire /etc/NetworkManager/system-connections/ plutôt que dans votre trousseau gnome, afin de pouvoir rester disponibles si vous annulez le processus gnome-keyring.

La commande ssh-add peut être utilisée pour supprimer (ou ajouter) des clés spécifiques de/dans le gnome-keyring en cours pendant l'exécution du processus de jeu de clés.

Les mots de passe individuels peuvent être supprimés de la connexion ou d'un autre trousseau à l'aide de l'onglet Passwords du programme Passwords and Keys (seahorse).

Si le gnome-keyring n'est pas présent, ssh-agent sera toujours en cours d'exécution, mais il ne stockera pas les clés gpg.

/etc/pam.d/lightdm comporte deux lignes permettant de sauvegarder le mot de passe de connexion et de démarrer le démon gnome-keyring avec le trousseau de clés de connexion déverrouillé à l'aide du mot de passe de connexion. La seconde démarre le démon:

session optional        pam_gnome_keyring.so auto_start

La mise en commentaire de cette ligne l'empêcherait de démarrer pour toutes les sessions de tous les utilisateurs de votre système, en utilisant le mot de passe de connexion pour déverrouiller le trousseau de clés de connexion.

/etc/xdg/autostart/ contient les entrées de démarrage pour différentes catégories de secrets que gnome-keyring peut gérer. Pour empêcher le démon de démarrer ces composants, ces fichiers peuvent être déplacés hors de ce répertoire. Vous pouvez déplacer tous les fichiers gnome-keyring- * pour empêcher le démon de démarrer ou simplement refuser de fournir à nouveau le mot de passe de connexion pour désactiver le trousseau de connexion tout en laissant le démon en cours d'exécution.

Pour empêcher gnome-keyring de démarrer son agent ( cassé ) SSH sur Ubuntu 16.04:

mkdir ~/.config/upstart || true
echo manual > ~/.config/upstart/gnome-keyring-ssh.override

# This step can be done with the gnome-session-properties tool
mkdir ~/.config/autostart || true
cp /etc/xdg/autostart/gnome-keyring-ssh.desktop ~/.config/autostart
echo 'X-GNOME-Autostart-enabled=false' >> ~/.config/autostart/gnome-keyring-ssh.desktop

Avec la version actuelle d'Ubuntu, changer le fichier .desktop mentionné dans d'autres réponses n'est plus suffisant. Un travail supplémentaire en amont a été ajouté qui démarre également gnome-keyring-daemon. Le fichier se trouve dans /usr/share/upstart/sessions/gnome-keyring.conf et contient:

eval "$(gnome-keyring-daemon --start)" >/dev/null
initctl set-env --global SSH_AUTH_SOCK=$SSH_AUTH_SOCK
initctl set-env --global GPG_AGENT_INFO=$GPG_AGENT_INFO

Ici, le démon doit être limité à certains services en ajoutant --components=pkcs11,secrets à la ligne de commande. Les lignes initctl peuvent également être supprimées, ce qui entraîne:

eval "$(gnome-keyring-daemon --start --components=pkcs11,secrets)" >/dev/null