nevaforget/greetd-moongreet
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
greetd-moongreet/CLAUDE.md
nevaforget a462b2cf06 feat: add fprintd fingerprint authentication via greetd multi-stage PAM (v0.6.0) 
Fingerprint auth was missing because moongreet rejected multi-stage
auth_message sequences from greetd. With pam_fprintd.so in the PAM
stack, greetd sends non-secret prompts for fingerprint and secret
prompts for password — moongreet now handles both in a loop.

- Replace single-pass auth with multi-stage auth_message loop
- fprintd D-Bus probe (gio::DBusProxy) for UI feedback only
- Fingerprint label shown when device available and fingers enrolled
- 60s socket timeout when fingerprint available (pam_fprintd scan time)
- Config option: [appearance] fingerprint-enabled (default: true)
- Fix: password entry focus loss after auth error (grab_focus while
  widget was insensitive — now re-enable before grab_focus)
2026-03-29 13:47:57 +02:00

4.0 KiB
Raw Blame History

Moongreet

Name: Selene (Mondgöttin — passend zu Moon-greet)

Projekt

Moongreet ist ein greetd-Greeter für Wayland, gebaut mit Rust + gtk4-rs + gtk4-layer-shell. Teil des Moonarch-Ökosystems.

Tech-Stack

  • Rust (Edition 2024), gtk4-rs 0.11, glib 0.22
  • gtk4-layer-shell 0.8 für Wayland Layer Shell (TOP Layer)
  • greetd IPC über Unix Domain Socket (length-prefixed JSON)
  • cargo test für Unit-Tests

Projektstruktur

  • src/ — Rust-Quellcode (main.rs, greeter.rs, ipc.rs, config.rs, users.rs, sessions.rs, i18n.rs, power.rs)
  • resources/ — GResource-Assets (style.css, default-avatar.svg)
  • config/ — Beispiel-Konfigurationsdateien für /etc/moongreet/ und /etc/greetd/
  • pkg/ — PKGBUILD für Arch-Linux-Paketierung (makepkg -sf)

Kommandos

# Tests ausführen
cargo test

# Release-Build
cargo build --release

# Greeter im Fenster starten (ohne greetd/Layer Shell)
MOONGREET_NO_LAYER_SHELL=1 ./target/release/moongreet

# Paket bauen und installieren
cd pkg && makepkg -sf && sudo pacman -U moongreet-git-<version>-x86_64.pkg.tar.zst

Architektur

  • ipc.rs — greetd Socket-Kommunikation (4-byte LE header + JSON)
  • users.rs — Benutzer aus /etc/passwd, Avatare (AccountsService + ~/.face), Symlink-Rejection
  • sessions.rs — Wayland/X11 Sessions aus .desktop Files
  • power.rs — Reboot/Shutdown via loginctl
  • i18n.rs — Locale-Erkennung (LANG / /etc/locale.conf) und String-Tabellen (DE/EN), alle UI- und Login-Fehlermeldungen
  • fingerprint.rs — fprintd D-Bus Probe (gio::DBusProxy) — Geräteerkennung und Enrollment-Check für UI-Feedback
  • config.rs — TOML-Config ([appearance] background, gtk-theme, fingerprint-enabled) + Wallpaper-Fallback
  • greeter.rs — GTK4 UI (Overlay-Layout), Login-Flow via greetd IPC (Multi-Stage-Auth für fprintd), Faillock-Warnung, Avatar-Cache, Last-User/Last-Session Persistence (0o600 Permissions)
  • main.rs — Entry Point, GTK App, Layer Shell Setup, Multi-Monitor, systemd-journal-logger
  • resources/style.css — Catppuccin-inspiriertes Theme

Design Decisions

  • TOP Layer statt OVERLAY: Greeter läuft unter greetd, nicht über Waybar
  • GResource-Bundle: CSS, Wallpaper und Default-Avatar sind in die Binary kompiliert
  • Async Login: glib::spawn_future_local + gio::spawn_blocking statt raw Threads
  • Socket-Cancellation: Arc<Mutex<Option<UnixStream>>> + AtomicBool für saubere Abbrüche
  • Avatar-Cache: HashMap<String, gdk::Texture> in Rc<RefCell<GreeterState>>
  • GPU-Blur via GskBlurNode: Snapshot::push_blur() + GskRenderer::render_texture() im connect_realize Callback — kein CPU-Blur, kein Disk-Cache, kein image-Crate
  • Fingerprint via greetd Multi-Stage PAM: fprintd D-Bus nur als Probe (Gerät/Enrollment), eigentliche Verifizierung läuft über PAM im greetd-Auth-Loop. auth_message_type: "secret" → Passwort, alles andere → None (PAM entscheidet). 60s Socket-Timeout bei fprintd.
  • Symmetrie mit moonlock/moonset: Gleiche Patterns (i18n, config, users, power, GResource, GPU-Blur)
  • Session-Validierung: Relative Pfade erlaubt (greetd löst PATH auf), nur ../Null-Bytes werden abgelehnt
  • GTK-Theme-Validierung: Nur alphanumerisch + _-+. erlaubt, verhindert Path-Traversal über Config
  • Journal-Logging: systemd-journal-logger statt File-Logging — journalctl -t moongreet, Debug-Level per MOONGREET_DEBUG Env-Var
  • File Permissions: Cache-Dateien 0o600
  • Testbare Persistence: save_*_to/load_*_from Varianten mit konfigurierbarem Pfad für Unit-Tests
  • Shared Wallpaper Texture: gdk::Texture wird einmal in load_background_texture() dekodiert und per Ref-Count an alle Fenster geteilt — vermeidet redundante JPEG-Dekodierung pro Monitor
  • Wallpaper-Validierung: GResource-Zweig via resources_lookup_data() + from_bytes() (kein Abort bei fehlendem Pfad), Dateigröße-Limit 50 MB, non-UTF-8-Pfade → None
  • Error-Detail-Filterung: GDK/greetd-Fehlerdetails nur auf debug!-Level, warn! ohne interne Details — verhindert Systeminfo-Leak ins Journal