nevaforget/moonlock
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
37309ec5667df9d8bdc67721fd61a8df8bad15e3
moonlock/CLAUDE.md
T
nevaforget e51a847d48 fix: quit in ::unlocked instead of after unlock() (v0.6.17) 
The real cause of the unlock SIGSEGV: gtk4-session-lock destroys the lock
windows itself when the lock ends (per its header), so unlock_callback's
`unlock(); app.quit();` destroyed them a second time — surface already gone
→ gdk_surface_get_display NULL → crash in gtk_window_destroy. Reproduces on
a plain single-monitor lock/unlock, no suspend needed.

unlock_callback now calls only unlock(); a new connect_unlocked handler
quits the app after the library finishes teardown. Mirrors the upstream
examples/simple.rs exactly.

Reverts the v0.6.15/v0.6.16 monitor-pruning + LockscreenHandles.monitor:
it was a misdiagnosis (the crash is monitor-independent) and manually
manipulated library-managed lock windows, which the upstream example
explicitly warns against. Monitor removal is left to the library.
2026-06-02 17:19:09 +02:00

4.5 KiB
Raw Blame History

Moonlock

Projekt

Moonlock ist ein sicherer Wayland-Lockscreen, gebaut mit Rust + gtk4-rs + ext-session-lock-v1. Teil des Moonarch-Ökosystems.

Tech-Stack

  • Rust (Edition 2024), gtk4-rs 0.11, glib 0.22
  • gtk4-session-lock 0.4 für ext-session-lock-v1 Protokoll
  • PAM-Authentifizierung via Raw FFI (libc, libpam.so)
  • fprintd D-Bus Integration (gio::DBusProxy) für Fingerabdruck-Unlock
  • zeroize für sicheres Passwort-Wiping
  • cargo test für Unit-Tests

Projektstruktur

  • src/ — Rust-Quellcode (main.rs, lockscreen.rs, auth.rs, fingerprint.rs, config.rs, i18n.rs, users.rs, power.rs)
  • resources/ — GResource-Assets (style.css, default-avatar.svg)
  • config/ — PAM-Konfiguration und Beispiel-Config

Kommandos

# Tests ausführen
cargo test

# Release-Build
cargo build --release

# Lockscreen starten (zum Testen)
LD_PRELOAD=/usr/lib/libgtk4-layer-shell.so ./target/release/moonlock

Architektur

  • auth.rs — PAM-Authentifizierung via Raw FFI (unsafe extern "C" conv callback, msg_style-aware, Zeroizing)
  • fingerprint.rs — fprintd D-Bus Listener, async init/claim/verify via gio futures, sender-validated signal handler, cleanup_dbus() für sauberen D-Bus-Lifecycle, running_flag für Race-Safety in async restarts, on_exhausted callback after MAX_FP_ATTEMPTS, resume_async() für Neustart nach transientem Fehler (mit failed_attempts-Reset und Signal-Handler-Cleanup)
  • users.rs — Aktuellen User via nix getuid, Avatar-Loading mit Symlink-Rejection
  • power.rs — Reboot/Shutdown via /usr/bin/systemctl
  • i18n.rs — Locale-Erkennung (OnceLock-cached) und String-Tabellen (DE/EN), faillock_warning mit konfigurierbarem max_attempts
  • config.rs — TOML-Config (background_path, background_blur clamped [0,200], fingerprint_enabled als Option) + Wallpaper-Fallback + Symlink-Rejection via symlink_metadata + Parse-Error-Logging
  • lockscreen.rs — GTK4 UI via LockscreenHandles, PAM-Auth via gio::spawn_blocking mit 30s Timeout und Generation Counter, FP-Success ruft unlock_callback direkt (PAM-Stack ohne account-Modul, Lockout via auth-Pfad und MAX_FP_ATTEMPTS), Zeroizing für Passwort, Power-Confirm, GPU-Blur via GskBlurNode (Downscale auf max 1920px), Blur/Avatar-Cache für Multi-Monitor
  • main.rs — Entry Point, Panic-Hook (vor Logging), Root-Check, ext-session-lock-v1 (Pflicht in Release), Monitor-Hotplug via connect_monitor-Signal (v1_2), Unlock via unlock() + connect_unlockedapp.quit() (Lib zerstört die Lock-Fenster selbst beim Lock-Ende — kein eigenes Destroy/quit, sonst Double-Destroy-SIGSEGV), shared Blur/Avatar-Caches in Rc, systemd-Journal-Logging, Debug-Level per MOONLOCK_DEBUG Env-Var, async fprintd-Init nach window.present()

Sicherheit

  • ext-session-lock-v1 garantiert: Compositor sperrt alle Surfaces bei lock()
  • Release-Build: Ohne ext-session-lock-v1 wird exit(1) aufgerufen — kein Fenster-Fallback
  • Panic-Hook: Bei Crash wird geloggt, aber NIEMALS unlock() aufgerufen — Screen bleibt schwarz. Hook wird vor Logging installiert.
  • PAM-Callback: msg_style-aware (Passwort nur bei PAM_PROMPT_ECHO_OFF), strdup-OOM-sicher, num_msg-Guard gegen negative Werte
  • fprintd: D-Bus Signal-Sender wird gegen fprintd's unique bus name validiert (Anti-Spoofing)
  • Passwort: Zeroizing ab GTK-Entry-Extraktion, Zeroizing im PAM-FFI-Layer (bekannte Einschränkung: GLib-GString und strdup-Kopie in PAM werden nicht gezeroized — inhärente GTK/libc-Limitierung)
  • Fingerprint-Unlock: ruft unlock_callback direkt nach verify-match (kein zusätzlicher PAM-acct-Check, weil PAM-Stack nur auth include login enthält — wie swaylock); FP-Lockout ist über MAX_FP_ATTEMPTS in fingerprint.rs umgesetzt
  • PAM-Stack: nur auth include login (Standard-Pattern wie swaylock/gtklock); kein account/session-Stack, weil Lockscreen keinen Session-Lifecycle managed und pam_unix(account) setuid root benötigt
  • Wallpaper wird vor lock() geladen — connect_monitor feuert während lock() und braucht die Textur; lokales JPEG-Laden ist schnell genug
  • PAM-Timeout: 30s Timeout verhindert permanentes Aussperren bei hängenden PAM-Modulen, Generation Counter verhindert Interferenz paralleler Auth-Versuche
  • Root-Check: Exit mit Fehler wenn als root gestartet
  • Faillock: UI-Warnung nach 3 Fehlversuchen, aber PAM entscheidet über Lockout (Entry bleibt aktiv)
  • Kein Schließen per Escape/Alt-F4 — nur durch erfolgreiche PAM-Auth oder Fingerprint
  • Peek-Icon am Passwortfeld aktiv (UX-Entscheidung, konsistent mit moongreet)
  • GResource-Bundle: CSS/Assets in der Binary kompiliert
Reference in New Issue View Git Blame Copy Permalink