systemctl stop kdm

Или вместо kdm тот дисплей менеджер который у тебя стартует плазму.

systemctl stop sddm - да-да, я сразу подумал. но у меня автологин (ибо второй сессией пользуюсь реже, чтобы был готов от этого отказаться) и он, выходит, не запущен. Запущена плазма.
Нашёл такое: kquitapp5 plasmashell, либо такое: pkill -U $USER -x -9 plasmashell. Вопрос в том, как правильно её завершать

Посмотри dbus интерфейс к ksmserver. Например, выключение можно сделать так:

qdbus org.kde.ksmserver /KSMServer org.kde.KSMServerInterface.logout 0 2 2 

Выход из сессии требует каких-то других параметров.

Спс, эта строка на шатдаун была. Замена 2 2 на 0 0 или 3 3, даёт корректный логофф автоматический (если открыто окно kwrite какого-нибудь, он спросит сначала, что у вас есть несохранённые изменения). Остановился на этом варианте.

loginctl terminate-user username

а ввод в консоль ничего не даёт

systemctl isolate multi-user.target

Это вырубит все юниты для graphical.target. Вернуться в графику:

systemctl isolate graphical.target

tty занята «потрохами» systemd, что там и как устроено – я точно тебе вот так не скажу и может еще и отличаться в разных дистрах. https://wiki.archlinux.org/index.php/Systemd_(%D0%A0%D1%83%D1%81%D1%81%D0%BA%D0%B8%D0%B9)#%D0%A6%D0%B5%D0%BB%D0%B8

Я бы так делал, по крайней мере это штатный инструмент, а не костыляние.

loginctl terminate-user username

А так ты останавливаешь вообще все от юзера, а у меня и просто в мульти.юзер от меня процессы есть.

Хотя я чукча, тебе же надо оставить вторые иксы.

Короче, тебе надо создать кастомный target для твоей openbox. Заодно и с systemd разберешься.

Проще наверное скопировать graphical.target, поменять там tty, убрать sddm и вместо него написать service для openbox.

Спс, вообще, получилось почти как надо:
Я логинюсь на tty2 пользователем games, происходит логаут из плазмы в сддм основного пользователя на tty1, выключение sddm и запуск вторых иксов на tty2:

qdbus org.kde.ksmserver /KSMServer logout 0 3 3
systemctl isolate multi-user.target
nvidia-xrun

systemctl isolate graphical.target

qdbus org.kde.ksmserver /KSMServer logout 0 3 3

Вот это тут уже не нужно. Может и косяки лезут из-за него.

"раздражал запрос kde wallet о вводе пароля после входа в систему для запуска вайфая"

Можно настроить KWallet так, чтобы к нему доступ был по ключу. Тогда ни каких паролей запрашиваться не будет (если, конечно, ключ без пароля).

Можно настроить KWallet так, чтобы к нему доступ был по ключу.

Да? В арчевики просто написано:

Unlock KDE Wallet automatically on login
kwallet-pam is not compatible with GnuPG keys, the KDE Wallet must use the standard blowfish encryption.
The chosen KWallet password must be the same as the current user password.
The wallet cannot be unlocked when using autologin.
...

Я пытался разобраться в причинах, оказалось, что DM может передавать ему пароль для авторазблокировки и потому он должен совпадать с паролем пользовтеля. А при автологине, DM передаёт ему пустое значение вместо пароля и тот не отрабатывает. А kwallet-pam для автологина, не дружит с GPG и требует пароль blowfish.
Пробовал по-разному подключить, так и не вышло тогда.

В доке от разработчиков (https://docs.kde.org/trunk5/en/kdeutils/kwallet5/introduction.html) расписано как настроить KWallet на работу с GPG. А что касается kwallet-pam, так он и не должен дружить с GPG, т.к. он для другого предназначен.

kwallet-pam, так он и не должен дружить с GPG, т.к. он для другого предназначен

Для чего, расскажешь? Мб, чтобы как сервис systemd его автозапустил при старте плазмы через сддм? Или, это что-то другое?

kwallet-pam — последние буковки это 'Pluggable Authentication Modules'.
Это модуль для аутинтефикации доступа к содержимому KWallet с помощью пользовательских логина + пароля (см. /etc/shadow).
Суть-то в чём. KWallet — это, грубо говоря, зашифрованная база данных паролей (ну и другой информации). И есть два способа шифрования — Blowfish + пароль или с помощью ключа GPG. Поэтому, если выбирается *-pam, то выбирается шифрование по паролю и ни какого GPG.

Для gpg есть kgpg. Говорят, в него же входит gpg-agent с функциями ssh-agent, только у меня чего-то не работало последнее.

А pam по-моему может разблокировать kgpg и kwallet к нему привязанный. Blowfish плохой алгоритм, мне никогда не нравился.

Ну если не балабол и так заработает, напиши:

• Включи это
• Пропиши то
• Добавь так

Я скажу, что ты классный парень. Ибо у меня не вышло. Т.к. пам-модуль выбирается для своего DM, чтобы производить автологин после входа не вводя пароля, он передаст ему пароль введёный ручками. При автологине пароль не вводится. Я нигде не видел описанных механизмов для ключа без пароля.
Я тебе не верю, я ковырял возможности.

Во-первых, всё хозяйство, связанное к KWallet, последний раз настраивал года 3 - 4 назад и с тех пор всё работает без какого-либо вмешательства, несмотря на переход с 16.04 на 18.04. Поэтому детали могу и не вспомнить.
Во-вторых, пользуюсь KDE Neon (читай Ubuntu) — в Арче (если не ошибаюсь, автор именно этим дистрибутивом пользуется) могут быть свои особенности.
Исходя из вышесказанного точных рекомендаций как и что настраивать дать не могу. Но могу дать пару советов в направлении...:
Первое — нужен gpg-agent, который будет запущен как демон. Он нужен чтобы KWallet смог получить доступ к ключу. В Neon'е достаточно установить пакет gpg-agent и активировать сервис gpg-agent.service.
Второе — нужен ключ, для создания ключа использую Kleopatra. Можно и из командной строки его сделать, но когда я это дело осваивал (начало нулевых) у меня, что-то не сложилось. Ключи создавались, но KWallet напрочь не хотел их воспринимать. Kleopatra эту проблему помогла устранить и с тех пор я для создания ключей я пользуюсь ей, чтобы не парить мозг ни себе, ни другим.
И последнее — это прочитать инструкцию, ссылку на которую уже давал https://docs.kde.org/trunk5/en/kdeutils/kwallet5/introduction.html. Там всё разжёвано и больше добавить нечего.

И повторяю, вспоминал мучительно всё, мог что-то упустить...

И самое главное забыл.
Во время выполнения Второе, сколько бы раз не запрашивалось задать пароль для ключа, всегда оставляйте поле пустым. Это обеспечит доступ к ключу без необходимости ввода пароля.