قدم لينارت Poettering في مؤتمر All Systems Go 2019 ، مكون جديد لمدير نظام systemd ، "Systemd-homed" الذي يهدف إلى ضمان إمكانية نقل الدلائل الرئيسية للمستخدمين وفصله عن تكوين النظام.
الفكرة الرئيسية للمشروع هي إنشاء بيئات مستقلة لبيانات المستخدم يمكن نقلها بين أنظمة مختلفة دون القلق بشأن مزامنة المعرفات والخصوصية. يتم تسليم بيئة الدليل الرئيسي في شكل ملف صورة مُثبت ، يتم تشفير بياناته.
بيانات اعتماد المستخدم مرتبطة بالدليل الرئيسي ، ليس لتكوين النظام ؛ بدلاً من / etc / passwd و / etc / shadow ، يتم استخدام ملف تعريف تنسيق JSON ، المخزنة في دليل ~ / .identity.
يحتوي ملف التعريف على المعلمات الضرورية لكي يعمل المستخدم ، بما في ذلك معلومات حول الاسم وتجزئة كلمة المرور ومفاتيح التشفيروالحصص والموارد المقدمة. يمكن مصادقة ملف التعريف باستخدام توقيع رقمي مخزن في رمز Yubikey خارجي.
يقوم كل دليل يديره بتغليف كلاً من مخزن البيانات وسجل المستخدم الخاص بالمستخدم ، بحيث يصف حساب المستخدم بشكل شامل وبالتالي يمكن نقله بشكل طبيعي بين الأنظمة دون مزيد من البيانات الوصفية الخارجية.
كما يسلط الإعلان الضوء على ما يلي:
يمكن أن تتضمن المعلمات أيضًا معلومات إضافية ، مثل مفاتيح SSH، بيانات المصادقة البيومترية ، الصورة ، البريد الإلكتروني ، العنوان ، المنطقة الزمنية ، اللغة ، قيود على عدد العمليات والذاكرة ، إشارات تثبيت إضافية (nodev ، noexec ، nosuid) ، بيانات حول معلومات مستخدم خادم IMAP القابلة للتطبيق / SMTP والرقابة الأبوية تمكن المعلومات وخيارات النسخ الاحتياطي وما إلى ذلك.
يتم توفير Varlink API للاستعلام عن المعلمات وتحليلها.
يتم تعيين UID / GID ديناميكيًا ومعالجته على كل نظام محلي مرفق به الدليل الرئيسي.
باستخدام النظام المقترح ، يمكن للمستخدم الاحتفاظ بدليل منزله معه.l ، على سبيل المثال ، على محرك أقراص فلاش والحصول على بيئة عمل على أي جهاز كمبيوتر دون إنشاء حساب صريح عليه (يؤدي وجود ملف به صورة الدليل الرئيسي إلى توليف المستخدم).
يُقترح استخدام النظام الفرعي LUKS2 لتشفير البيانات، لكن systemd-homed يسمح لك أيضًا باستخدام واجهات خلفية أخرى ، على سبيل المثال للأدلة غير المشفرة وأقسام شبكة Btrfs و Fscrypt و CIFS.
لإدارة الدلائل المحمولة ، تم اقتراح الأداة المساعدة homectl ، والتي تتيح لك إنشاء وتنشيط صور الأدلة الرئيسية ، وكذلك تغيير حجمها وتعيين كلمة مرور.
على مستوى النظام ، يتم توفير العمل من خلال المكونات التالية:
- خدمة systemd-homed: إدارة الدليل الرئيسي وتضمين سجلات JSON مباشرة في صور الدليل الرئيسي.
- بام_سيستمد: يعالج معلمات ملف تعريف JSON عندما يقوم المستخدم بتسجيل الدخول ويطبقها في سياق جلسة تم تشغيلها (يؤدي المصادقة ، ويضبط متغيرات البيئة ، وما إلى ذلك).
- خدمة systemd-logind.service: يعالج معلمات ملف تعريف JSON عندما يقوم المستخدم بتسجيل الدخول ، ويطبق إعدادات إدارة الموارد المختلفة ، ويضع الحدود.
- نظام nss: تقوم وحدة NSS الخاصة بـ glibc بتوليف إدخالات NSS الكلاسيكية بناءً على ملف تعريف JSON ، مما يوفر دعم UNIX API لمعالجة المستخدم (/ etc / password).
- معرف المريض 1: يُنشئ المستخدمين ديناميكيًا (يُجمع عن طريق القياس مع توجيه DynamicUser في الوحدات) ويجعلهم مرئيين لبقية النظام.
- systemd-userdbd.service: يترجم حسابات UNIX / glibc NSS إلى سجلات JSON ويوفر واجهة برمجة تطبيقات Varlink موحدة للاستعلام عن السجلات وإدراجها في القائمة.
تشمل مزايا النظام المقترح القدرة على إدارة المستخدمين عن طريق تثبيت الدليل / etc في وضع القراءة فقط ، وغياب الحاجة إلى مزامنة المعرفات (UID / GID) بين الأنظمة ، واستقلال المستخدم عن جهاز كمبيوتر معين ، والقفل بيانات المستخدم أثناء وضع السكون ، باستخدام التشفير وطرق المصادقة الحديثة.
أخيرا من المهم أن نذكر ذلك من المخطط أن يشمل هذا المكون الجديد "Systemd-homed" في الإصدار الرئيسي من systemd 244 أو 245.
إذا كنت تريد معرفة المزيد عن هذا المكون ، يمكنك الرجوع إلى مستند pdf التالي.
أنا خائف من هذا.
تعال ، إذا فقدت أو سرقت محرك الأقراص المحمول الذي ذكرته مع كمية البيانات التي يخزنها ، فيمكنك أن تستسلم تقريبًا للانزعاج.
لأسباب مختلفة ، تبدو الفكرة سخيفة تمامًا بالنسبة لي. يا لها من عادة الرغبة في تغيير الأشياء التي في رأيي المتواضع تسير على ما يرام وأشك في أن رؤية تاريخ هؤلاء الناس ستحسن الأمن.
لحسن الحظ ، أنا في Artix الآن وأنا أتخلص من كل هذه المجموعة من الهراء ، على الرغم من أنني لا أعرف إلى متى ستتمكن توزيعات systemd المجانية من المقاومة.
أوافق على ما تقوله ، من وجهة نظري الفكرة جيدة لكن جزء الأمان مفقود (نوع من التشفير)
تمتص systemd !!