Представен Леннарт Потеринг на конференцията All Systems Go 2019 нов компонент на системния системен мениджър, "Системно насочен" който има за цел да осигури преносимост на домашните директории на потребителите и отделянето му от конфигурацията на системата.
Основната идея на проекта е да създаде автономни среди за потребителски данни които могат да се прехвърлят между различни системи, без да се притеснявате за синхронизирането на идентификаторите и поверителността. Средата на домашната директория се доставя под формата на монтиран файл с изображение, чиито данни са криптирани.
Потребителските идентификационни данни са обвързани с началната директория, не към конфигурацията на системата; вместо / etc / passwd и / etc / shadow, използва се профил във формат JSON, съхранявани в ~ / .identity директория.
Профилът съдържа необходимите параметри за да работи потребителят, включително информация за име, хеш на парола, ключове за криптиране, предоставени квоти и ресурси. Профилът може да бъде удостоверен с помощта на цифров подпис, съхраняван във външен маркер Yubikey.
Всяка директория, която управлява, капсулира както хранилището на данни, така и потребителския запис на потребителя, така че тя подробно описва акаунта на потребителя и следователно е естествено преносима между системите без допълнителни външни метаданни.
Съобщението подчертава също, че:
Параметрите могат да включват и допълнителна информация, като ключове за SSH, данни за биометрично удостоверяване, изображение, имейл, адрес, часова зона, език, ограничения за броя на процесите и паметта, допълнителни знамена за монтиране (nodev, noexec, nosuid), данни за приложимата информация за потребителя на IMAP сървър / SMTP, информация за активиране на родителския контрол, опции за архивиране и др.
API на Varlink се предоставя за заявки и анализ на параметри.
UID / GID се присвоява динамично на всяка локална система, към която е свързана домашната директория.
Използвайки предложената система, потребителят може да запази домашната си директория с нея.l, например на флаш устройство и получавам работна среда на всеки компютър, без изрично да създавам акаунт в него (наличието на файл с изображение на домашната директория води до потребителски синтез).
Предлага се да се използва подсистемата LUKS2 за криптиране на данни, но systemd-homed ви позволява да използвате и други бекендове, например за нешифровани директории, мрежови дялове Btrfs, Fscrypt и CIFS.
За управление на преносими директории се предлага помощната програма homectl, която ви позволява да създавате и активирате изображения на основните директории, както и да променяте техния размер и да задавате парола.
На системно ниво, работата се осигурява от следните компоненти:
- systemd-homed.service: управлява домашната директория и вгражда JSON записите директно в изображенията на домашната директория.
- pam_systemd: обработва параметрите на JSON профила, когато потребителят влиза и ги прилага в контекста на задействана сесия (извършва удостоверяване, задава променливи на средата и т.н.).
- systemd-logind.service: обработва параметрите на JSON профил, когато потребителят влезе, прилага различни настройки за управление на ресурси и задава ограничения.
- nss-systemd: Модулът NSS за glibc синтезира класическите записи на NSS въз основа на JSON профила, осигурявайки поддръжка на UNIX API за обработка на потребител (/ и т.н. / парола).
- PID1: създава потребители динамично (синтезира по аналогия с директивата DynamicUser в единици) и ги прави видими за останалата част от системата.
- systemd-userdbd.service: превежда UNIX / glibc NSS акаунти в JSON записи и предоставя унифициран API на Varlink за заявки и списъчни записи.
Предимствата на предложената система включват възможността за управление на потребителите чрез монтиране на директорията / etc в режим само за четене, липсата на необходимост от синхронизиране на идентификатори (UID / GID) между системите, независимостта на потребителя от определен компютър, заключване потребителски данни по време на режим на заспиване, използвайки криптиране и съвременни методи за удостоверяване.
Накрая е важно да споменем това планира се включването на този нов компонент "Системно насочен" в основната версия на systemd 244 или 245.
Ако искате да научите повече за този компонент, можете да разгледате следния pdf документ.
Страхувам се от това.
Хайде, ако загубите или откраднете тази флашка, която споменавате с количеството данни, които съхранява, тогава почти можете да се откажете от досада.
По различни причини идеята ми се струва напълно абсурдна. Какъв навик има той да иска да промени нещата, които според моето скромно мнение вървят добре и се съмнявам, че виждането на историята на тези хора ще подобри сигурността.
За щастие сега съм на Artix и се отървавам от цялата тази колекция от глупости, въпреки че не знам докога безплатните системни дистрибуции ще могат да устоят.
Съгласен съм с това, което казвате, от моя гледна точка идеята е добра, но частта за сигурност липсва (някакъв вид криптиране)
systemd е гадно !!