Systemd-homed novou komponentu pro správu domovských adresářů

Představil Lennart Poettering na konferenci All Systems Go 2019 nová součást systémového správce systému, "Systemd-homed" který má zajistit přenositelnost domovských adresářů uživatelů a jeho oddělení od konfigurace systému.

Hlavní myšlenkou projektu je vytvořit autonomní prostředí pro uživatelská data které lze přenášet mezi různými systémy bez obav o synchronizaci identifikátorů a soukromí. Prostředí domovského adresáře je dodáváno ve formě připojeného obrazového souboru, jehož data jsou šifrována.

Pověření uživatele jsou propojena s domovským adresářem, ne do konfigurace systému; místo / etc / passwd a / etc / shadow, je použit profil formátu JSON, uloženy v adresáři ~ / .identity.

Profil obsahuje potřebné parametry aby uživatel pracoval, včetně informací o jménu, hash hesla, šifrovacích klíčů, poskytnuté kvóty a zdroje. Profil lze ověřit pomocí digitálního podpisu uloženého v externím tokenu Yubikey.

 Každý adresář, který spravuje, zapouzdřuje úložiště dat i uživatelský záznam uživatele, takže komplexně popisuje uživatelský účet, a proto je přirozeně přenositelný mezi systémy bez dalších externích metadat. 

Oznámení také zdůrazňuje, že:

Parametry mohou také zahrnovat další informace, například klíče pro SSH, data pro biometrickou autentizaci, obrázek, e-mail, adresa, časové pásmo, jazyk, omezení počtu procesů a paměti, další připojovací příznaky (nodev, noexec, nosuid), údaje o příslušných uživatelských informacích serveru IMAP / SMTP, informace o povolení rodičovské kontroly, možnosti zálohování atd.

Varlink API je poskytováno pro dotazování a analýzu parametrů.

UID / GID je dynamicky přiřazován a zpracováván v každém lokálním systému, ke kterému je domovský adresář připojen.

Pomocí navrhovaného systému si může uživatel ponechat svůj domovský adresář.l například na jednotce Flash a získám pracovní prostředí na jakémkoli počítači bez výslovného vytvoření účtu (přítomnost souboru s obrazem domovského adresáře vede k syntéze uživatelů).

Pro šifrování dat se navrhuje použít subsystém LUKS2, ale systemd-homed také umožňuje použít jiné backendy, například pro nezašifrované adresáře, Btrfs, Fscrypt a CIFS síťové oddíly.

Pro správu přenosných adresářů je navržen nástroj homectl, který umožňuje vytvářet a aktivovat obrázky hlavních adresářů, měnit jejich velikost a nastavovat heslo.

Na systémové úrovni práci zajišťují následující komponenty:

• služba systemd-homed.service: spravovat domovský adresář a vkládat záznamy JSON přímo do obrázků domovského adresáře.
• pam_systemd: zpracovává parametry profilu JSON, když se uživatel přihlásí, a použije je v kontextu spuštěné relace (provádí ověřování, nastavuje proměnné prostředí atd.).
• služba systemd-logind.service: zpracovává parametry profilu JSON, když se uživatel přihlásí, použije různá nastavení správy prostředků a nastaví limity.
• nss-systemd: Modul NSS pro glibc syntetizuje klasické položky NSS na základě profilu JSON a poskytuje podporu UNIX API pro zpracování uživatelů (/ etc / password).
• PID1: dynamicky vytváří uživatele (syntetizuje analogicky se směrnicí DynamicUser v jednotkách) a činí je viditelnými pro zbytek systému.
• služba systemd-userdbd.service: překládá účty NSS UNIX / glibc do záznamů JSON a poskytuje jednotné Varlink API pro dotazování a výpis záznamů.

Mezi výhody navrhovaného systému patří schopnost spravovat uživatele připojením adresáře / etc v režimu jen pro čtení, absence nutnosti synchronizace identifikátorů (UID / GID) mezi systémy, nezávislost uživatele na konkrétním počítači, zamykání uživatelských dat v režimu spánku pomocí šifrování a moderních metod ověřování.

Nakonec je důležité to zmínit plánuje se zahrnutí této nové komponenty "Systemd-homed" v hlavní verzi systemd 244 nebo 245.

Pokud se chcete o této komponentě dozvědět více, můžete si prohlédnout následující dokument ve formátu PDF.

Odkaz je tento.