Systemd-hejmigis novan eron por administri hejmajn adresarojn

Systemd-hejmigita

Lennart Poettering prezentita ĉe la konferenco de All Systems Go 2019 nova ero de la sistema administranto de sistemo, "Systemd-homed" kiu celas certigi la porteblecon de la hejmaj adresaroj de uzantoj kaj ĝia apartigo de la sistema agordo.

La ĉefa ideo de la projekto estas krei aŭtonomajn mediojn por uzantaj datumoj tio povas esti transdonita inter malsamaj sistemoj sen zorgi pri la sinkronigado de identigiloj kaj privateco. La hejma adresara medio estas liverita en la formo de muntita bilddosiero, kies datumoj estas ĉifritaj.

Uzantaj atestiloj estas ligitaj al hejma dosierujo, ne al sistema agordo; anstataŭ / etc / passwd kaj / etc / shadow, profilo de JSON-formato estas uzata, konservita en la dosierujo ~ / .identity.

La profilo enhavas la necesajn parametrojn por ke la uzanto funkciu, inkluzive informojn pri nomo, pasvorto, ĉifradaj ŝlosiloj, donitaj kvotoj kaj rimedoj. La profilo povas esti aŭtentikigita per cifereca subskribo konservita en ekstera signo Yubikey.

 Ĉiu dosierujo, kiun ĝi administras, enkapsuligas kaj la datumbutikon kaj la uzantarkivon de la uzanto, tiel ke ĝi amplekse priskribas la konton de la uzanto kaj estas do nature portebla inter sistemoj sen pliaj eksteraj metadatenoj. 

La anonco ankaŭ reliefigas, ke:

Parametroj ankaŭ povas inkluzivi aldonajn informojn, kiel ŝlosiloj por SSH, datumoj por biometria aŭtentokontrolo, bildo, retpoŝto, adreso, horzono, lingvo, limoj pri la nombro de procezoj kaj memoro, aldonaj muntaj flagoj (nodev, noexec, nosuid), datumoj pri la uzataj informoj pri uzanto de IMAP-servilo / SMTP, gepatra kontrolo ebligaj informoj, rezervaj opcioj, ktp.

Varlink API estas provizita por pridemandi kaj analizi parametrojn.

La UID / GID estas dinamike atribuita kaj prilaborita sur ĉiu loka sistemo al kiu la hejma dosierujo estas konektita.

Uzante la proponitan sistemon, la uzanto povas konservi sian hejman adresaron kun ĝi.L, ekzemple, sur poŝmemoro kaj ekhavas labormedion sur iu ajn komputilo sen eksplicite krei konton sur ĝi (la ĉeesto de dosiero kun bildo de la hejma dosierujo kondukas al uzanta sintezo).

Oni proponas uzi la subsistemon LUKS2 por ĉifrado de datumoj, sed systemd-homed ankaŭ permesas al vi uzi aliajn backendojn, ekzemple por neĉifritaj adresaroj, Btrfs, Fscrypt, kaj CIFS-retaj dispartigoj.

Por administri porteblajn dosierujojn, oni proponas la homectl-ilon, kiu permesas krei kaj aktivigi bildojn de ĉefaj dosierujoj, kaj ankaŭ ŝanĝi ilian grandecon kaj agordi pasvorton.

Je la sistemo nivelo, la laboro estas provizita de la jenaj eroj:

  • systemd-homed.service: administras hejman dosierujon kaj enigas JSON-rekordojn rekte en hejmajn adresarajn bildojn.
  • pam_systemd: prilaboras la JSON-profilajn parametrojn kiam uzanto ensalutas kaj aplikas ilin en la kunteksto de aktivigita sesio (plenumas aŭtentokontrolon, starigas ĉirkaŭajn variablojn ktp.).
  • systemd-logind.service: prilaboras la parametrojn de JSON-profilo kiam uzanto ensalutas, uzas diversajn rimedajn administradajn agordojn kaj starigas limojn.
  • nss-systemd: La NSS-modulo por glibc sintezas la klasikajn NSS-enirojn bazitajn sur la JSON-profilo, disponigante UNIX-API subtenon por uzanta (/ etc / password) prilaborado.
  • PID1: dinamike kreas uzantojn (sintezas analoge kun la direktivo DynamicUser en unuoj) kaj igas ilin videblaj al la resto de la sistemo.
  • systemd-userdbd.service: tradukas UNIX / glibc NSS-kontojn en JSON-dosierojn kaj provizas unuecan Varlink API por pridemandado kaj listigo de diskoj.

Avantaĝoj de la proponita sistemo inkluzivas la kapablon administri uzantojn muntante la dosierujon / etc en nurlega reĝimo, la foresto de la bezono sinkronigi identigilojn (UID / GID) inter sistemoj, la sendependeco de la uzanto de specifa komputilo, ŝlosado datumoj de uzanto dum dorma reĝimo, uzante ĉifradon kaj modernajn aŭtentikajn metodojn.

Fine gravas mencii tion ĝi planas inkluzivi ĉi tiun novan eron "Systemd-homed" en la ĉefa versio de systemd 244 aŭ 245.

Se vi volas scii pli pri ĉi tiu ero, vi povas konsulti la sekvan pdf-dokumenton.

La ligo estas ĉi tio.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

3 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita.

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   unu el iuj diris

    Mi timas ĉi tion.

    Venu, se vi perdas aŭ ŝtelas tiun poŝmemoron, kiun vi mencias kun la kvanto de datumoj, kiujn ĝi stokas, tiam vi preskaŭ povas rezigni vin pro ĝenado.

    Pro diversaj kialoj la ideo ŝajnas al mi tute absurda. Kian kutimon li havas, ke li volas ŝanĝi aferojn, kiuj laŭ mia humila opinio iras bone kaj mi tre dubas, ke vidi la historion de ĉi tiuj homoj plibonigos sekurecon.

    Feliĉe mi estas ĉe Artix nun kaj mi forigas ĉi tiun kolekton de sensencaĵoj, kvankam mi ne scias, kiom longe la senpagaj distribuoj de sistemo povas rezisti.

    1.    David naranjo diris

      Mi konsentas kun tio, kion vi diras, laŭ mia vidpunkto la ideo estas bona, sed la sekureca parto mankas (iu speco de ĉifrado)

  2.   luix diris

    systemd suĉas !!

bool (vera)