Lennart Poettering esitteli All Systems Go 2019 -konferenssissa uusi osa systemd-järjestelmänhallintaa, "Systemd-koti" joka on tarkoitettu varmistamaan käyttäjien kotihakemistojen siirrettävyys ja sen erottaminen järjestelmän kokoonpanosta.
Projektin pääidea on luoda itsenäiset ympäristöt käyttäjätiedoille joka voidaan siirtää eri järjestelmien välillä huolimatta tunnisteiden synkronoinnista ja yksityisyydestä. Kotihakemistoympäristö toimitetaan liitetyn kuvatiedoston muodossa, jonka tiedot salataan.
Käyttäjätunnukset on linkitetty kotihakemistoon, ei järjestelmän kokoonpanoon; / etc / passwd ja / etc / shadow sijasta käytetään JSON-muotoista profiilia, tallennetaan ~ / .identity -hakemistoon.
Profiili sisältää tarvittavat parametrit käyttäjän toimimaan, mukaan lukien tiedot nimestä, salasanan tiivistelmästä, salausavaimista, palkkiot ja tarjotut resurssit. Profiili voidaan todentaa digitaalisella allekirjoituksella, joka on tallennettu ulkoiseen Yubikey-tunnukseen.
Jokainen sen hallinnoima hakemisto kapseloi sekä tietovaraston että käyttäjän käyttäjätietueen siten, että se kuvaa kattavasti käyttäjän tiliä ja on siten luonnollisesti siirrettävissä järjestelmien välillä ilman muita ulkoisia metatietoja.
Ilmoituksessa korostetaan myös seuraavaa:
Parametrit voivat sisältää myös lisätietoja, kuten SSH: n avaimet, biometrisen todennuksen tiedot, kuva, sähköposti, osoite, aikavyöhyke, kieli, prosessien ja muistin rajoitukset, lisäkiinnitysliput (nodev, noexec, nosuid), tiedot sovellettavista IMAP-palvelimen käyttäjätiedoista / SMTP, lapsilukon käyttöönottotiedot, varmuuskopiointivaihtoehdot jne.
Varlink-sovellusliittymä tarjotaan parametrien kyselyyn ja analysointiin.
UID / GID määritetään ja käsitellään dynaamisesti jokaisessa paikallisessa järjestelmässä, johon kotihakemisto on kytketty.
Ehdotetun järjestelmän avulla käyttäjä voi pitää kotihakemistonsa sen kanssa.Esimerkiksi Flash-asemalla ja hankin työympäristö mille tahansa tietokoneelle luomatta siihen nimenomaista tiliä (kotihakemiston kuvan sisältävän tiedoston läsnäolo johtaa käyttäjän synteesiin).
Tietojen salaamiseen ehdotetaan LUKS2-alijärjestelmän käyttöä, mutta systemd-homed-sovelluksen avulla voit käyttää myös muita taustajärjestelmiä, esimerkiksi salaamattomiin hakemistoihin, Btrf-, Fscrypt- ja CIFS-verkko-osioihin.
Kannettavien hakemistojen hallitsemiseksi ehdotetaan homectl-apuohjelmaa, jonka avulla voit luoda ja aktivoida kuvia päähakemistoista sekä muuttaa niiden kokoa ja asettaa salasanan.
Järjestelmätasolla työn tarjoavat seuraavat komponentit:
- systemd-homed.service: hallinnoi kotihakemistoa ja upottaa JSON-tietueet suoraan kotihakemistokuviin.
- pam_systemd: käsittelee JSON-profiilin parametrit, kun käyttäjä kirjautuu sisään ja käyttää niitä laukaistun istunnon yhteydessä (suorittaa todennuksen, asettaa ympäristömuuttujia jne.).
- systemd-logind.service: käsittelee JSON-profiilin parametrit, kun käyttäjä kirjautuu sisään, käyttää erilaisia resurssienhallinta-asetuksia ja asettaa rajoituksia.
- nss-järjestelmä: Glibc: n NSS-moduuli syntetisoi klassiset NSS-merkinnät JSON-profiilin perusteella tarjoamalla UNIX-sovellusliittymän tuen käyttäjien (/ etc / password) käsittelylle.
- PID1: luo käyttäjiä dynaamisesti (syntetisoi analogisesti DynamicUser-direktiivin kanssa yksiköissä) ja tekee niistä näkyvät muulle järjestelmälle.
- systemd-userdbd.service: kääntää UNIX / glibc NSS -tilit JSON-tietueiksi ja tarjoaa yhtenäisen Varlink-sovellusliittymän tietueiden kyselyyn ja luettelointiin.
Ehdotetun järjestelmän etuihin kuuluu kyky hallita käyttäjiä asentamalla / etc-hakemisto vain luku -tilaan, tunnisteiden (UID / GID) synkronoinnin välttämättömyys järjestelmien välillä, käyttäjän riippumattomuus tietystä tietokoneesta, esto käyttäjätietoja lepotilassa salausta ja moderneja todennusmenetelmiä käyttäen.
Lopuksi on tärkeää mainita se tämä uusi komponentti on tarkoitus sisällyttää "Systemd-koti" järjestelmän versiossa 244 tai 245.
Jos haluat tietää enemmän tästä komponentista, voit tutustua seuraavaan pdf-dokumenttiin.
Pelkään tätä.
Tule, jos kadotat tai he varastavat flash-aseman, jonka mainitset tallentamiesi tietojen kanssa, voit melkein antaa itsesi ärsyttää.
Eri syistä ajatus näyttää minusta täysin järjettömältä. Mikä tapana hänellä on halu muuttaa asioita, jotka nöyrän mielestäni menevät hyvin, ja epäilen kovasti, että näiden ihmisten historian näkeminen parantaa turvallisuutta.
Onneksi olen nyt Artixissa ja olen pääsemässä eroon kaikesta tästä hölynpölystä, vaikka en tiedä kuinka kauan ilmaiset systemd-distrot pystyvät vastustamaan.
Olen samaa mieltä siitä, mitä sanotte, mielestäni idea on hyvä, mutta suojausosa puuttuu (jonkinlainen salaus)
systemd perseestä!