Lennart Poettering bemutatta az All Systems Go 2019 konferencián a systemd system manager új eleme, "Systemd-homed" ami célja a felhasználók otthoni könyvtárainak hordozhatóságának biztosítása és annak elválasztása a rendszer konfigurációjától.
A projekt fő gondolata, hogy autonóm környezeteket hozzon létre a felhasználói adatok számára amelyek különböző rendszerek között átvihetők anélkül, hogy aggódnunk kellene az azonosítók és a magánélet szinkronizálása miatt. A házikönyvi környezet csatolt képfájl formájában kerül kiszállításra, amelynek adatait titkosítják.
A felhasználói adatok összekapcsolódnak a saját könyvtárral, nem a rendszer konfigurációjára; az / etc / passwd és / etc / shadow helyett, JSON formátumú profilt használnak, a ~ / .identity könyvtárban tárolva.
A profil tartalmazza a szükséges paramétereket hogy a felhasználó dolgozzon, beleértve a nevet, a jelszó kivonatát és a titkosítási kulcsokat, díjak és biztosított források. A profil hitelesíthető egy külső Yubikey tokenben tárolt digitális aláírással.
Minden általa kezelt könyvtár mind az adattárat, mind a felhasználó felhasználói rekordját összefoglalja, így átfogóan leírja a felhasználó fiókját, és ezért természetes módon hordozható a rendszerek között további külső metaadatok nélkül.
A bejelentés azt is kiemeli, hogy:
A paraméterek további információkat is tartalmazhatnak, például kulcsokat az SSH-hoz, biometrikus hitelesítéshez szükséges adatok, kép, e-mail, cím, időzóna, nyelv, a folyamatok és a memória korlátozása, további rögzítési jelzők (nodev, noexec, nosuid), az alkalmazandó IMAP szerver felhasználói információk / SMTP adatai, szülői felügyelet létesítési információk, biztonsági mentési lehetőségek stb.
A Varlink API a paraméterek lekérdezésére és elemzésére szolgál.
Az UID / GID dinamikusan van hozzárendelve és feldolgozva minden olyan helyi rendszeren, amelyhez a saját könyvtár kapcsolódik.
A javasolt rendszer használatával a felhasználó megtarthatja saját könyvtárát.Például egy Flash meghajtón, és bármilyen számítógépen munkakörnyezetet szerezhetek, anélkül, hogy kifejezetten létrehoznánk rajta fiókot (a saját könyvtár képét tartalmazó fájl jelenléte felhasználói szintézishez vezet).
Javasoljuk, hogy az adatok titkosításához használja a LUKS2 alrendszert, de a systemd-homed lehetővé teszi más háttérprogramok használatát is, például titkosítatlan könyvtárak, Btrfs, Fscrypt és CIFS hálózati partíciók számára.
A hordozható könyvtárak kezeléséhez a homectl segédprogram javasolt, amely lehetővé teszi a fő könyvtárak képeinek létrehozását és aktiválását, valamint a méretük megváltoztatását és a jelszó beállítását.
Rendszer szinten, a munkát a következő összetevők biztosítják:
- systemd-homed.service: kezeli a saját könyvtárat és beágyazza a JSON-rekordokat közvetlenül az otthoni könyvtár képeibe.
- pam_systemd: feldolgozza a JSON-profil paramétereit, amikor a felhasználó bejelentkezik, és azokat egy kiváltott munkamenet keretében alkalmazza (hitelesítést végez, környezeti változókat állít be stb.).
- systemd-logind.service: feldolgozza a JSON-profil paramétereit, amikor a felhasználó bejelentkezik, különféle erőforrás-kezelési beállításokat alkalmaz és korlátokat állít be.
- nss-rendszerű: A glibc NSS modulja szintetizálja a klasszikus NSS bejegyzéseket a JSON profil alapján, UNIX API támogatást biztosítva a felhasználói (/ etc / password) feldolgozáshoz.
- PID1: dinamikusan létrehozza a felhasználókat (egységekben szintetizálja a DynamicUser irányelv analógiájára), és láthatóvá teszi őket a rendszer többi része számára.
- systemd-userdbd.service: lefordítja a UNIX / glibc NSS fiókokat JSON rekordokká, és egységes Varlink API-t biztosít a rekordok lekérdezéséhez és felsorolásához.
A javasolt rendszer előnyei közé tartozik a felhasználók kezelésének képessége az / etc könyvtár csak olvasható módban történő telepítésével, az azonosítók (UID / GID) szinkronizálásának szükségességének hiánya a rendszerek között, a felhasználó függetlensége egy adott számítógéptől, a felhasználói adatok blokkolása alvó üzemmódban, titkosítás és modern hitelesítési módszerek alkalmazásával.
Végül fontos megemlíteni ezt a tervek szerint ezt az új komponenst is beépítik "Systemd-homed" a systemd 244 vagy 245 fő verziójában.
Ha többet szeretne megtudni erről a komponensről, olvassa el a következő pdf dokumentumot.
Ettől tartok.
Gyerünk, ha elveszíti vagy ellopja azt a pendrive-ot, amelyet a tárolt adatmennyiséggel megemlít, akkor majdnem feladhatja magát a bosszankodásért.
Különböző okokból az ötlet számomra teljesen abszurdnak tűnik. Milyen szokása, hogy meg akar változtatni olyan dolgokon, amelyek szerény véleményem szerint jól mennek, és erősen kétlem, hogy ezeknek az embereknek a története látva javul a biztonság.
Szerencsére most az Artix-en vagyok, és megszabadulok ettől a sok ostobaságtól, bár nem tudom, meddig képesek ellenállni az ingyenes systemd disztrók.
Egyetértek azzal, amit mondasz, véleményem szerint az ötlet jó, de a biztonsági rész hiányzik (valamilyen titkosítás)
systemd szar !!