Systemd-homed komponen baru untuk mengelola direktori home

Darkcrizt

4 menit

systemd-homed

Lennart Poettering disajikan di konferensi All Systems Go 2019 komponen baru dari manajer sistem systemd, "Systemd-homed" yang dimaksudkan untuk memastikan portabilitas direktori home pengguna dan pemisahannya dari konfigurasi sistem.

Ide utama proyek ini adalah membuat lingkungan otonom untuk data pengguna yang dapat ditransfer antara sistem yang berbeda tanpa mengkhawatirkan sinkronisasi pengenal dan privasi. Lingkungan direktori home dikirimkan dalam bentuk file gambar yang dipasang, datanya dienkripsi.

Kredensial pengguna terkait dengan direktori home, bukan untuk konfigurasi sistem; daripada / etc / passwd dan / etc / shadow, profil format JSON digunakan, disimpan di direktori ~ / .identity.

Profil tersebut berisi parameter yang diperlukan agar pengguna dapat bekerja, termasuk informasi tentang nama, hash kata sandi, kunci enkripsi, biaya dan sumber daya yang disediakan. Profil tersebut dapat diautentikasi menggunakan tanda tangan digital yang disimpan dalam token Yubikey eksternal.

 Setiap direktori yang dikelolanya merangkum penyimpanan data dan catatan pengguna pengguna, sehingga secara komprehensif menjelaskan akun pengguna dan karena itu secara alami portabel antar sistem tanpa metadata eksternal lebih lanjut. 

Pengumuman tersebut juga menyoroti bahwa:

Parameter juga dapat mencakup informasi tambahan, seperti kunci untuk SSH, data untuk otentikasi biometrik, gambar, email, alamat, zona waktu, bahasa, batasan jumlah proses dan memori, tanda pemasangan tambahan (nodev, noexec, nosuid), data tentang informasi pengguna server IMAP yang berlaku / SMTP, informasi pengaktifan kontrol orang tua, opsi cadangan, dll.

Varlink API disediakan untuk menanyakan dan menganalisis parameter.

UID / GID ditetapkan dan diproses secara dinamis di setiap sistem lokal tempat direktori utama terpasang.

Dengan menggunakan sistem yang diusulkan, pengguna dapat menyimpan direktori home-nya dengannya.l, misalnya, pada drive Flash dan mendapatkan lingkungan kerja di komputer mana pun tanpa secara eksplisit membuat akun di dalamnya (keberadaan file dengan gambar direktori home mengarah ke sintesis pengguna).

Diusulkan untuk menggunakan subsistem LUKS2 untuk enkripsi data, tetapi systemd-homed juga memungkinkan Anda untuk menggunakan backend lain, misalnya untuk direktori yang tidak terenkripsi, partisi jaringan Btrfs, Fscrypt, dan CIFS.

Untuk mengelola direktori portabel, utilitas homectl diusulkan, yang memungkinkan Anda membuat dan mengaktifkan gambar direktori utama, serta mengubah ukurannya dan mengatur kata sandi.

Di tingkat sistem, pekerjaan disediakan oleh komponen berikut:

  • systemd-homed.layanan: mengelola direktori beranda dan menyematkan catatan JSON langsung ke gambar direktori beranda.
  • pam_systemd: memproses parameter profil JSON saat pengguna masuk dan menerapkannya dalam konteks sesi yang dipicu (melakukan otentikasi, menyetel variabel lingkungan, dll.).
  • systemd-logind.layanan: memproses parameter profil JSON saat pengguna masuk, menerapkan berbagai setelan pengelolaan sumber daya, dan menetapkan batas.
  • nss-sistemd: Modul NSS untuk glibc mensintesis entri NSS klasik berdasarkan profil JSON, memberikan dukungan API UNIX untuk pemrosesan pengguna (/ etc / password).
  • PID1: itu membuat pengguna secara dinamis (disintesis dengan analogi dengan direktif DynamicUser dalam unit) dan membuatnya terlihat oleh seluruh sistem.
  • systemd-userdbd.layanan: menerjemahkan akun UNIX / glibc NSS ke dalam catatan JSON dan menyediakan API Varlink terpadu untuk membuat kueri dan daftar catatan.

Keuntungan dari sistem yang diusulkan termasuk kemampuan untuk mengelola pengguna dengan memasang direktori / etc dalam mode hanya-baca, tidak adanya kebutuhan untuk menyinkronkan pengenal (UID / GID) antar sistem, kemandirian pengguna dari komputer tertentu, pemblokiran data pengguna selama mode tidur, menggunakan metode enkripsi dan otentikasi modern.

Terakhir, penting untuk menyebutkan itu itu direncanakan untuk memasukkan komponen baru ini "Systemd-homed" dalam versi utama systemd 244 atau 245.

Jika Anda ingin tahu lebih banyak tentang komponen ini, Anda dapat berkonsultasi dengan dokumen pdf berikut.

Tautannya adalah ini.


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   salah satu dari beberapa dijo
    dahulu 5 tahun

    Saya takut akan hal ini.

    Ayo, jika Anda kehilangan atau mereka mencuri flash drive yang Anda sebutkan dengan jumlah data yang disimpannya, maka Anda hampir dapat menyerah karena kesal.

    Untuk berbagai alasan, ide tersebut tampak sangat tidak masuk akal bagi saya. Betapa kebiasaannya ingin mengubah hal-hal yang menurut pendapat saya berjalan baik dan saya sangat meragukan bahwa melihat sejarah orang-orang ini akan meningkatkan keamanan.

    Untungnya saya berada di Artix sekarang dan saya menyingkirkan semua koleksi omong kosong ini, meskipun saya tidak tahu berapa lama distro systemd gratis dapat menolak.

    Balas onedetantos
    1.    David naranjo dijo
      dahulu 5 tahun

      Saya setuju dengan apa yang Anda katakan, dari sudut pandang saya idenya bagus tetapi bagian keamanan tidak ada (beberapa jenis enkripsi)

      Balas David Naranjo
  2.   luix dijo
    dahulu 5 tahun

    systemd menyebalkan !!

    Balas ke luix