Systemd-ホームディレクトリを管理するための新しいコンポーネント

Darkcrizt

4分

システムホーム

LennartPoetteringが発表しました All Systems Go 2019カンファレンスで、systemdシステムマネージャーの新しいコンポーネント、 「システムホーム」 これ ユーザーのホームディレクトリの移植性を確保することを目的としています システム構成からの分離。

プロジェクトの主なアイデアは、ユーザーデータの自律的な環境を作成することです 識別子の同期やプライバシーを気にすることなく、異なるシステム間で転送できます。 ホームディレクトリ環境は、データが暗号化されたマウントされたイメージファイルの形式で提供されます。

ユーザーの資格情報はホームディレクトリに関連付けられています。 システム構成ではありません。 / etc / passwdおよび/ etc / shadowの代わりに、 JSON形式のプロファイルが使用されます。 〜/ .identityディレクトリに保存されます。

プロファイルには必要なパラメータが含まれています ユーザーが作業するために、 名前、パスワードハッシュ、暗号化キーに関する情報を含む、料金とリソースが提供されます。 プロファイルは、外部のYubikeyトークンに保存されているデジタル署名を使用して認証できます。

 管理する各ディレクトリは、データストアとユーザーのユーザーレコードの両方をカプセル化するため、ユーザーのアカウントを包括的に記述し、外部メタデータがなくてもシステム間で自然に移植できます。 

発表はまたそれを強調します:

パラメータには、SSHのキーなどの追加情報を含めることもできます、生体認証用のデータ、画像、電子メール、アドレス、タイムゾーン、言語、プロセスとメモリの数の制限、追加のマウントフラグ(nodev、noexec、nosuid)、該当するIMAPサーバーのユーザー情報に関するデータ/ SMTP、保護者による制御の有効化情報、バックアップオプションなど。

Varlink APIは、パラメーターを照会および分析するために提供されています。

UID / GIDは、ホームディレクトリが接続されている各ローカルシステムで動的に割り当てられ、処理されます。

提案されたシステムを使用して、ユーザーは自分のホームディレクトリを保持できます。lたとえば、Flashドライブで、アカウントを明示的に作成せずに任意のコンピューターで作業環境を取得します(ホームディレクトリのイメージを含むファイルが存在すると、ユーザーが合成されます)。

データ暗号化にLUKS2サブシステムを使用することが提案されています、ただし、systemd-homedを使用すると、他のバックエンドを使用することもできます。たとえば、暗号化されていないディレクトリ、Btrfs、Fscrypt、CIFSネットワークパーティションなどです。

ポータブルディレクトリを管理するために、homectlユーティリティが提案されています。これを使用すると、メインディレクトリのイメージを作成およびアクティブ化したり、サイズを変更したり、パスワードを設定したりできます。

システムレベルでは、 作業は次のコンポーネントによって提供されます。

  • systemd-homed.service: ホームディレクトリを管理し、JSONレコードをホームディレクトリイメージに直接埋め込みます。
  • pam_systemd: ユーザーがログインしたときにJSONプロファイルパラメータを処理し、トリガーされたセッションのコンテキストでそれらを適用します(認証の実行、環境変数の設定など)。
  • systemd-logind.service: ユーザーがログインしたときにJSONプロファイルのパラメーターを処理し、さまざまなリソース管理設定を適用し、制限を設定します。
  • nss-systemd: glibcのNSSモジュールは、JSONプロファイルに基づいて従来のNSSエントリを合成し、ユーザー(/ etc / password)処理にUNIXAPIサポートを提供します。
  • PID 1: ユーザーを動的に作成し(DynamicUserディレクティブと同様に単位で合成)、システムの他の部分から見えるようにします。
  • systemd-userdbd.service: UNIX / glibc NSSアカウントをJSONレコードに変換し、レコードのクエリと一覧表示のための統合されたVarlinkAPIを提供します。

提案されたシステムの利点には、/ etcディレクトリを読み取り専用モードでマウントすることによってユーザーを管理する機能、システム間で識別子(UID / GID)を同期する必要がないこと、特定のコンピューターからのユーザーの独立性、ロックが含まれます。暗号化と最新の認証方法を使用した、スリープモード中のユーザーデータ。

最後に、それを言及することが重要です この新しいコンポーネントを含める予定です 「システムホーム」 systemd244または245のメジャーバージョン。

このコンポーネントについて詳しく知りたい場合は、次のpdfドキュメントを参照してください。

リンクはこちらです。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   いくつかのXNUMXつ
    HACE 5年

    私はこれを恐れています。

    さあ、あなたがそれが保存するデータの量であなたが言及するそのフラッシュドライブを失うか盗むならば、あなたはほとんどイライラすることをあきらめることができます。

    さまざまな理由で、このアイデアは私にはまったくばかげているように思えます。 私の謙虚な意見ではうまくいっていることを変えたいという彼の習慣は何であり、これらの人々の歴史を見ることが安全性を向上させるとは思えません。

    幸いなことに、私は今Artixを使用していて、このナンセンスなコレクションをすべて取り除きますが、無料のシステム化されたディストロがどれだけ長く抵抗できるかはわかりません。

    onedetantosに返信する
    1.    デビッド・ナランホ
      HACE 5年

      私はあなたの言うことに同意します、私の観点からはアイデアは良いですが、セキュリティ部分が欠けています(ある種の暗号化)

      DavidNaranjoに返信する
  2.   ルイス
    HACE 5年

    systemdは吸う!!

    luixに返信する