Systemd-homed 홈 디렉토리 관리를위한 새로운 구성 요소

Darkcrizt

4 분

시스템 홈

Lennart Poettering 발표 All Systems Go 2019 컨퍼런스에서 systemd 시스템 관리자의 새로운 구성 요소, "시스템 홈" 어느 사용자 홈 디렉토리의 이식성을 보장하기위한 것입니다. 시스템 구성과의 분리.

프로젝트의 주요 아이디어는 사용자 데이터를위한 자율 환경을 만드는 것입니다. 식별자 및 개인 정보의 동기화에 대해 걱정하지 않고 서로 다른 시스템간에 전송할 수 있습니다. 홈 디렉토리 환경은 데이터가 암호화 된 마운트 된 이미지 파일의 형태로 제공됩니다.

사용자 자격 증명은 홈 디렉터리에 연결됩니다. 시스템 구성이 아닙니다. / etc / passwd 및 / etc / shadow 대신 JSON 형식 프로필이 사용됩니다. ~ / .identity 디렉토리에 저장됩니다.

프로필에는 필요한 매개 변수가 포함되어 있습니다. 사용자가 일할 수 있도록 이름, 암호 해시, 암호화 키에 대한 정보 포함, 할당량 및 리소스가 제공됩니다. 프로필은 외부 Yubikey 토큰에 저장된 디지털 서명을 사용하여 인증 할 수 있습니다.

 관리하는 각 디렉터리는 데이터 저장소와 사용자의 사용자 레코드를 모두 캡슐화하므로 사용자의 계정을 포괄적으로 설명하므로 추가 외부 메타 데이터없이 시스템간에 자연스럽게 이동할 수 있습니다. 

이 발표는 또한 다음을 강조합니다.

매개 변수에는 SSH 용 키와 같은 추가 정보도 포함될 수 있습니다., 생체 인증 데이터, 이미지, 이메일, 주소, 시간대, 언어, 프로세스 및 메모리 수 제한, 추가 마운팅 플래그 (nodev, noexec, nosuid), 해당 IMAP 서버에 대한 데이터 사용자 정보 / SMTP, 자녀 보호 활성화 정보, 백업 옵션 등

매개 변수를 쿼리하고 분석하기 위해 Varlink API가 제공됩니다.

UID / GID는 홈 디렉토리가 연결된 각 로컬 시스템에서 동적으로 할당되고 처리됩니다.

제안 된 시스템을 사용하여 사용자는 자신의 홈 디렉토리를 유지할 수 있습니다.l 예를 들어, 플래시 드라이브에서 계정을 명시 적으로 만들지 않고 모든 컴퓨터에서 작업 환경을 가져옵니다 (홈 디렉토리 이미지가있는 파일이 있으면 사용자 합성으로 이어짐).

데이터 암호화를 위해 LUKS2 하위 시스템을 사용하는 것이 좋습니다.하지만 systemd-homed를 사용하면 암호화되지 않은 디렉토리, Btrfs, Fscrypt 및 CIFS 네트워크 파티션과 같은 다른 백엔드를 사용할 수도 있습니다.

이식 가능한 디렉토리를 관리하기 위해 homectl 유틸리티가 제안되었습니다.이 유틸리티를 사용하면 기본 디렉토리의 이미지를 만들고 활성화 할 수있을뿐만 아니라 크기를 변경하고 암호를 설정할 수 있습니다.

시스템 수준에서 작업은 다음 구성 요소에서 제공됩니다.

  • systemd-homed.service : 홈 디렉토리를 관리하고 JSON 레코드를 홈 디렉토리 이미지에 직접 포함합니다.
  • pam_systemd : 사용자가 로그인 할 때 JSON 프로필 매개 변수를 처리하고 트리거 된 세션의 컨텍스트에 적용합니다 (인증 수행, 환경 변수 설정 등).
  • systemd-logind.service : 사용자가 로그인 할 때 JSON 프로필의 매개 변수를 처리하고 다양한 리소스 관리 설정을 적용하고 제한을 설정합니다.
  • nss-systemd : glibc 용 NSS 모듈은 JSON 프로필을 기반으로 클래식 NSS 항목을 합성하여 사용자 (/ etc / password) 처리를위한 UNIX API 지원을 제공합니다.
  • PID 1 : 사용자를 동적으로 생성하고 (DynamicUser 지시어와 유사하게 단위로 합성) 나머지 시스템에서 볼 수 있도록합니다.
  • systemd-userdbd.service : UNIX / glibc NSS 계정을 JSON 레코드로 변환하고 레코드 쿼리 및 나열을위한 통합 Varlink API를 제공합니다.

제안 된 시스템의 장점으로는 / etc 디렉토리를 읽기 전용 모드로 마운트하여 사용자를 관리 할 수있는 기능, 시스템간에 식별자 (UID / GID)를 동기화 할 필요가 없음, 특정 컴퓨터에서 사용자의 독립성, 잠금 기능이 있습니다. 암호화 및 최신 인증 방법을 사용하여 절전 모드 중 사용자 데이터.

마지막으로 언급하는 것이 중요합니다. 이 새로운 구성 요소를 포함 할 계획입니다. "시스템 홈" systemd 244 또는 245의 주 버전에서.

이 구성 요소에 대해 더 알고 싶다면 다음 pdf 문서를 참조하십시오.

링크는 이쪽입니다.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   일부 중 하나
    5 년

    나는 이것이 두렵다.

    어서, 저장하는 데이터의 양과 함께 언급 된 플래시 드라이브를 잃어 버리거나 훔친 경우, 거의 짜증이 나서 자신을 포기할 수 있습니다.

    여러 가지 이유로 그 아이디어는 나에게 완전히 터무니없는 것처럼 보입니다. 제 겸손한 생각으로는 잘되고있는 일을 바꾸고 싶어하는 그가 얼마나 습관이 있었는지 그리고 저는이 사람들의 역사를 보는 것이 보안을 향상시킬 것이라고 의심합니다.

    운 좋게도 저는 지금 Artix를 사용하고 있으며 무료 시스템 배포판이 얼마나 오래 저항 할 수 있는지는 모르지만이 모든 넌센스 모음을 제거하고 있습니다.

    onedetantos에 답장
    1.    데이비드 나란 조
      5 년

      나는 당신이 말하는 것에 동의합니다. 제 생각에는 아이디어가 좋지만 보안 부분이 없습니다 (일부 유형의 암호화)

      David Naranjo에게 답장
  2.   Luix
    5 년

    systemd 짜증!

    luix에게 답장