Systemd izveidoja jaunu komponentu mājas direktoriju pārvaldībai

Prezentēja Lenarts Poetterings All Systems Go 2019 konferencē jauns sistēmas sistēmas pārvaldnieka komponents, "Systemd-homed" kas ir paredzēts, lai nodrošinātu lietotāju mājas direktoriju pārnesamību un tā atdalīšana no sistēmas konfigurācijas.

Projekta galvenā ideja ir izveidot autonomu vidi lietotāju datiem ko var pārsūtīt starp dažādām sistēmām, neuztraucoties par identifikatoru sinhronizāciju un privātumu. Mājas direktorija vide tiek piegādāta pievienota attēla faila veidā, kura dati ir šifrēti.

Lietotāja akreditācijas dati ir saistīti ar mājas direktoriju, nē sistēmas konfigurācijai; / etc / passwd un / etc / shadow vietā, tiek izmantots JSON formāta profils, glabājas direktorijā ~ / .identity.

Profils satur nepieciešamos parametrus lai lietotājs varētu strādāt, ieskaitot informāciju par vārdu, paroles jaucējkodu, šifrēšanas atslēgāmkvotas un nodrošinātie resursi. Profilu var autentificēt, izmantojot digitālo parakstu, kas saglabāts ārējā Yubikey marķierī.

 Katrā direktorijā, kuru tā pārvalda, tiek iekapsulēti gan datu krājumi, gan lietotāja lietotāja ieraksts, lai tas visaptveroši aprakstītu lietotāja kontu un tāpēc būtu dabiski pārvietojams starp sistēmām bez papildu ārējiem metadatiem. 

Paziņojumā arī uzsvērts, ka:

Parametri var ietvert arī papildu informāciju, piemēram, SSH atslēgas, biometriskās autentifikācijas dati, attēls, e-pasts, adrese, laika josla, valoda, procesu un atmiņas skaita ierobežojumi, papildu stiprinājuma karodziņi (nodev, noexec, nosuid), dati par piemērojamo IMAP servera lietotāja informāciju / SMTP, vecāku kontrole informācija par iespējošanu, dublēšanas opcijas utt.

Varlink API ir paredzēts parametru vaicāšanai un analīzei.

UID / GID tiek dinamiski piešķirts un apstrādāts katrā lokālajā sistēmā, kurai ir pievienots mājas katalogs.

Izmantojot piedāvāto sistēmu, lietotājs var tajā saglabāt savu mājas direktoriju.Piemēram, uz Flash diska un iegūstiet darba vidi jebkurā datorā, tajā skaidri nepārveidojot kontu (faila klātbūtne ar mājas direktorija attēlu noved pie lietotāja sintēzes).

Datu šifrēšanai tiek piedāvāts izmantot apakšsistēmu LUKS2, bet sistēmā system-homed ļauj izmantot arī citas aizmugures, piemēram, nešifrētiem direktorijiem, Btrfs, Fscrypt un CIFS tīkla nodalījumiem.

Lai pārvaldītu portatīvos direktorijus, tiek piedāvāta utilīta homectl, kas ļauj jums izveidot un aktivizēt galveno direktoriju attēlus, kā arī mainīt to lielumu un iestatīt paroli.

Sistēmas līmenī darbu nodrošina šādi komponenti:

• systemd-homed.service: pārvalda mājas direktoriju un iegulst JSON ierakstus tieši mājas direktorija attēlos.
• pam_systemd: apstrādā JSON profila parametrus, kad lietotājs piesakās un lieto tos aktivizētās sesijas kontekstā (veic autentifikāciju, iestata vides mainīgos utt.).
• systemd-logind.service: apstrādā JSON profila parametrus, kad lietotājs piesakās, piemēro dažādus resursu pārvaldības iestatījumus un nosaka ierobežojumus.
• nss-systemd: NSS modulis glibc sintezē klasiskos NSS ierakstus, pamatojoties uz JSON profilu, nodrošinot UNIX API atbalstu lietotāja (/ etc / password) apstrādei.
• PID 1: dinamiski izveido lietotājus (sintezē pēc analoģijas ar DynamicUser direktīvu vienībās) un padara tos redzamus pārējai sistēmai.
• systemd-userdbd.service: tulko UNIX / glibc NSS kontus JSON ierakstos un nodrošina vienotu Varlink API ierakstu vaicāšanai un uzskaitīšanai.

Piedāvātās sistēmas priekšrocības ir iespēja pārvaldīt lietotājus, instalējot direktoriju / etc tikai lasāmā režīmā, identifikatoru (UID / GID) sinhronizācijas nepieciešamība starp sistēmām, lietotāja neatkarība no konkrēta datora, bloķēšana lietotāja dati miega režīmā, izmantojot šifrēšanu un modernas autentifikācijas metodes.

Visbeidzot ir svarīgi to pieminēt plānots iekļaut šo jauno komponentu "Systemd-homed" 244. vai 245. sistēmas galvenajā versijā.

Ja vēlaties uzzināt vairāk par šo komponentu, varat iepazīties ar šo pdf dokumentu.

Saite ir šī.