Гэрийн лавлах санг удирдах шинэ бүрэлдэхүүн хэсгийг Systemd-homed

Системд холбогдсон

Леннарт Потертеринг танилцуулав All Systems Go 2019 чуулганд systemd системийн менежерийн шинэ бүрэлдэхүүн хэсэг, "Systemd-homed" тэр нь нь хэрэглэгчийн гэрийн лавлах зөөврийн байдлыг хангахад зориулагдсан болно болон системийн тохиргооноос салгах.

Төслийн гол санаа бол хэрэглэгчийн өгөгдөлд зориулж бие даасан орчныг бий болгох явдал юм танигч, нууцлалын синхрончлолын талаар санаа зовохгүйгээр өөр өөр системүүдийн хооронд шилжүүлж болно. Гэрийн лавлах орчныг өгөгдлийг шифрлэсэн суулгасан зургийн файл хэлбэрээр хүргэж өгдөг.

Хэрэглэгчийн үнэмлэхийг гэрийн лавлахтай холбодог, системийн тохиргоонд хамаарахгүй; оронд / etc / passwd ба / etc / shadow, JSON форматтай профайл ашигласан, ~ / .identity лавлах дотор хадгалагдсан.

Профайл нь шаардлагатай параметрүүдийг агуулдаг хэрэглэгчийн хувьд нэр, нууц үг хэш, шифрлэлтийн түлхүүрүүдийн тухай мэдээлэл орно, төлбөр, нөөцийг өгсөн болно. Гаднах Yubikey жетонд хадгалагдсан тоон гарын үсгийг ашиглан профайлыг баталгаажуулах боломжтой.

 Удирдах директор бүр нь өгөгдлийн хадгалалт болон хэрэглэгчийн бүртгэлийг багтаасан тул хэрэглэгчийн дансыг цогцоор нь дүрсэлж, улмаар гадны мета өгөгдөлгүйгээр системүүдийн хооронд зөөврийн байдлаар байрлуулах боломжтой болно. 

Энэхүү мэдэгдэл нь:

Параметрүүд нь SSH-ийн түлхүүрүүд гэх мэт нэмэлт мэдээллийг агуулж болно, биометрийн баталгаажуулалт, дүрс, имэйл хаяг, хаяг, цагийн бүс, хэл, үйл явцын тоо, санах ойн хязгаарлалт, нэмэлт бэхлэх туг (nodev, noexec, nosuid), холбогдох IMAP серверийн хэрэглэгчийн мэдээлэл / SMTP, эцэг эхийн хяналт идэвхжүүлэх мэдээлэл, нөөцлөх сонголт гэх мэт.

Varlink API нь параметрүүдийг асууж, дүн шинжилгээ хийхэд зориулагдсан болно.

UID / GID нь гэрийн лавлах холбогдсон локал систем бүрт динамикаар хуваарилагдаж боловсруулагддаг.

Санал болгож буй системийг ашиглан хэрэглэгч гэрийн лавлахаа түүнтэй хамт хадгалах боломжтой.Жишээлбэл, флаш диск дээр дурын компьютер дээр данс үүсгэхгүйгээр ажиллах орчинг олж авах (гэрийн директорын дүрс бүхий файл байгаа нь хэрэглэгчийн синтезэд хүргэдэг).

LUKS2 дэд системийг өгөгдлийг шифрлэхэд ашиглахыг санал болгож байна, гэхдээ systemd-homed нь бусад арын хэсгүүдийг ашиглах боломжийг олгодог, жишээлбэл шифрлэгдээгүй директорууд, Btrfs, Fscrypt, болон CIFS сүлжээний хуваалтууд.

Зөөврийн санг удирдахын тулд homectl хэрэгслийг санал болгож байгаа бөгөөд энэ нь үндсэн директоруудын зургийг үүсгэх, идэвхжүүлэх, тэдгээрийн хэмжээг өөрчлөх, нууц үгээ тохируулах боломжийг олгодог.

Системийн түвшинд, ажлыг дараах бүрэлдэхүүн хэсгүүдээр хангана.

  • systemd-homed.service: гэрийн лавлахыг удирдаж, JSON бүртгэлийг гэрийн лавлах зурагт шууд оруулах.
  • pam_systemd: хэрэглэгч JSON профайлын параметрүүдийг боловсруулж, идэвхжүүлсэн сессийн хүрээнд ашигладаг (нэвтрэлт танилт хийдэг, орчны хувьсагчийг тохируулдаг гэх мэт).
  • systemd-logind.service: хэрэглэгч нэвтрэх, янз бүрийн нөөцийн менежментийн тохиргоонуудыг ашиглах, хязгаарлалт тогтоох үед JSON профайлын параметрүүдийг боловсруулдаг.
  • nss-systemd: Glibc-д зориулсан NSS модуль нь JSON профайл дээр үндэслэн сонгодог NSS оруулгуудыг нэгтгэж, хэрэглэгчийн (/ etc / password) боловсруулалтад зориулж UNIX API дэмжлэг үзүүлдэг.
  • PID 1: энэ нь хэрэглэгчдийг динамикаар үүсгэдэг (DynamicUser удирдамжтай ижил төстэй байдлаар нэгтгэдэг) бөгөөд тэдгээрийг системийн бусад хэсэгт харагдуулдаг.
  • systemd-userdbd.service: UNIX / glibc NSS дансыг JSON бүртгэлд хөрвүүлдэг бөгөөд бичлэгийг асуулга, жагсаалтад зориулж нэгдсэн Varlink API-г өгдөг.

Санал болгож буй системийн давуу талууд нь / etc директорыг зөвхөн унших горимд суулгаж хэрэглэгчдийг удирдах чадвар, таних тэмдэг (UID / GID) -ийг синхрончлох шаардлагагүй, тодорхой компьютерээс хэрэглэгчийн хараат бус байдал, шифрлэлт, орчин үеийн нэвтрэлт танилтын аргуудыг ашиглан унтах горимын үед хэрэглэгчийн өгөгдлийг хаах.

Эцэст нь үүнийг дурдах нь чухал юм энэ шинэ бүрэлдэхүүн хэсгийг оруулахаар төлөвлөж байна "Systemd-homed" systemd 244 эсвэл 245-ийн томоохон хувилбарт.

Хэрэв та энэ бүрэлдэхүүн хэсгийн талаар илүү ихийг мэдэхийг хүсвэл дараахь pdf баримт бичигтэй танилцаж болно.

Холбоос энэ байна.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

3 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   заримынх нь нэг гэж хэлэв

    Би үүнээс айж байна.

    Алив ээ, хэрэв та хадгалсан өгөгдлийнхөө хэмжээгээр дурдсан флаш дискээ алдсан эсвэл хулгайлсан бол та бухимдсандаа бараг л бууж өгч чадна.

    Янз бүрийн шалтгаанаар энэ санаа надад огт утгагүй санагдаж байна. Тэр миний даруухан бодлоор сайн сайхан байгаа зүйлийг өөрчлөхийг хүсдэг ямар их зуршилтай вэ, эдгээр хүмүүсийн түүхийг харах нь аюулгүй байдлыг сайжруулна гэдэгт би маш их эргэлздэг.

    Аз болоход би одоо Artix дээр ажиллаж байгаа бөгөөд энэ үнэгүй детал цуглуулгуудаас салж байна, гэхдээ үнэгүй системийн дистрибьютерүүд хэр удаан эсэргүүцэж чадахаа мэдэхгүй байна.

    1.    Дэвид наранжо гэж хэлэв

      Таны хэлсэн үгтэй би санал нэг байна, миний бодлоор энэ санаа сайн боловч аюулгүй байдлын хэсэг нь байхгүй (зарим төрлийн шифрлэлт)

  2.   Luix гэж хэлэв

    systemd хөхөж байна !!