Systemed-homed komponen baru untuk menguruskan direktori rumah

Darkcrizt

Minit 4

Sistemed-homed

Lennart Poettering dibentangkan pada persidangan All Systems Go 2019 komponen baru pengurus sistem systemd, "Sistemed homed" yang bertujuan untuk memastikan kemudahan direktori rumah pengguna dan pemisahannya dari konfigurasi sistem.

Idea utama projek ini adalah untuk mewujudkan persekitaran autonomi untuk data pengguna yang boleh dipindahkan antara sistem yang berbeza tanpa perlu risau tentang penyegerakan pengecam dan privasi. Lingkungan direktori rumah dikirimkan dalam bentuk file gambar yang dipasang, datanya dienkripsi.

Kredensial pengguna terikat pada direktori utama, bukan untuk konfigurasi sistem; bukannya / etc / passwd dan / etc / shadow, profil format JSON digunakan, disimpan dalam direktori ~ / .identity.

Profil mengandungi parameter yang diperlukan untuk pengguna bekerja, termasuk maklumat mengenai nama, kata laluan hash, kunci penyulitan, yuran dan sumber yang disediakan. Profil tersebut dapat disahkan menggunakan tandatangan digital yang disimpan dalam token Yubikey luaran.

 Setiap direktori yang dikendalikannya merangkumi penyimpanan data dan rekod pengguna pengguna, sehingga secara komprehensif menerangkan akaun pengguna dan oleh itu secara semula jadi mudah alih antara sistem tanpa metadata luaran lebih lanjut. 

Pengumuman itu juga menekankan bahawa:

Parameter juga boleh merangkumi maklumat tambahan, seperti kunci untuk SSH, data untuk pengesahan biometrik, gambar, e-mel, alamat, zon waktu, bahasa, had jumlah proses dan memori, bendera pemasangan tambahan (nodev, noexec, nosuid), data mengenai maklumat pengguna pelayan IMAP / SMTP, kawalan ibu bapa maklumat pengaktifan, pilihan sandaran, dll.

Varlink API disediakan untuk membuat pertanyaan dan menganalisis parameter.

UID / GID ditugaskan dan diproses secara dinamik pada setiap sistem tempatan yang dihubungkan dengan direktori utama.

Dengan menggunakan sistem yang dicadangkan, pengguna dapat menyimpan direktori rumahnya dengannya.Sebagai contoh, pada pemacu kilat dan dapatkan persekitaran kerja di mana-mana komputer tanpa membuat akaun secara eksplisit (kehadiran fail dengan gambar dari direktori utama membawa kepada sintesis pengguna).

Dicadangkan untuk menggunakan subsistem LUKS2 untuk penyulitan data, tetapi sistemd-homed juga membolehkan anda menggunakan backend lain, misalnya untuk direktori yang tidak disulitkan, Btrfs, Fscrypt, dan partisi rangkaian CIFS.

Untuk menguruskan direktori mudah alih, utiliti homectl dicadangkan, yang membolehkan anda membuat dan mengaktifkan gambar direktori utama, serta mengubah ukurannya dan menetapkan kata laluan.

Di peringkat sistem, karya tersebut disediakan oleh komponen berikut:

  • systemd-homed.service: menguruskan direktori rumah dan memasukkan rekod JSON terus ke dalam gambar direktori rumah.
  • pam_systemd: memproses parameter profil JSON ketika pengguna log masuk dan menerapkannya dalam konteks sesi yang dipicu (melakukan pengesahan, menetapkan pemboleh ubah persekitaran, dll.).
  • systemd-logind.service: memproses parameter profil JSON semasa pengguna log masuk, menerapkan pelbagai tetapan pengurusan sumber, dan menetapkan had.
  • nss-systemd: Modul NSS untuk glibc mensintesis entri NSS klasik berdasarkan profil JSON, memberikan sokongan UNIX API untuk pemprosesan pengguna (/ etc / password).
  • PID1: mencipta pengguna secara dinamik (mensintesis dengan analogi dengan arahan DynamicUser dalam unit) dan menjadikan mereka dapat dilihat oleh sistem yang lain.
  • systemd-userdbd.service: menterjemahkan akaun NSS UNIX / glibc ke dalam rekod JSON dan menyediakan API Varlink yang disatukan untuk membuat pertanyaan dan menyenaraikan rekod.

Kelebihan sistem yang dicadangkan termasuk kemampuan untuk mengurus pengguna dengan memasang direktori / etc dalam mod baca sahaja, ketiadaan keperluan untuk menyegerakkan pengecam (UID / GID) antara sistem, kebebasan pengguna dari komputer tertentu, mengunci data pengguna semasa mod tidur, menggunakan kaedah penyulitan dan pengesahan moden.

Akhirnya adalah penting untuk menyebut perkara itu dirancang untuk memasukkan komponen baru ini "Sistemed homed" dalam versi utama systemd 244 atau 245.

Sekiranya anda ingin mengetahui lebih lanjut mengenai komponen ini, anda boleh melihat dokumen pdf berikut.

Pautan ini.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   salah satu daripada beberapa kata
    membuat 5 tahun

    Saya takut dengan perkara ini.

    Ayuh, jika anda kehilangan atau mencuri pemacu kilat yang anda sebutkan dengan jumlah data yang disimpannya, maka anda hampir boleh menyerah kerana kesal.

    Kerana pelbagai alasan, idea itu sangat tidak masuk akal bagi saya. Apa kebiasaannya dia ingin mengubah perkara yang menurut saya rendah hati berjalan lancar dan saya ragu bahawa melihat sejarah orang-orang ini akan meningkatkan keamanan.

    Nasib baik saya menggunakan Artix sekarang dan saya menyingkirkan semua koleksi karut ini, walaupun saya tidak tahu berapa lama distro sistem bebas akan dapat ditolak.

    Balas onedetantos
    1.    David naranjo kata
      membuat 5 tahun

      Saya setuju dengan apa yang anda katakan, dari sudut pandangan saya idea itu bagus tetapi bahagian keselamatannya hilang (beberapa jenis penyulitan)

      Balas David Naranjo
  2.   luix kata
    membuat 5 tahun

    systemd menghisap !!

    Balas luix