Lennart Poettering gepresenteerd op de All Systems Go 2019-conferentie een nieuw onderdeel van de systemd system manager, "Systemd-homed" die is bedoeld om de overdraagbaarheid van de homedirectory's van gebruikers te waarborgen en zijn scheiding van de systeemconfiguratie.
Het belangrijkste idee van het project is om autonome omgevingen voor gebruikersgegevens te creëren die kunnen worden overgedragen tussen verschillende systemen zonder dat u zich zorgen hoeft te maken over de synchronisatie van identificatiegegevens en privacy. De homedirectory-omgeving wordt geleverd in de vorm van een aangekoppeld afbeeldingsbestand, waarvan de gegevens versleuteld zijn.
Gebruikersreferenties zijn gekoppeld aan de homedirectory, niet naar systeemconfiguratie; in plaats van / etc / passwd en / etc / shadow, een JSON-formaatprofiel wordt gebruikt, opgeslagen in de ~ / .identity directory.
Het profiel bevat de nodige parameters voor de gebruiker om te werken, inclusief informatie over naam, wachtwoord-hash, coderingssleutels, vergoedingen en verstrekte middelen. Het profiel kan worden geverifieerd met behulp van een digitale handtekening die is opgeslagen in een extern Yubikey-token.
Elke directory die het beheert, omvat zowel het gegevensarchief als het gebruikersrecord van de gebruiker, zodat het de account van de gebruiker volledig beschrijft en daarom natuurlijk draagbaar is tussen systemen zonder verdere externe metadata.
De aankondiging benadrukt ook dat:
Parameters kunnen ook aanvullende informatie bevatten, zoals sleutels voor SSH, gegevens voor biometrische authenticatie, afbeelding, e-mail, adres, tijdzone, taal, limieten voor het aantal processen en geheugen, extra montagevlaggen (nodev, noexec, nosuid), gegevens over de toepasselijke IMAP-servergebruikersinformatie / SMTP, ouderlijk toezicht activeringsinformatie, back-upopties, enz.
Varlink API wordt geleverd om parameters op te vragen en te analyseren.
De UID / GID wordt dynamisch toegewezen en verwerkt op elk lokaal systeem waarmee de homedirectory is verbonden.
Met behulp van het voorgestelde systeem kan de gebruiker er zijn homedirectory bij houden.l, bijvoorbeeld op een flashdrive en een werkomgeving op elke computer krijgen zonder er expliciet een account op aan te maken (de aanwezigheid van een bestand met een afbeelding van de homedirectory leidt tot gebruikerssynthese).
Er wordt voorgesteld om het LUKS2-subsysteem te gebruiken voor gegevenscodering, maar systemd-homed stelt je ook in staat om andere backends te gebruiken, bijvoorbeeld voor niet-versleutelde mappen, Btrfs, Fscrypt en CIFS-netwerkpartities.
Om draagbare mappen te beheren, wordt het homectl-hulpprogramma voorgesteld, waarmee u afbeeldingen van hoofdmappen kunt maken en activeren, evenals hun grootte kunt wijzigen en een wachtwoord kunt instellen.
Op systeemniveau het werk wordt verzorgd door de volgende componenten:
- systemd-homed.service: beheert de homedirectory en sluit JSON-records rechtstreeks in de homedirectory-images in.
- pam_systemd: verwerkt de JSON-profielparameters wanneer een gebruiker inlogt en past deze toe in de context van een geactiveerde sessie (voert authenticatie uit, stelt omgevingsvariabelen in, etc.).
- systemd-login.service: verwerkt de parameters van een JSON-profiel wanneer een gebruiker inlogt, past verschillende instellingen voor resourcebeheer toe en stelt limieten in.
- nss-systemd: De NSS-module voor glibc synthetiseert de klassieke NSS-vermeldingen op basis van het JSON-profiel en biedt UNIX API-ondersteuning voor verwerking door gebruikers (/ etc / wachtwoord).
- PID1: het creëert dynamisch gebruikers (synthetiseert naar analogie met de DynamicUser-richtlijn in eenheden) en maakt ze zichtbaar voor de rest van het systeem.
- systemd-userdbd.service: vertaalt UNIX / glibc NSS-accounts naar JSON-records en biedt een uniforme Varlink-API voor het opvragen en vermelden van records.
De voordelen van het voorgestelde systeem zijn onder meer de mogelijkheid om gebruikers te beheren door de directory / etc in alleen-lezen modus te monteren, de afwezigheid van de noodzaak om identificatoren (UID / GID) tussen systemen te synchroniseren, de onafhankelijkheid van de gebruiker van een specifieke computer, het blokkeren van gebruikersgegevens tijdens de slaapmodus, met behulp van codering en moderne authenticatiemethoden.
Ten slotte is het belangrijk om dat te vermelden het is de bedoeling om dit nieuwe onderdeel op te nemen "Systemd-homed" in hoofdversie van systemd 244 of 245.
Als je meer wilt weten over dit onderdeel, kan je het volgende pdf-document raadplegen.
Ik ben hier bang voor.
Kom op, als je die flashdrive verliest of steelt die je noemt met de hoeveelheid gegevens die hij opslaat, dan kun je jezelf bijna opgeven voor geïrriteerdheid.
Om verschillende redenen lijkt het idee mij volkomen absurd. Wat een gewoonte heeft hij om dingen te willen veranderen die naar mijn bescheiden mening goed gaan en ik betwijfel ten zeerste of het zien van de geschiedenis van deze mensen de veiligheid zal verbeteren.
Gelukkig ben ik nu op Artix en ben ik al deze verzameling onzin kwijt, hoewel ik niet weet hoe lang de gratis systemd-distributies zullen kunnen weerstaan.
Ik ben het eens met wat je zegt, vanuit mijn oogpunt is het idee goed, maar het beveiligingsgedeelte ontbreekt (een soort codering)
systemd zuigt !!