Systemd-hjem en ny komponent for administrering av hjemmekataloger

Lennart Poettering presenterte på All Systems Go 2019-konferansen, en ny komponent av systemd systemansvarlig, "Systemd-homed" hvilken er ment å sikre bærbarheten til brukernes hjemmekataloger og dens separasjon fra systemkonfigurasjonen.

Hovedideen til prosjektet er å lage autonome miljøer for brukerdata som kan overføres mellom forskjellige systemer uten å bekymre deg for synkronisering av identifikatorer og personvern. Hjemmekatalogmiljøet leveres i form av en montert bildefil, hvis data er kryptert.

Brukerlegitimasjon er knyttet til hjemmekatalogen, ikke til systemkonfigurasjon; i stedet for / etc / passwd og / etc / shadow, en JSON-formatprofil brukes, lagret i ~ / .identity-katalogen.

Profilen inneholder de nødvendige parametrene for at brukeren skal jobbe, inkludert informasjon om navn, passordhash, krypteringsnøkler, gebyrer og ressurser. Profilen kan autentiseres ved hjelp av en digital signatur lagret i et eksternt Yubikey-token.

 Hver katalog som den administrerer innkapsler både datalageret og brukerens brukeroppføring, slik at den omfattende beskriver brukerens konto og derfor er naturlig bærbar mellom systemer uten ytterligere eksterne metadata. 

Kunngjøringen fremhever også at:

Parametere kan også inneholde tilleggsinformasjon, for eksempel nøkler for SSH, data for biometrisk autentisering, bilde, e-post, adresse, tidssone, språk, begrensninger på antall prosesser og minne, ekstra monteringsflagg (nodev, noexec, nosuid), data om gjeldende brukerinformasjon for IMAP-server / SMTP, foreldrekontrollinformasjon, alternativ for sikkerhetskopiering osv.

Varlink API leveres for å spørre og analysere parametere.

UID / GID tildeles og behandles dynamisk på hvert lokale system som hjemmekatalogen er koblet til.

Ved å bruke det foreslåtte systemet kan brukeren beholde hjemmekatalogen med det.For eksempel på en Flash-stasjon og få et arbeidsmiljø på hvilken som helst datamaskin uten å eksplisitt opprette en konto på den (tilstedeværelsen av en fil med et bilde av hjemmekatalogen fører til brukersyntese).

Det foreslås å bruke LUKS2-delsystemet for datakryptering, men systemd-homed lar deg også bruke andre backends, for eksempel for ukrypterte kataloger, Btrfs, Fscrypt og CIFS nettverkspartisjoner.

For å administrere bærbare kataloger foreslås homectl-verktøyet, som lar deg lage og aktivere bilder av hovedkataloger, samt endre størrelse og angi et passord.

På systemnivå, arbeidet er levert av følgende komponenter:

• systemd-homed.service: administrerer hjemmekatalogen og legger inn JSON-poster direkte i hjemmekatalogbildene.
• pam_systemd: behandler JSON-profilparametrene når en bruker logger på og bruker dem i sammenheng med en utløst økt (utfører autentisering, angir miljøvariabler osv.).
• systemd-logind.service: behandler parametrene til en JSON-profil når en bruker logger på, bruker forskjellige ressursadministrasjonsinnstillinger og setter grenser.
• nss-systemd: NSS-modulen for glibc syntetiserer de klassiske NSS-oppføringene basert på JSON-profilen, og gir UNIX API-støtte for brukerbehandling (/ etc / passord).
• PID1: det skaper brukere dynamisk (syntetiseres analogt med DynamicUser-direktivet i enheter) og gjør dem synlige for resten av systemet.
• systemd-userdbd.service: oversetter UNIX / glibc NSS-kontoer til JSON-poster og gir et enhetlig Varlink API for spørring og oppføring av poster.

Fordelene med det foreslåtte systemet inkluderer muligheten til å administrere brukere ved å montere / etc-katalogen i skrivebeskyttet modus, fraværet av behovet for å synkronisere identifikatorer (UID / GID) mellom systemer, brukerens uavhengighet fra en bestemt datamaskin, blokkering av brukerdata i hvilemodus ved hjelp av kryptering og moderne autentiseringsmetoder.

Til slutt er det viktig å nevne det det er planlagt å inkludere denne nye komponenten "Systemd-homed" i hovedversjon av systemd 244 eller 245.

Hvis du vil vite mer om denne komponenten, kan du se følgende pdf-dokument.

Koblingen er denne.