Systemd a adăugat o nouă componentă pentru gestionarea directoarelor de acasă

Darkcrizt

Minute 4

systemd-homed

Lennart Poettering prezentat la conferința All Systems Go 2019, o nouă componentă a managerului de sistem systemd, „Systemd-homed” care este destinat să asigure portabilitatea directoarelor principale ale utilizatorilor și separarea acestuia de configurația sistemului.

Ideea principală a proiectului este de a crea medii autonome pentru datele utilizatorilor care poate fi transferat între diferite sisteme fără a vă face griji cu privire la sincronizarea identificatorilor și confidențialitatea. Mediul directorului de acasă este livrat sub forma unui fișier imagine montat, ale cărui date sunt criptate.

Acreditările de utilizator sunt legate de directorul principal, nu la configurarea sistemului; în loc de / etc / passwd și / etc / shadow, se folosește un profil în format JSON, stocate în directorul ~ / .identity.

Profilul conține parametrii necesari pentru ca utilizatorul să funcționeze, inclusiv informații despre nume, hash parola, chei de criptare, taxe și resurse furnizate. Profilul poate fi autentificat utilizând o semnătură digitală stocată într-un simbol Yubikey extern.

 Fiecare director pe care îl gestionează încapsulează atât magazinul de date, cât și înregistrarea utilizatorului utilizatorului, astfel încât acesta descrie în mod cuprinzător contul utilizatorului și, prin urmare, este portabil în mod natural între sisteme, fără alte metadate externe. 

Anunțul subliniază, de asemenea, că:

Parametrii pot include, de asemenea, informații suplimentare, cum ar fi tastele pentru SSH, date pentru autentificare biometrică, imagine, e-mail, adresă, fus orar, limbă, limite privind numărul de procese și memorie, steaguri de montare suplimentare (nodev, noexec, nosuid), date despre informațiile aplicabile ale utilizatorului serverului IMAP / SMTP, control parental informații de activare, opțiuni de rezervă etc.

API-ul Varlink este furnizat pentru interogarea și analiza parametrilor.

UID / GID este atribuit și procesat dinamic pe fiecare sistem local la care este conectat directorul principal.

Utilizând sistemul propus, utilizatorul își poate păstra directorul de acasă cu el.De exemplu, pe o unitate flash și obțin un mediu de lucru pe orice computer fără a crea în mod explicit un cont pe acesta (prezența unui fișier cu o imagine a directorului principal duce la sinteza utilizatorului).

Se propune utilizarea subsistemului LUKS2 pentru criptarea datelor, dar systemd-homed vă permite, de asemenea, să utilizați alte backend-uri, de exemplu pentru directoare necriptate, Btrfs, Fscrypt și partiții de rețea CIFS.

Pentru a gestiona directoare portabile, este propus utilitarul homectl, care vă permite să creați și să activați imagini ale directoarelor principale, precum și să modificați dimensiunea acestora și să setați o parolă.

La nivel de sistem, lucrarea este asigurată de următoarele componente:

  • systemd-homed.service: gestionează directorul de acasă și încorporează înregistrările JSON direct în imaginile de director de acasă.
  • pam_systemd: procesează parametrii profilului JSON atunci când un utilizator se conectează și îi aplică în contextul unei sesiuni declanșate (efectuează autentificare, setează variabile de mediu etc.).
  • systemd-logind.service: procesează parametrii unui profil JSON atunci când un utilizator se conectează, aplică diverse setări de gestionare a resurselor și stabilește limite.
  • nss-systemd: Modulul NSS pentru glibc sintetizează intrările NSS clasice pe baza profilului JSON, oferind suport API UNIX pentru procesarea utilizatorului (/ etc / password).
  • PID1: creează utilizatori dinamic (sintetizează prin analogie cu directiva DynamicUser în unități) și îi face vizibili pentru restul sistemului.
  • systemd-userdbd.service: traduce conturile UNIX / glibc NSS în înregistrări JSON și oferă un API Varlink unificat pentru interogarea și listarea înregistrărilor.

Avantajele sistemului propus includ abilitatea de a gestiona utilizatorii prin montarea directorului / etc în modul read-only, absența necesității de a sincroniza identificatorii (UID / GID) între sisteme, independența utilizatorului față de un computer specific, blocarea datelor utilizatorului în timpul modului de repaus, utilizând metode de criptare și autentificare moderne.

În sfârșit, este important să menționăm că este planificată includerea acestei noi componente „Systemd-homed” în versiunea majoră a systemd 244 sau 245.

Dacă doriți să aflați mai multe despre această componentă, puteți consulta următorul document pdf.

Legătura este aceasta.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   unul dintre unii el a spus
    hace Ani 5

    Mă tem de asta.

    Haide, dacă pierzi sau fură acea unitate flash pe care o menționezi cu cantitatea de date pe care o stochează, atunci aproape că te poți renunța la enervare.

    Din diverse motive, ideea mi se pare total absurdă. Ce obicei are de a dori să schimbe lucruri care, în umila mea părere, merg bine și mă îndoiesc foarte mult că văzând istoria acestor oameni va îmbunătăți securitatea.

    Din fericire, sunt pe Artix acum și scap de toată această colecție de prostii, deși nu știu cât timp vor putea rezista distribuțiile de sistem gratuite.

    Răspunde la onedetantos
    1.    David naranjo el a spus
      hace Ani 5

      Sunt de acord cu ceea ce spui, din punctul meu de vedere ideea este bună, dar partea de securitate lipsește (un anumit tip de criptare)

      Răspunde lui David Naranjo
  2.   luix el a spus
    hace Ani 5

    systemd e de rahat !!

    Răspunde la luix