Predstavil Lennart Poettering na konferencii All Systems Go 2019 nová súčasť systémového správcu systému, „Systemd-homed“ ktorý má zabezpečiť prenosnosť domácich adresárov používateľov a jeho oddelenie od konfigurácie systému.
Hlavnou myšlienkou projektu je vytvorenie autonómneho prostredia pre užívateľské dáta ktoré je možné prenášať medzi rôznymi systémami bez obáv zo synchronizácie identifikátorov a súkromia. Prostredie domovského adresára sa dodáva vo forme pripojeného obrazového súboru, ktorého údaje sú šifrované.
Poverenia používateľa sú spojené s domovským adresárom, nie na konfiguráciu systému; namiesto / etc / passwd a / etc / shadow, používa sa profil formátu JSON, uložené v adresári ~ / .identity.
Profil obsahuje potrebné parametre aby užívateľ mohol pracovať, vrátane informácií o mene, hašovaní hesiel, šifrovacích kľúčoch, poskytované poplatky a zdroje. Profil je možné autentifikovať pomocou digitálneho podpisu uloženého v externom tokene Yubikey.
Každý adresár, ktorý spravuje, obsahuje dátové úložisko aj užívateľský záznam používateľa, takže komplexne popisuje používateľské konto, a preto je prirodzene prenosný medzi systémami bez ďalších externých metadát.
Toto oznámenie tiež zdôrazňuje, že:
Parametre môžu obsahovať aj ďalšie informácie, napríklad kľúče pre SSH, údaje na účely biometrickej autentifikácie, obrázok, e-mail, adresa, časové pásmo, jazyk, obmedzenia počtu procesov a pamäte, ďalšie príznaky pripevnenia (nodev, noexec, nosuid), údaje o príslušných používateľských informáciách servera IMAP / SMTP, informácie o povolení rodičovskej kontroly, možnosti zálohovania atď.
Varlink API sa poskytuje na dopytovanie a analýzu parametrov.
UID / GID sa dynamicky prideľuje a spracováva v každom lokálnom systéme, ku ktorému je pripojený domovský adresár.
Pomocou navrhovaného systému si môže užívateľ uchovať svoj domovský adresár.l, napríklad na jednotke Flash a získam pracovné prostredie na ľubovoľnom počítači bez toho, aby som na ňom výslovne vytvoril účet (prítomnosť súboru s obrázkom domovského adresára vedie k syntéze používateľov).
Na šifrovanie údajov sa navrhuje používať subsystém LUKS2, ale systemd-homed vám tiež umožňuje používať ďalšie backendy, napríklad pre nezašifrované adresáre, Btrfs, Fscrypt a CIFS sieťové oddiely.
Na správu prenosných adresárov sa navrhuje obslužný program homectl, ktorý umožňuje vytvárať a aktivovať obrázky hlavných adresárov, ako aj meniť ich veľkosť a nastavovať heslo.
Na systémovej úrovni prácu poskytujú tieto komponenty:
- služba systemd-homed.service: spravuje domovský adresár a vkladá záznamy JSON priamo do obrázkov domovského adresára.
- pam_systemd: spracuje parametre profilu JSON, keď sa používateľ prihlási, a použije ich v kontexte spustenej relácie (vykoná autentifikáciu, nastaví premenné prostredia atď.).
- služba systemd-logind.service: spracuje parametre profilu JSON, keď sa používateľ prihlási, použije rôzne nastavenia správy zdrojov a nastaví limity.
- nss-systemd: Modul NSS pre glibc syntetizuje klasické položky NSS na základe profilu JSON a poskytuje podporu UNIX API pre spracovanie používateľom (/ etc / password).
- PID1: dynamicky vytvára používateľov (syntetizuje analogicky so smernicou DynamicUser v jednotkách) a zviditeľňuje ich pre zvyšok systému.
- služba systemd-userdbd.service: prekladá účty NSS UNIX / glibc do záznamov JSON a poskytuje jednotné rozhranie Varlink API na dopytovanie a vypísanie záznamov.
Medzi výhody navrhovaného systému patrí schopnosť spravovať používateľov pripojením adresára / etc v režime iba na čítanie, absencia potreby synchronizácie identifikátorov (UID / GID) medzi systémami, nezávislosť používateľa od konkrétneho počítača, blokovanie. údajov používateľa počas režimu spánku pomocou šifrovania a moderných metód autentifikácie.
Na záver je dôležité spomenúť plánuje sa zahrnutie tejto novej zložky „Systemd-homed“ v hlavnej verzii systemd 244 alebo 245.
Ak sa chcete dozvedieť viac informácií o tomto komponente, môžete si prečítať nasledujúci dokument vo formáte PDF.
Tohto sa bojím.
No tak, ak stratíte alebo ukradnú ten flash disk, ktorý spomeniete s množstvom dát, ktoré ukladá, potom sa môžete naštvane takmer vzdať.
Z rôznych dôvodov sa mi táto myšlienka zdá úplne absurdná. Aký má zvyk chcieť meniť veci, ktoré sa podľa môjho skromného názoru vyvíjajú dobre a veľmi pochybujem, že videnie histórie týchto ľudí zlepší bezpečnosť.
Našťastie som teraz na Artixe a zbavujem sa všetkej tejto zbierky nezmyslov, aj keď neviem, ako dlho budú môcť bezplatné systémové distribúcie odolať.
Súhlasím s tým, čo hovoríte, z môjho pohľadu je to dobrá myšlienka, ale chýba bezpečnostná časť (nejaký druh šifrovania)
systemd na hovno !!