Systemd-homed en ny komponent för att hantera hemkataloger

Lennart Poettering presenterade på All Systems Go 2019-konferensen en ny komponent i systemhanteraren, "systemd-homed" vilken är avsett att säkerställa portabilitet av användarnas hemkataloger och dess separation från systemkonfigurationen.

Huvudtanken med projektet är att skapa autonoma miljöer för användardata som kan överföras mellan olika system utan att behöva oroa sig för synkronisering av identifierare och integritet. Hemkatalogmiljön levereras i form av en monterad bildfil, vars data är krypterad.

Användaruppgifter är bundna till hemkatalogen, nej till systeminställningar; istället för /etc/passwd och /etc/shadow, en profil i JSON-format används, lagras i ~/.identity-katalogen.

Profilen innehåller nödvändiga parametrar för att användaren ska kunna arbeta, inklusive information om namn, lösenordshash, krypteringsnycklar, avgifter och resurser tillhandahålls. Profilen kan autentiseras av en digital signatur lagrad i en extern Yubikey-token.

 Varje katalog som den hanterar kapslar in både användarens datalager och användarregister, så att den heltäckande beskriver användarens konto och är därför naturligt portabel mellan system utan ytterligare extern metadata. 

Annonsen visar också att:

Parametrar kan också innehålla ytterligare information, såsom nycklar för SSH, data för biometrisk autentisering, bild, e-post, adress, tidszon, språk, gränser för antalet processer och minne, ytterligare monteringsflaggor (nodev, noexec, nosuid), data om tillämplig IMAP-server användarinformation / SMTP, föräldrakontroll aktivera information, säkerhetskopieringsalternativ osv.

Varlink API tillhandahålls för att fråga och analysera parametrar.

UID/GID tilldelas och bearbetas dynamiskt på varje lokalt system som hemkatalogen är kopplad till.

Med hjälp av det föreslagna systemet kan användaren behålla sin hemkatalog med él, till exempel på en Flash-enhet och få en arbetsmiljö på vilken dator som helst utan att uttryckligen skapa ett konto på den (närvaron av en fil med en bild av hemkatalogen leder till användarsyntes).

Det föreslås att delsystemet LUKS2 används för datakryptering, men systemd-homed låter dig också använda andra backends, till exempel för okrypterade kataloger, Btrfs, Fscrypt och CIFS nätverkspartitioner.

För att hantera bärbara kataloger föreslås verktyget homectl, som låter dig skapa och aktivera hemkatalogbilder, samt ändra deras storlek och ställa in ett lösenord.

På systemnivå, arbete tillhandahålls av följande komponenter:

• systemd-homed.service: hanterar hemkatalogen och bäddar in JSON-poster direkt i bilder i hemkatalogen.
• pam_systemd: bearbetar JSON-profilparametrar när en användare loggar in och tillämpar dem i samband med en aktiverad session (utför autentisering, ställer in miljövariabler, etc.).
• SystemD-logind.Service: behandlar parametrarna för en JSON-profil när en användare loggar in, tillämpar olika inställningar för resurshantering och sätter gränser.
• nss-systemd: NSS-modulen för glibc syntetiserar klassiska NSS-poster baserat på JSON-profilen, vilket ger UNIX API-stöd för användarbearbetning (/etc/password).
• PID 1: skapar användare dynamiskt (syntetiserar analogt med DynamicUser-direktivet i enheter) och gör dem synliga för resten av systemet.
• systemd-userdbd.service: översätter UNIX/glibc NSS-konton till JSON-poster och tillhandahåller ett enhetligt Varlink-API för sökning och listning av poster.

Fördelarna med det föreslagna systemet inkluderar möjligheten att hantera användare genom att montera /etc-katalogen i skrivskyddat läge, frånvaron av behovet av att synkronisera identifierare (UID/GID) mellan system, användaroberoende från en specifik dator, användarlås data under viloläge, användning av kryptering och moderna autentiseringsmetoder.

Slutligen är det viktigt att nämna det det är planerat att inkludera denna nya komponent systemd-homed i systemd major version 244 eller 245.

Om du vill veta mer om denna komponent kan du konsultera följande pdf-dokument.

Länken är den här.