Inilahad si Lennart Poettering sa All Systems Go 2019 conference isang bagong sangkap ng systemd system manager, "Systemd-homed" na ay inilaan upang matiyak ang kakayahang dalhin ng mga direktoryo sa bahay ng mga gumagamit at ang paghihiwalay nito mula sa pagsasaayos ng system.
Ang pangunahing ideya ng proyekto ay upang lumikha ng mga autonomous na kapaligiran para sa data ng gumagamit na maaaring mailipat sa pagitan ng iba't ibang mga system nang hindi nag-aalala tungkol sa pagsabay ng mga identifier at privacy. Ang kapaligiran ng direktoryo ng bahay ay naihatid sa anyo ng isang naka-mount na file ng imahe, na ang data ay naka-encrypt.
Ang mga kredensyal ng gumagamit ay nakatali sa direktoryo sa bahay, hindi sa pagsasaayos ng system; sa halip na / etc / passwd at / etc / shadow, ginamit ang isang profile na format na JSON, nakaimbak sa direktoryo ng ~ / .identity.
Naglalaman ang profile ng mga kinakailangang parameter upang gumana ang gumagamit, kabilang ang impormasyon tungkol sa pangalan, hash password, mga key ng pag-encrypt, bayad at mapagkukunan na ibinigay. Maaaring mapatunayan ang profile gamit ang isang digital na lagda na nakaimbak sa isang panlabas na Yubikey token.
Ang bawat direktoryo na pinamamahalaan nito ay nag-encapsulate ng parehong tindahan ng data at tala ng gumagamit ng gumagamit, upang komprehensibong inilalarawan nito ang account ng gumagamit at samakatuwid ay likas na portable sa pagitan ng mga system nang walang karagdagang panlabas na metadata.
Ang anunsyo ay naka-highlight din na:
Ang mga parameter ay maaari ring magsama ng karagdagang impormasyon, tulad ng mga key para sa SSH, data para sa pagpapatotoo ng biometric, imahe, email, address, time zone, wika, mga limitasyon sa bilang ng mga proseso at memorya, karagdagang mga mounting flag (nodev, noexec, nosuid), data sa naaangkop na impormasyon ng gumagamit ng server ng IMAP / SMTP, impormasyon sa pagpapagana ng kontrol ng magulang, mga pagpipilian sa pag-backup, atbp.
Ibinigay ang Varlink API upang mag-query at pag-aralan ang mga parameter.
Ang UID / GID ay dinamiko na nakatalaga at naproseso sa bawat lokal na system kung saan nakakonekta ang direktoryo ng bahay.
Gamit ang iminungkahing sistema, mapapanatili ng gumagamit ang kanyang direktoryo sa bahay dito.l, halimbawa, sa isang Flash drive at makakuha ng isang gumaganang kapaligiran sa anumang computer nang hindi malinaw na lumilikha ng isang account dito (ang pagkakaroon ng isang file na may isang imahe ng direktoryo sa bahay ay humahantong sa pagbubuo ng gumagamit).
Iminungkahi na gamitin ang subsystem ng LUKS2 para sa pag-encrypt ng data, ngunit pinapayagan ka rin ng systemd-homed na gumamit ng iba pang mga backend, halimbawa para sa hindi naka-encrypt na mga direktoryo, mga partisyon ng Btrfs, Fscrypt, at CIFS network.
Upang pamahalaan ang mga portable na direktoryo, iminungkahi ang utility ng homectl, na nagbibigay-daan sa iyo upang lumikha at buhayin ang mga imahe ng mga pangunahing direktoryo, pati na rin baguhin ang laki at magtakda ng isang password.
Sa antas ng system, ang gawain ay ibinibigay ng mga sumusunod na sangkap:
- systemd-homed.service: namamahala ng direktoryo sa bahay at nag-embeds ng direkta ng mga tala ng JSON sa mga imahe ng direktoryo ng bahay.
- pam_systemd: pinoproseso ang mga parameter ng profile ng JSON kapag nag-log in ang isang gumagamit at inilalapat ang mga ito sa konteksto ng isang na-trigger na session (nagsasagawa ng pagpapatotoo, nagtatakda ng mga variable ng kapaligiran, atbp.).
- systemd-logind.service: pinoproseso ang mga parameter ng isang profile sa JSON kapag nag-log in ang isang gumagamit, naglalapat ng iba't ibang mga setting ng pamamahala ng mapagkukunan, at nagtatakda ng mga limitasyon.
- nss-systemd: Ang module ng NSS para sa glibc ay synthesize ng klasikong mga entry ng NSS batay sa profile na JSON, na nagbibigay ng suporta sa UNIX API para sa pagpoproseso ng gumagamit (/ etc / password).
- PID1: lumilikha ng mga gumagamit ng pabagu-bago (nagbubuo ng pagkakatulad sa direktiba ng DynamicUser sa mga yunit) at ginagawa silang nakikita ng natitirang sistema.
- systemd-userdbd.service: isinalin ang mga UNIX / glibc NSS account sa mga tala ng JSON at nagbibigay ng isang pinag-isang Varlink API para sa pag-query at listahan ng listahan.
Ang mga kalamangan ng iminungkahing sistema ay nagsasama ng kakayahang pamahalaan ang mga gumagamit sa pamamagitan ng pag-mount ng direktoryo / etc sa read-only mode, ang kawalan ng pangangailangan na i-synchronize ang mga identifier (UID / GID) sa pagitan ng mga system, ang kalayaan ng gumagamit mula sa isang tukoy na computer, ang pagharang data ng gumagamit habang mode ng pagtulog, gamit ang pag-encrypt at modernong mga pamamaraan ng pagpapatotoo.
Sa wakas mahalaga na banggitin iyon planong isama ang bagong sangkap na ito "Systemd-homed" sa pangunahing bersyon ng systemd 244 o 245.
Kung nais mong malaman ang higit pa tungkol sa sangkap na ito, maaari kang kumunsulta sa sumusunod na dokumentong pdf.
Natatakot ako dito.
Halika, kung nawala o nakawin mo ang flash drive na binanggit mo sa dami ng data na iniimbak nito, halos maaari mong ibigay ang iyong sarili sa inis.
Para sa iba't ibang mga kadahilanan ang ideya ay tila ganap na walang katotohanan sa akin. Anong ugali niya na nais na baguhin ang mga bagay na sa aking mapagpakumbabang opinyon ay maayos at nag-aalinlangan ako na ang makita ang kasaysayan ng mga taong ito ay magpapabuti sa seguridad.
Sa kabutihang palad nasa Artix ako ngayon at tinatanggal ko ang lahat ng koleksyon na ito ng kalokohan, kahit na hindi ko alam kung gaano katagal makakalaban ang mga libreng systemd distros.
Sumasang-ayon ako sa sinasabi mo, mula sa aking pananaw ang ideya ay mabuti ngunit ang bahagi ng seguridad ay nawawala (ilang uri ng pag-encrypt)
sumuso ang systemd !!