Lennart Poettering sunuldu All Systems Go 2019 konferansında systemd sistem yöneticisinin yeni bir bileşeni, "Systemd-homed" hangi kullanıcıların ana dizinlerinin taşınabilirliğini sağlamayı amaçlamaktadır ve sistem konfigürasyonundan ayrılması.
Projenin ana fikri, kullanıcı verileri için otonom ortamlar oluşturmaktır. bu, tanımlayıcıların senkronizasyonu ve gizlilik konusunda endişelenmeden farklı sistemler arasında aktarılabilir. Ana dizin ortamı, verileri şifrelenmiş bir bağlanmış görüntü dosyası biçiminde teslim edilir.
Kullanıcı kimlik bilgileri ana dizine bağlıdır, sistem konfigürasyonuna hayır; / etc / passwd ve / etc / shadow yerine, JSON format profili kullanılır, ~ / .identity dizininde saklanır.
Profil gerekli parametreleri içerir kullanıcının çalışması için, ad, parola karması, şifreleme anahtarları hakkında bilgiler dahil, kotalar ve sağlanan kaynaklar. Profil, harici bir Yubikey belirtecinde saklanan bir dijital imza kullanılarak doğrulanabilir.
Yönettiği her dizin, hem veri deposunu hem de kullanıcının kullanıcı kaydını kapsüller, böylece kullanıcının hesabını kapsamlı bir şekilde açıklar ve bu nedenle başka harici meta veriler olmadan sistemler arasında doğal olarak taşınabilir.
Duyuru ayrıca şunları vurgulamaktadır:
Parametreler ayrıca SSH anahtarları gibi ek bilgiler içerebilir, biyometrik kimlik doğrulama verileri, görüntü, e-posta, adres, saat dilimi, dil, işlem sayısı ve bellek sınırları, ek bağlama işaretleri (nodev, noexec, nosuid), uygulanabilir IMAP sunucusu kullanıcı bilgileri / SMTP verileri, ebeveyn kontrolü etkinleştirme bilgileri, yedekleme seçenekleri vb.
Varlink API, parametreleri sorgulamak ve analiz etmek için sağlanır.
UID / GID, ana dizinin bağlı olduğu her yerel sisteme dinamik olarak atanır ve işlenir.
Önerilen sistemi kullanarak, kullanıcı kendi ana dizinini onunla birlikte tutabilir.l, örneğin, bir Flash sürücüde ve üzerinde açıkça bir hesap oluşturmadan herhangi bir bilgisayarda bir çalışma ortamı elde edin (ana dizinin görüntüsünü içeren bir dosyanın varlığı, kullanıcı sentezine yol açar).
Veri şifreleme için LUKS2 alt sisteminin kullanılması önerilmektedir, ancak systemd-homed ayrıca şifrelenmemiş dizinler, Btrfs, Fscrypt ve CIFS ağ bölümleri için diğer arka uçları kullanmanıza da izin verir.
Taşınabilir dizinleri yönetmek için, ana dizinlerin görüntülerini oluşturmanıza ve etkinleştirmenize, boyutlarını değiştirmenize ve bir şifre belirlemenize olanak tanıyan homectl yardımcı programı önerilmiştir.
Sistem düzeyinde, iş aşağıdaki bileşenlerle sağlanır:
- systemd-homed.hizmet: ana dizini yönetir ve JSON kayıtlarını doğrudan ana dizin görüntülerine yerleştirir.
- pam_systemd: bir kullanıcı oturum açtığında JSON profil parametrelerini işler ve bunları tetiklenen bir oturum bağlamında uygular (kimlik doğrulama gerçekleştirir, ortam değişkenlerini ayarlar vb.)
- systemd-logind.hizmet: bir kullanıcı oturum açtığında bir JSON profilinin parametrelerini işler, çeşitli kaynak yönetimi ayarlarını uygular ve sınırları belirler.
- nss sistemi: Glibc için NSS modülü, klasik NSS girişlerini JSON profiline dayalı olarak sentezleyerek kullanıcı (/ etc / password) işlemesi için UNIX API desteği sağlar.
- PID1: kullanıcıları dinamik olarak oluşturur (birimlerde DynamicUser yönergesine benzer şekilde sentezler) ve onları sistemin geri kalanına görünür kılar.
- systemd-userdbd.hizmet: UNIX / glibc NSS hesaplarını JSON kayıtlarına çevirir ve kayıtları sorgulamak ve listelemek için birleşik bir Varlink API sağlar.
Önerilen sistemin avantajları arasında / etc dizinini salt okunur kipte monte ederek kullanıcıları yönetme yeteneği, sistemler arasında tanımlayıcıları (UID / GID) senkronize etme ihtiyacının olmaması, kullanıcının belirli bir bilgisayardan bağımsızlığı, kilitleme yer alır. şifreleme ve modern kimlik doğrulama yöntemlerini kullanarak uyku modunda kullanıcı verileri.
Son olarak şunu belirtmek önemlidir: bu yeni bileşenin dahil edilmesi planlanmaktadır "Systemd-homed" systemd 244 veya 245'in ana sürümünde.
Bu bileşen hakkında daha fazla bilgi edinmek istiyorsanız, aşağıdaki pdf belgesine başvurabilirsiniz.
Ben bundan korkuyorum.
Hadi, bahsettiğiniz o flash sürücüyü depoladığı veri miktarıyla kaybederseniz veya çalarsanız, o zaman sinirlenmekten neredeyse vazgeçebilirsiniz.
Çeşitli nedenlerden dolayı bu fikir bana tamamen saçma geliyor. Alçakgönüllü görüşüme göre iyi giden şeyleri değiştirmek istemek gibi ne bir alışkanlığı var ve bu insanların geçmişini görmenin güvenliği artıracağından şüpheliyim.
Şans eseri şu anda Artix'teyim ve tüm bu saçmalık koleksiyonundan kurtuluyorum, ancak özgür sistem dağıtımlarının ne kadar süre direnebileceğini bilmiyorum.
Söylediklerinize katılıyorum, benim açımdan fikir iyi ama güvenlik kısmı eksik (bir çeşit şifreleme)
systemd berbat !!