Представлен systemd-homed для управления переносимыми домашними каталогами
Основная идея проекта в создании самодостаточных окружений для данных пользователя, которые можно переносить между разными системами, не заботясь о синхронизации идентификаторов и конфиденциальности. Леннарт Поттеринг (Lennart Poettering) представил (PDF) на конференции All Systems Go 2019 новый компонент системного менеджера systemd — systemd-homed, нацеленный на обеспечение переносимости домашних каталогов пользователей и их отделения от системных настроек.
Параметры учётных данных пользователя привязаны к домашнему каталогу, а не к системным настройкам — вместо /etc/passwd и /etc/shadow используется профиль в формате JSON, хранимый в каталоге ~/.identity. Окружение домашнего каталога поставляется в форме монтируемого файла-образа, данные в котором зашифрованы. Профиль может быть заверен цифровой подписью, хранимой на внешнем токене Yubikey. В профиле указаны параметры, необходимые для работы пользователя, включая данные об имени, хэше пароля, ключах для шифрования, квотах и предоставляемых ресурсах.
Для запроса и разбора параметров предоставляется API Varlink. Параметры также могут включать дополнительные сведения, такие как ключи для SSH, данные для биометрической аутентификации, изображение, email, адрес, часовой пояс, язык, лимиты на число процессов и память, дополнительные флаги монтирования (nodev, noexec, nosuid), данные о применяемых пользователем серверах IMAP/SMTP, информация о включении родительского контроля, параметры резервного копирования и т.п.
При помощи предложенной системы пользователь может держать свой домашний каталог при себе, например на Flash-накопителе, и получать рабочее окружение на любом компьютере без явного заведения на нём учётной записи (наличие файла с образом домашнего каталога приводит к синтезу пользователя). Назначение и обработка UID/GID производится динамически в каждой локальной системе, к которой подключается домашний каталог.
Для управления переносимыми каталогами предложена утилита homectl, которая позволяет создавать и активировать образы домашних каталогов, а также изменять их размер и задавать пароль. Для шифрования данных предлагается использовать подсистему LUKS2, но systemd-homed также позволяет использовать и другие бэкенды, например, для незашифрованных каталогов, Btrfs, Fscrypt и сетевых разделов CIFS.
Systemd-homed планируется включить в основной состав systemd в выпуске 244 или 245. Из достоинств предложенной системы отмечается возможность управления пользователями при монтировании каталога /etc в режиме только для чтения, отсутствие необходимости синхронизации идентификаторов (UID/GID) между системами, независимость пользователя от конкретного компьютера, блокировка данных пользователя во время перехода в спящий режим, применение шифрования и современных методов аутентификации.
Основная идея проекта в создании самодостаточных окружений для данных пользователя, которые можно переносить между разными системами, не заботясь о синхронизации идентификаторов и конфиденциальности. Леннарт Поттеринг (Lennart Poettering) представил (PDF) на конференции All Systems Go 2019 новый компонент системного менеджера systemd — systemd-homed, нацеленный на обеспечение переносимости домашних каталогов пользователей и их отделения от системных настроек.
Параметры учётных данных пользователя привязаны к домашнему каталогу, а не к системным настройкам — вместо /etc/passwd и /etc/shadow используется профиль в формате JSON, хранимый в каталоге ~/.identity. Окружение домашнего каталога поставляется в форме монтируемого файла-образа, данные в котором зашифрованы. Профиль может быть заверен цифровой подписью, хранимой на внешнем токене Yubikey. В профиле указаны параметры, необходимые для работы пользователя, включая данные об имени, хэше пароля, ключах для шифрования, квотах и предоставляемых ресурсах.
Для запроса и разбора параметров предоставляется API Varlink. Параметры также могут включать дополнительные сведения, такие как ключи для SSH, данные для биометрической аутентификации, изображение, email, адрес, часовой пояс, язык, лимиты на число процессов и память, дополнительные флаги монтирования (nodev, noexec, nosuid), данные о применяемых пользователем серверах IMAP/SMTP, информация о включении родительского контроля, параметры резервного копирования и т.п.
При помощи предложенной системы пользователь может держать свой домашний каталог при себе, например на Flash-накопителе, и получать рабочее окружение на любом компьютере без явного заведения на нём учётной записи (наличие файла с образом домашнего каталога приводит к синтезу пользователя). Назначение и обработка UID/GID производится динамически в каждой локальной системе, к которой подключается домашний каталог.
Для управления переносимыми каталогами предложена утилита homectl, которая позволяет создавать и активировать образы домашних каталогов, а также изменять их размер и задавать пароль. Для шифрования данных предлагается использовать подсистему LUKS2, но systemd-homed также позволяет использовать и другие бэкенды, например, для незашифрованных каталогов, Btrfs, Fscrypt и сетевых разделов CIFS.
Systemd-homed планируется включить в основной состав systemd в выпуске 244 или 245. Из достоинств предложенной системы отмечается возможность управления пользователями при монтировании каталога /etc в режиме только для чтения, отсутствие необходимости синхронизации идентификаторов (UID/GID) между системами, независимость пользователя от конкретного компьютера, блокировка данных пользователя во время перехода в спящий режим, применение шифрования и современных методов аутентификации.
Дата публикации: 21-09-2019
Ещё новости
27.08.2022 Проект Debian начал общее голосование по вопросу поставки проприетарных прошивок
До 2 сентября продлится фаза обсуждения выставленных на голосование пунктов, после чего начнётся сбор голосов. Проект Debian объявил о проведении общего голосования (GR, general resolution) разработчиков...
27.08.2022 Nintendo тоже обещает не поднимать цены на консоли Switch
Несмотря на то, что финальную цену определяют сами магазины, у Nintendo нет планов повышать цены на своё оборудование», — отметили в компании. »Хоть мы и не можем комментировать стратегию образования цен,...
27.08.2022 В России нашли место с самыми дешевыми «параллельными» iPhone
Практически во всех точках «Горбушки», специализирующийся на технике, есть все актуальные модели iPhone в разных цветах и версиях памяти. По данным Forbes, дефицита смартфонов Apple у частников не обнаружено....
27.08.2022 Первоначально сиквел A Plague Tale Innocence не планировался
В такую ситуацию, например, попала A Plague Tale Requiem — сиквел A Plague Tale Innocence про приключения преследуемых инквизицией брата и сестры Гуго и Амиции. Игровая индустрия не всегда предстаёт перед...
27.08.2022 Как очистить электрический чайник от накипи
Все новости