បានណែនាំ systemd-homed ដើម្បីគ្រប់គ្រងថតផ្ទះចល័ត

Lennart Poettering ណែនាំ (ជា PDF) នៅក្នុងសន្និសិទ All Systems Go 2019 ដែលជាធាតុផ្សំថ្មីនៃកម្មវិធីគ្រប់គ្រងប្រព័ន្ធដែលរៀបចំឡើង - systemd-homedគោលបំណងធ្វើឱ្យថតផ្ទះអ្នកប្រើប្រាស់អាចចល័តបាន និងដាច់ដោយឡែកពីការកំណត់ប្រព័ន្ធ។ គំនិតចម្បងនៃគម្រោងគឺដើម្បីបង្កើតបរិយាកាសគ្រប់គ្រាន់ដោយខ្លួនឯងសម្រាប់ទិន្នន័យអ្នកប្រើប្រាស់ដែលអាចត្រូវបានផ្ទេររវាងប្រព័ន្ធផ្សេងៗគ្នាដោយមិនបារម្ភអំពីការធ្វើសមកាលកម្មអត្តសញ្ញាណ និងការរក្សាការសម្ងាត់។

បរិយាកាសថតផ្ទះមានទម្រង់ជាឯកសាររូបភាពដែលបានម៉ោន ទិន្នន័យដែលត្រូវបានអ៊ិនគ្រីប។ លិខិតសម្គាល់អ្នកប្រើប្រាស់ត្រូវបានចងភ្ជាប់ទៅនឹងថតផ្ទះជាជាងការកំណត់ប្រព័ន្ធ - ជំនួសឱ្យ /etc/passwd និង /etc/shadow ប្រវត្តិរូប ក្នុងទម្រង់ JSON រក្សាទុកក្នុងថត ~/.identity ។ កម្រងព័ត៌មានមានប៉ារ៉ាម៉ែត្រចាំបាច់សម្រាប់ការងាររបស់អ្នកប្រើ រួមទាំងព័ត៌មានអំពីឈ្មោះ សញ្ញាសម្ងាត់ សោអ៊ិនគ្រីប កូតា និងធនធានដែលបានបែងចែក។ ទម្រង់អាចត្រូវបានបញ្ជាក់ដោយហត្ថលេខាឌីជីថលដែលរក្សាទុកនៅលើនិមិត្តសញ្ញា Yubikey ខាងក្រៅ។

ប៉ារ៉ាម៉ែត្រក៏អាចរួមបញ្ចូលព័ត៌មានបន្ថែមដូចជាគ្រាប់ចុច SSH ទិន្នន័យផ្ទៀងផ្ទាត់ជីវមាត្រ រូបភាព អ៊ីមែល អាសយដ្ឋាន តំបន់ពេលវេលា ភាសា ដំណើរការ និងដែនកំណត់អង្គចងចាំ ទង់ម៉ោនបន្ថែម (nodev, noexec, nosuid) ព័ត៌មានអំពីម៉ាស៊ីនមេ IMAP/SMTP អ្នកប្រើប្រាស់ដែលបានប្រើ។ ព័ត៌មានអំពីការបើកការគ្រប់គ្រងដោយមាតាបិតា ជម្រើសបម្រុងទុក។ល។ API ត្រូវបានផ្តល់ជូនដើម្បីស្នើសុំ និងញែកប៉ារ៉ាម៉ែត្រ វ៉ាលីង.

ការចាត់តាំង និងដំណើរការ UID/GID ត្រូវបានធ្វើដោយថាមវន្តនៅលើប្រព័ន្ធមូលដ្ឋាននីមួយៗដែលថតផ្ទះត្រូវបានភ្ជាប់។ ដោយប្រើប្រព័ន្ធដែលបានស្នើឡើង អ្នកប្រើប្រាស់អាចរក្សាថតផ្ទះរបស់គាត់ជាមួយគាត់ ឧទាហរណ៍នៅលើ Flash drive និងទទួលបានបរិយាកាសការងារនៅលើកុំព្យូទ័រណាមួយដោយមិនចាំបាច់បង្កើតគណនីនៅលើវាច្បាស់លាស់ (វត្តមាននៃឯកសារដែលមានរូបភាពនៃថតផ្ទះ។ នាំឱ្យមានការសំយោគអ្នកប្រើប្រាស់) ។

វាត្រូវបានស្នើឱ្យប្រើប្រព័ន្ធរង LUKS2 សម្រាប់ការអ៊ិនគ្រីបទិន្នន័យ ប៉ុន្តែ systemd-homed ក៏អនុញ្ញាតឱ្យប្រើ backends ផ្សេងទៀតផងដែរ ឧទាហរណ៍ សម្រាប់ថតដែលមិនបានអ៊ិនគ្រីប Btrfs Fscrypt និង CIFS network partitions ។ ដើម្បីគ្រប់គ្រងថតឯកសារចល័ត ឧបករណ៍ប្រើប្រាស់ homectl ត្រូវបានស្នើឡើង ដែលអនុញ្ញាតឱ្យអ្នកបង្កើត និងធ្វើឱ្យរូបភាពនៃថតផ្ទះ ក៏ដូចជាផ្លាស់ប្តូរទំហំរបស់វា និងកំណត់ពាក្យសម្ងាត់។

នៅកម្រិតប្រព័ន្ធ ការងារត្រូវបានធានាដោយសមាសធាតុដូចខាងក្រោមៈ

• systemd-homed.service - គ្រប់គ្រងថតផ្ទះ និងបង្កប់កំណត់ត្រា JSON ដោយផ្ទាល់ទៅក្នុងរូបភាពថតផ្ទះ។
• pam_systemd - ដំណើរការប៉ារ៉ាម៉ែត្រពីទម្រង់ JSON នៅពេលដែលអ្នកប្រើប្រាស់ចូល និងអនុវត្តពួកវាក្នុងបរិបទនៃវគ្គដែលបានធ្វើឱ្យសកម្ម (អនុវត្តការផ្ទៀងផ្ទាត់ កំណត់រចនាសម្ព័ន្ធអថេរបរិស្ថាន។ល។);
• systemd-logind.service - ដំណើរការប៉ារ៉ាម៉ែត្រពីទម្រង់ JSON នៅពេលអ្នកប្រើប្រាស់ចូល អនុវត្តការកំណត់ការគ្រប់គ្រងធនធានផ្សេងៗ និងកំណត់ដែនកំណត់។
• nss-systemd - ម៉ូឌុល NSS សម្រាប់ glibc សំយោគកំណត់ត្រា NSS បុរាណដោយផ្អែកលើទម្រង់ JSON ដោយផ្តល់នូវភាពឆបគ្នាថយក្រោយជាមួយ UNIX user processing API (/etc/password);
• PID 1 - បង្កើតអ្នកប្រើប្រាស់ដោយថាមវន្ត (សំយោគដោយការប្ៀបប្ដូចជាមួយនឹងការប្រើប្រាស់ការណែនាំថាមវន្តអ្នកប្រើប្រាស់ជាឯកតា) និងធ្វើឱ្យពួកវាអាចមើលឃើញដល់ប្រព័ន្ធដែលនៅសល់។
• systemd-userdbd.service - បកប្រែគណនី UNIX/glibc NSS ទៅក្នុងកំណត់ត្រា JSON និងផ្តល់នូវ Varlink API បង្រួបបង្រួមសម្រាប់ការសួរ និងធ្វើម្តងទៀតលើកំណត់ត្រា។

គុណសម្បត្តិនៃប្រព័ន្ធដែលបានស្នើឡើងរួមមានសមត្ថភាពក្នុងការគ្រប់គ្រងអ្នកប្រើប្រាស់នៅពេលដំឡើងថត /etc នៅក្នុងរបៀបបានតែអាន អវត្តមាននៃតម្រូវការដើម្បីធ្វើសមកាលកម្មឧបករណ៍កំណត់អត្តសញ្ញាណ (UID/GID) រវាងប្រព័ន្ធ ភាពឯករាជ្យរបស់អ្នកប្រើពីកុំព្យូទ័រជាក់លាក់ ការទប់ស្កាត់ទិន្នន័យអ្នកប្រើប្រាស់។ កំឡុងពេលគេង ការប្រើប្រាស់ការអ៊ិនគ្រីប និងវិធីសាស្ត្រផ្ទៀងផ្ទាត់ទំនើប។ Systemd-homed ត្រូវ​បាន​គេ​គ្រោង​នឹង​បញ្ចូល​ក្នុង​ប្រព័ន្ធ​មេ​ក្នុង​ការ​ចេញ​ផ្សាយ 244 ឬ 245។

ឧទាហរណ៍ប្រវត្តិរូបអ្នកប្រើប្រាស់ JSON៖

"autoLogin": ពិត,
"ចង": {
«15e19cd24e004b949ddaac60c74aa165» : {
"fileSystemType" : "ext4"
«fileSystemUUID» : «758e88c8-5851-4a2a-b98f-e7474279c111»,
"gid": 60232,
"homeDirectory" : "/home/test",
"imagePath" : "/home/test.home",
"luksCipher" : "aes",
"luksCipherMode" : "xts-plain64",
«luksUUID» : «e63581ba-79fa-4226-b9de-1888393f7573»,
"luksVolumeKeySize" : 32,
«partitionUUID» : «41f9ce04-c927-4b74-a981-c669f93eb4dc»,
"ផ្ទុក" : "លូ",
"uid": 60233
}
},
"ការតាំងចិត្ត": "ទៀងទាត់",
"enforcePasswordPolicy": មិនពិត,
"lastChangeUSec": 1565951024279735,
"សមាជិក" : [
"កង់"
],
"ឯកសិទ្ធិ": {
"hashedPassword" : [
«$6$WHBKvAFFT9jKPA4k$OPY4D5…/»
] },
"ហត្ថលេខា": [
{
"ទិន្នន័យ" : "LU/HeVrPZSzi3M3J...==",
"key" : "——BEGIN សោសាធារណៈ —\nMCowBQADK2VwAy…=\n——END សោសាធារណៈ —\n"
}
],
"userName": "សាកល្បង",
"ស្ថានភាព"៖ {
«15e19cf24e004b949dfaac60c74aa165» : {
"goodAuthenticationCounter": 16,
"lastGoodAuthenticationUSec" : 1566309343044322,
"rateLimitBeginUSec" : 1566309342341723,
"rateLimitCount": 1,
"រដ្ឋ": "អសកម្ម",
"សេវាកម្ម" : "io.systemd.Home",
"ទំហំថាស": 161218667776,
"diskCeiling": 191371729408,
"diskFloor": 5242780,
"signedLocally": ពិត
}
}

ប្រភព: opennet.ru