휴대용 홈 디렉토리를 관리하기 위해 systemd-homed 도입

레나트 포터링 도입 된 (PDF) All Systems Go 2019 컨퍼런스에서 시스템 관리자 systemd의 새로운 구성 요소 - 시스템 홈, 사용자 홈 디렉토리를 이식 ​​가능하고 시스템 설정과 분리하는 것을 목표로 합니다. 이 프로젝트의 주요 아이디어는 식별자 동기화 및 기밀성에 대한 걱정 없이 서로 다른 시스템 간에 전송될 수 있는 사용자 데이터를 위한 자급자족 환경을 만드는 것입니다.

홈 디렉토리 환경은 데이터가 암호화된 마운트된 이미지 파일 형태로 제공됩니다. 사용자 자격 증명은 /etc/passwd 및 /etc/shadow 대신 시스템 설정이 아닌 홈 디렉터리에 연결됩니다. 프로필 JSON 형식으로 ~/.identity 디렉터리에 저장됩니다. 프로필에는 이름, 비밀번호 해시, 암호화 키, 할당량, 할당된 리소스에 대한 정보를 포함하여 사용자 작업에 필요한 매개변수가 포함되어 있습니다. 프로필은 외부 Yubikey 토큰에 저장된 디지털 서명으로 인증될 수 있습니다.

매개변수에는 SSH 키, 생체 인식 인증 데이터, 이미지, 이메일, 주소, 시간대, 언어, 프로세스 및 메모리 제한, 추가 마운트 플래그(nodev, noexec, nosuid), 사용된 사용자 IMAP/SMTP 서버에 대한 정보와 같은 추가 정보가 포함될 수도 있습니다. , 자녀 보호 기능 활성화, 백업 옵션 등에 대한 정보 매개변수를 요청하고 구문 분석하기 위한 API가 제공됩니다. 바르링크.

UID/GID 할당 및 처리는 홈 디렉터리가 연결된 각 로컬 시스템에서 동적으로 수행됩니다. 제안된 시스템을 사용하면 사용자는 자신의 홈 디렉터리(예: 플래시 드라이브)를 유지하고 명시적으로 계정을 만들지 않고도 모든 컴퓨터에서 작업 환경을 얻을 수 있습니다(홈 디렉터리 이미지가 있는 파일이 있음). 사용자의 합성으로 이어집니다).

데이터 암호화를 위해 LUKS2 하위 시스템을 사용하는 것이 제안되었지만 systemd-homed를 사용하면 암호화되지 않은 디렉터리, Btrfs, Fscrypt 및 CIFS 네트워크 파티션과 같은 다른 백엔드를 사용할 수도 있습니다. 휴대용 디렉토리를 관리하기 위해 홈 디렉토리의 이미지를 생성 및 활성화하고 크기를 변경하고 비밀번호를 설정할 수 있는 homectl 유틸리티가 제안되었습니다.

시스템 수준에서는 다음 구성 요소를 통해 작업이 보장됩니다.

• systemd-homed.service - 홈 디렉터리를 관리하고 JSON 레코드를 홈 디렉터리 이미지에 직접 포함합니다.
• pam_systemd - 사용자가 로그인할 때 JSON 프로필의 매개변수를 처리하고 활성화된 세션의 컨텍스트에서 이를 적용합니다(인증 수행, 환경 변수 구성 등).
• systemd-logind.service - 사용자가 로그인할 때 JSON 프로필의 매개변수를 처리하고 다양한 리소스 관리 설정을 적용하고 제한을 설정합니다.
• nss-systemd - glibc용 NSS 모듈은 JSON 프로필을 기반으로 클래식 NSS 레코드를 합성하여 UNIX 사용자 처리 API(/etc/password)와의 하위 호환성을 제공합니다.
• PID 1 - 동적으로 사용자를 생성하고(단위로 DynamicUser 지시문을 사용하여 유추하여 합성) 나머지 시스템에 표시됩니다.
• systemd-userdbd.service - UNIX/glibc NSS 계정을 JSON 레코드로 변환하고 레코드 쿼리 및 반복을 위한 통합 Varlink API를 제공합니다.

제안한 시스템의 장점은 /etc 디렉터리를 읽기 전용 모드로 마운트할 때 사용자를 관리할 수 있다는 점, 시스템 간 식별자(UID/GID)를 동기화할 필요가 없다는 점, 특정 컴퓨터로부터 사용자 독립성, 사용자 데이터 차단 등이 있다. 절전 모드에서는 암호화 및 최신 인증 방법을 사용합니다. Systemd-homed는 릴리스 244 또는 245의 systemd 주류에 포함될 예정입니다.

JSON 사용자 프로필 예:

"autoLogin": 사실,
"바인딩": {
«15e19cd24e004b949ddaac60c74aa165» : {
"fileSystemType": "ext4"
«fileSystemUUID» : «758e88c8-5851-4a2a-b98f-e7474279c111»,
"gid": 60232,
"홈디렉토리": "/홈/테스트",
"imagePath": "/home/test.home",
"luksCipher": "aes",
"luksCipherMode": "xts-plain64",
«luksUUID» : «e63581ba-79fa-4226-b9de-1888393f7573»,
"luksVolumeKeySize" : 32,
«partitionUUID» : «41f9ce04-c927-4b74-a981-c669f93eb4dc»,
"storage": "루크",
"uid" : 60233
}
},
"disposition": "일반",
"enforcePasswordPolicy": 거짓,
"lastChangeUSec": 1565951024279735,
"의 멤버이다" : [
"바퀴"
],
"특권": {
"해시된 비밀번호": [
«$6$WHBKvAFFT9jKPA4k$OPY4D5…/»
] },
"서명" : [
{
"데이터": "LU/HeVrPZSzi3M3J...==",
"key": "——공개 키 시작——\nMCowBQADK2VwAy…=\n——공개 키 끝——\n"
}
],
"사용자 이름": "테스트",
"상태" : {
«15e19cf24e004b949dfaac60c74aa165» : {
"goodAuthenticationCounter": 16,
"lastGoodAuthenticationUSec": 1566309343044322,
"rateLimitBeginUSec": 1566309342341723,
"rateLimitCount" : 1,
"상태": "비활성",
"서비스": "io.systemd.Home",
"디스크 크기": 161218667776,
"디스크천장": 191371729408,
"디스크층": 5242780,
"signedLocally": 사실
}
}

출처 : opennet.ru