ခရီးဆောင်အိမ်လမ်းညွှန်များကို စီမံခန့်ခွဲရန် systemd-homed ကို မိတ်ဆက်ခဲ့သည်။

Lennart Poettering မိတ်ဆက်ပေးခဲ့သည် (PDF ဖိုင်ရယူရန်) All Systems Go 2019 ကွန်ဖရင့်တွင်၊ စနစ်စီမံခန့်ခွဲမှုစနစ်၏ အစိတ်အပိုင်းအသစ် - systemd-homedအသုံးပြုသူအိမ်လမ်းညွှန်များကို သယ်ဆောင်ရလွယ်ကူစေပြီး စနစ်ဆက်တင်များမှ သီးခြားဖြစ်စေရန် ရည်ရွယ်သည်။ ပရောဂျက်၏ အဓိက အယူအဆမှာ ခွဲခြားသတ်မှတ်မှု ထပ်တူပြုခြင်း နှင့် လျှို့ဝှက်ရေးတို့ကို စိတ်ပူစရာမလိုဘဲ မတူညီသော စနစ်များကြား လွှဲပြောင်းနိုင်သည့် သုံးစွဲသူဒေတာအတွက် လုံလောက်သော ပတ်ဝန်းကျင်ကို ဖန်တီးရန်ဖြစ်သည်။

ပင်မလမ်းညွှန်ပတ်ဝန်းကျင်သည် ကုဒ်ဝှက်ထားသည့် ဒေတာကို တပ်ဆင်ထားသည့် ရုပ်ပုံဖိုင်ပုံစံဖြင့် လာပါသည်။ အသုံးပြုသူအထောက်အထားများကို စနစ်ဆက်တင်များထက် /etc/passwd နှင့် /etc/shadow အစား home directory နှင့် ချိတ်ဆက်ထားသည်။ ပရိုဖိုင်းကို JSON ဖော်မတ်ဖြင့် ~/.identity directory တွင် သိမ်းဆည်းထားသည်။ ပရိုဖိုင်တွင် အမည်၊ စကားဝှက် ဟက်ရှ်၊ ကုဒ်ဝှက်ခြင်းသော့များ၊ ခွဲတမ်းများနှင့် ခွဲဝေချထားပေးသည့် အရင်းအမြစ်များအကြောင်း အချက်အလက်များ အပါအဝင် သုံးစွဲသူ၏ အလုပ်အတွက် လိုအပ်သော ကန့်သတ်ချက်များ ပါရှိသည်။ ပရိုဖိုင်ကို ပြင်ပ Yubikey တိုကင်တွင် သိမ်းဆည်းထားသည့် ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့် အသိအမှတ်ပြုနိုင်သည်။

ကန့်သတ်ချက်များတွင် SSH သော့များ၊ ဇီဝမက်ထရစ်စစ်မှန်ကြောင်းအတည်ပြုခြင်းဒေတာ၊ ရုပ်ပုံ၊ အီးမေးလ်၊ လိပ်စာ၊ အချိန်ဇုန်၊ ဘာသာစကား၊ လုပ်ငန်းစဉ်နှင့် မှတ်ဉာဏ်ကန့်သတ်ချက်များ၊ ထပ်လောင်း mount အလံများ (nodev၊ noexec၊ nosuid)၊ အသုံးပြုသူ IMAP/SMTP ဆာဗာများအကြောင်း အချက်အလက်များ ပါဝင်နိုင်သည်။ မိဘအထိန်းအချုပ်များ၊ မိတ္တူရွေးချယ်မှုများ၊ စသည်ဖြင့် အချက်အလက်များ၊ ကန့်သတ်ဘောင်များကို တောင်းဆိုရန်နှင့် ခွဲခြမ်းစိတ်ဖြာရန် API တစ်ခုကို ပံ့ပိုးထားသည်။ Varlink.

UID/GID တာဝန်နှင့် လုပ်ဆောင်ခြင်းအား home directory ကို ချိတ်ဆက်ထားသည့် စက်တွင်းစနစ်တစ်ခုစီတွင် ဒိုင်းနမစ်ဖြင့် လုပ်ဆောင်ပါသည်။ အဆိုပြုထားသောစနစ်ကို အသုံးပြု၍ အသုံးပြုသူသည် ၎င်း၏ပင်မလမ်းညွှန်ကို ဥပမာအားဖြင့် Flash drive တွင် သိမ်းဆည်းနိုင်ပြီး ၎င်းတွင် အကောင့်တစ်ခုကို အတိအကျမဖန်တီးဘဲ မည်သည့်ကွန်ပျူတာတွင်မဆို လုပ်ဆောင်နိုင်သည် (ပင်မလမ်းညွှန်၏ပုံပါရှိသော ဖိုင်တစ်ခုရှိနေခြင်း၊ အသုံးပြုသူ၏ပေါင်းစပ်မှုကိုဖြစ်ပေါ်စေသည်) ။

ဒေတာစာဝှက်ခြင်းအတွက် LUKS2 စနစ်ခွဲကို အသုံးပြုရန် အဆိုပြုထားသော်လည်း systemd-homed သည် ဥပမာအားဖြင့်၊ ကုဒ်မထားသော လမ်းကြောင်းများ၊ Btrfs၊ Fscrypt နှင့် CIFS ကွန်ရက်အပိုင်းပိုင်းများအတွက် အခြားသော backend များကို အသုံးပြုခွင့်ပေးသည်။ သယ်ယူရနိုင်သော လမ်းညွှန်များကို စီမံခန့်ခွဲရန်၊ home directory များ၏ ပုံများကို ဖန်တီးပြီး အသက်သွင်းနိုင်သည့်အပြင် ၎င်းတို့၏ အရွယ်အစားကို ပြောင်းလဲကာ စကားဝှက်တစ်ခု သတ်မှတ်နိုင်စေမည့် homectl utility ကို အဆိုပြုထားသည်။

စနစ်အဆင့်တွင်၊ အလုပ်အား အောက်ပါ အစိတ်အပိုင်းများဖြင့် အာမခံသည်-

• systemd-homed.service - ပင်မလမ်းညွှန်ကိုစီမံခန့်ခွဲပြီး JSON မှတ်တမ်းများကို home directory ပုံများထဲသို့ တိုက်ရိုက်ထည့်သွင်းသည်။
• pam_systemd - အသုံးပြုသူသည် ဝင်ရောက်ပြီး အသက်ဝင်သော စက်ရှင်၏ ဆက်စပ်မှုတွင် ၎င်းတို့ကို အသုံးပြုသည့်အခါ (အထောက်အထားစိစစ်ခြင်း၊ လုပ်ဆောင်ခြင်း၊ ပတ်ဝန်းကျင် ကွဲလွဲချက်များကို စီစဉ်သတ်မှတ်ပေးခြင်း စသည်ဖြင့်) လုပ်ဆောင်သောအခါ၊
• systemd-logind.service - အသုံးပြုသူဝင်ရောက်သည့်အခါ JSON ပရိုဖိုင်မှ ဘောင်များကို စီမံဆောင်ရွက်ပေးသည်၊ အမျိုးမျိုးသော အရင်းအမြစ်စီမံခန့်ခွဲမှုဆက်တင်များကို အသုံးပြုကာ ကန့်သတ်ချက်များကို သတ်မှတ်ပေးသည်။
• nss-systemd - glibc အတွက် NSS မော်ဂျူးသည် JSON ပရိုဖိုင်ကို အခြေခံ၍ ဂန္ထဝင် NSS မှတ်တမ်းများကို ပေါင်းစပ်ကာ UNIX အသုံးပြုသူ လုပ်ဆောင်ခြင်း API (/etc/password) နှင့် နောက်ပြန်လိုက်ဖက်မှုကို ပေးစွမ်းသည်။
• PID 1 - အသုံးပြုသူများအား ဒိုင်းနမစ်ဖြင့် ဖန်တီးသည် (DynamicUser ညွှန်ကြားချက်ကို ယူနစ်များအတွင်း အသုံးပြုခြင်း) နှင့် သရုပ်ဖော်ခြင်းဖြင့် ၎င်းတို့ကို စနစ်၏ ကျန်ရှိသော မြင်နိုင်စေပါသည်။
• systemd-userdbd.service - UNIX/glibc NSS အကောင့်များကို JSON မှတ်တမ်းများအဖြစ် ဘာသာပြန်ပြီး မှတ်တမ်းများကို မေးမြန်းခြင်းနှင့် ထပ်ကာထပ်ကာ ပြုလုပ်ရန်အတွက် ပေါင်းစည်းထားသော Varlink API ကို ပေးပါသည်။

အဆိုပြုထားသောစနစ်၏ အားသာချက်များမှာ ဖတ်သာမုဒ်တွင် /etc လမ်းညွှန်ကို တပ်ဆင်သည့်အခါ သုံးစွဲသူများကို စီမံခန့်ခွဲနိုင်စွမ်း၊ စနစ်များကြားတွင် ခွဲခြားသတ်မှတ်မှုများ (UID/GID) များကို တစ်ပြိုင်တည်းလုပ်ဆောင်ရန် လိုအပ်ခြင်း၊ တိကျသောကွန်ပျူတာမှ အသုံးပြုသူလွတ်လပ်မှု၊ သုံးစွဲသူဒေတာများကို ပိတ်ဆို့ခြင်း အိပ်စက်ခြင်းမုဒ်အတွင်း၊ ကုဒ်ဝှက်ခြင်းနှင့် ခေတ်မီအထောက်အထားစိစစ်ခြင်းနည်းလမ်းများကို အသုံးပြုခြင်း။ Systemd-homed ကို ဖြန့်ချိမှု 244 သို့မဟုတ် 245 တွင် systemd mainstream တွင် ထည့်သွင်းရန် စီစဉ်ထားသည်။

ဥပမာ JSON အသုံးပြုသူ ပရိုဖိုင်-

"autoLogin": မှန်သည်၊
"ချည်နှောင်ခြင်း" : {
«15e19cd24e004b949ddaac60c74aa165» : {
"fileSystemType" : "ext4"
«fileSystemUUID» : «758e88c8-5851-4a2a-b98f-e7474279c111»,
"gid": 60232၊
"homeDirectory" : "/home/test",
"imagePath" : "/home/test.home",
"luksCipher" : "aes",
"luksCipherMode" : "xts-plain64",
«luksUUID» : «e63581ba-79fa-4226-b9de-1888393f7573»,
"luksVolumeKeySize" : ၃၂၊
«partitionUUID» : «41f9ce04-c927-4b74-a981-c669f93eb4dc»,
"storage" : "luks",
"uid": 60233
}
},
"သဘောထား" : "ပုံမှန်",
"enforcePasswordPolicy" : မှားယွင်းသော၊
"lastChangeUSec" : 1565951024279735၊
"အဖွဲ့ဝင်" : [
"ဘီး"
],
"အခွင့်ထူးခံ" : {
"hashedPassword": [
«$6$WHBKvAFFT9jKPA4k$OPY4D5…/»
] }၊
"လက်မှတ်": [
{
"ဒေတာ" : "LU/HeVrPZSzi3M3J...=="၊
"သော့" : "——BEGIN အများသူငှာသော့—\nMCowBQADK2VwAy…=\n——END အများသူငှာသော့—\n"
}
],
"userName" : "စမ်းသပ်မှု",
"အခြေအနေ" : {
«15e19cf24e004b949dfaac60c74aa165» : {
"goodAuthenticationCounter": ၁၆၊
"lastGoodAuthenticationUSec" : 1566309343044322၊
"rateLimitBeginUSec" : 1566309342341723၊
"rateLimitCount": 1၊
"state" : "မလှုပ်မရှား",
"ဝန်ဆောင်မှု" : "io.systemd.Home",
"diskSize" : 161218667776၊
"diskCeiling": 191371729408၊
"diskFloor": 5242780၊
"signedLocally" : အမှန်
}
}

source: opennet.ru