2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
當(dāng)systemd在2010年發(fā)布時,圍繞著在Linux中啟動服務(wù)的方式的變化,出現(xiàn)了一場尖酸刻薄的風(fēng)暴。新機制被吹捧為過于臃腫和過于復(fù)雜而無用。從那以后,所有的企業(yè)Linux發(fā)行版都采用了systemd,大多數(shù)桌面發(fā)行版也都采用了systemd。
對于那些不熟悉systemd的人來說,它可以初始化Linux平臺上的所有系統(tǒng)。任何在數(shù)據(jù)中心中管理Linux的人都應(yīng)該非常熟悉這個系統(tǒng)。通過為設(shè)備管理、用戶登錄、網(wǎng)絡(luò)連接和事件日志記錄提供所有必要的控制和守護進程,systemd簡化了資源初始化和管理——所有這些都從一個入口點開始(systemctl)。在systemd之前,每個系統(tǒng)和資源都是由自己的工具管理的,這是笨拙和低效的?,F(xiàn)在?在Linux上控制和管理系統(tǒng)非常簡單。
但是創(chuàng)作者之一Leannart Poettering一直認為systemd是不完整的。隨著systemd 245即將發(fā)布,Poettering將使他的系統(tǒng)更接近完成。這一步是回家的路。
在深入研究homed之前,我們先看一下/home目錄。這是Linux文件系統(tǒng)層次結(jié)構(gòu)中的一個關(guān)鍵目錄,因為它包含所有用戶數(shù)據(jù)和配置。對于某些管理員來說,這個目錄非常重要,它通常被放在一個獨立的分區(qū)或驅(qū)動器上,而不是操作系統(tǒng)上。這樣做,即使操作系統(tǒng)崩潰,用戶數(shù)據(jù)也是安全的。
但是,在操作系統(tǒng)中處理/home的方式使遷移/home目錄變得不那么容易。為什么?在systemd的當(dāng)前迭代中,用戶信息(如ID、全名、主目錄和shell)存儲在/etc/passwd中,與該用戶關(guān)聯(lián)的密碼存儲在/etc/ shadow中。任何人都可以查看/etc/passwd文件,而/etc/shadow只能由具有admin或sudo特權(quán)的人查看。
/etc/passwd和/etc/shadow文件的工作原理很簡單:
在登錄過程中,系統(tǒng)根據(jù)/etc/ shadow.com驗證登錄嘗試。
如果登錄成功,系統(tǒng)將讀取/etc/passwd條目,以便用戶定位用戶的主目錄。
因此,對于簡單的登錄操作,需要三種機制(systemd、/etc/shadow、/etc/passwd)。這是低效的,詩人決定做一個巨大的改變。這一變化是必然的。使用homed,所有信息都將放在每個用戶的加密簽名JSON記錄中。該記錄將包含所有用戶信息,如用戶名、組成員和密碼散列。
每個用戶主目錄將作為luks加密的容器鏈接,加密直接耦合到用戶登錄。一旦systemd-homed檢測到用戶已經(jīng)登錄,相關(guān)的主目錄就會被解密。一旦用戶注銷,主目錄就會自動加密。
除了大大改進的安全性之外,systemd-homed還將最終啟用一個真正可移植的主目錄。因為/home目錄將不再依賴于systemd、/etc/passwd和/etc/shadow的三元組,用戶和管理員將能夠輕松地遷移/home中的目錄。假設(shè)能夠?qū)⒛?home/USER(其中USER是您的用戶名)目錄移動到便攜式閃存驅(qū)動器上,并在任何使用systemd-homed的系統(tǒng)上使用它。您可以輕松地在home和work之間或公司內(nèi)部的系統(tǒng)之間傳輸/home/USER目錄。
這不僅適用于用戶文件,還適用于個人設(shè)置、首選項甚至身份驗證信息。
這是通過使用JSON用戶記錄來確認用戶身份實現(xiàn)的。具體如何工作取決于用于存儲/訪問用戶主目錄的機制。這樣的機制包括:
Btrfs
fscrypt
CIFS
盧克斯
據(jù)Poettering說,LUKS是最先進和最安全的系統(tǒng)。使用LUKS,加密的卷存儲在可移動設(shè)備或環(huán)回文件中。LUKS卷包含一個以用戶命名的目錄,該目錄將成為用戶的主目錄,并包含存儲在LUKS頭中的用戶記錄的副本。當(dāng)用戶成功進行身份驗證時,systemd-homed解鎖LUKS卷,并將存儲在LUKS頭中的記錄與存儲在./identity文件夾中的記錄進行比較。如果記錄和加密密鑰匹配,就會掛載該目錄并允許用戶訪問。
與當(dāng)前創(chuàng)建用戶的過程(使用useradd或adduser命令)不同,systemd-homed將依賴于它自己的創(chuàng)建用戶的過程。幸運的是,這個過程并不會非常復(fù)雜。
事實上,就像許多與systemd相關(guān)的子系統(tǒng)一樣,systemd-homed也有自己的控制命令:
因此,要創(chuàng)建一個新用戶,命令應(yīng)該如下所示:
用戶名是用戶名,實名是用戶的名和姓。
使用homectl命令,您還可以:
激活一個或多個主目錄
更改特定主目錄/用戶帳戶上的密碼
調(diào)整分配給主目錄的磁盤空間量
臨時鎖定一個主目錄
列出所有主目錄
當(dāng)然,如此重大的變化也有值得注意的地方。在system -homed的情況下,這個警告是通過SSH提供的。如果在用戶成功登錄之前對系統(tǒng)主目錄進行了加密,那么用戶如何能夠使用SSH登錄到遠程計算機?最大的問題是. SSH目錄(其中SSH存儲known_hosts和authorized_keys)在用戶的主目錄被加密時是不可訪問的。詩人當(dāng)然知道這個缺點。到目前為止,使用systemd-homed完成的所有工作都是使用標準的身份驗證過程??梢钥隙ǎ琍oettering會提出一個考慮SSH的解決方案。
如果Poettering不能為SSH難題開發(fā)一個解決方案,那么system -homed將被降級到桌面和筆記本發(fā)行版,而服務(wù)器則被排除在外。我無法想象它能和systemd團隊一起飛行。
目前,systemd 245仍然處于RC2狀態(tài)。您可以從systemd GitHub頁面下載源代碼,但是要知道,安裝過程可能比您想象的要復(fù)雜得多。不過,好消息是systemd 245應(yīng)該在今年(2020年)的某個時候發(fā)布。當(dāng)發(fā)生這種情況時,請準備更改管理用戶及其主目錄的方式。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。