2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
當(dāng)systemd在2010年發(fā)布時(shí),圍繞著在Linux中啟動(dòng)服務(wù)的方式的變化,出現(xiàn)了一場(chǎng)尖酸刻薄的風(fēng)暴。新機(jī)制被吹捧為過(guò)于臃腫和過(guò)于復(fù)雜而無(wú)用。從那以后,所有的企業(yè)Linux發(fā)行版都采用了systemd,大多數(shù)桌面發(fā)行版也都采用了systemd。
對(duì)于那些不熟悉systemd的人來(lái)說(shuō),它可以初始化Linux平臺(tái)上的所有系統(tǒng)。任何在數(shù)據(jù)中心中管理Linux的人都應(yīng)該非常熟悉這個(gè)系統(tǒng)。通過(guò)為設(shè)備管理、用戶登錄、網(wǎng)絡(luò)連接和事件日志記錄提供所有必要的控制和守護(hù)進(jìn)程,systemd簡(jiǎn)化了資源初始化和管理——所有這些都從一個(gè)入口點(diǎn)開始(systemctl)。在systemd之前,每個(gè)系統(tǒng)和資源都是由自己的工具管理的,這是笨拙和低效的?,F(xiàn)在?在Linux上控制和管理系統(tǒng)非常簡(jiǎn)單。
但是創(chuàng)作者之一Leannart Poettering一直認(rèn)為systemd是不完整的。隨著systemd 245即將發(fā)布,Poettering將使他的系統(tǒng)更接近完成。這一步是回家的路。
在深入研究homed之前,我們先看一下/home目錄。這是Linux文件系統(tǒng)層次結(jié)構(gòu)中的一個(gè)關(guān)鍵目錄,因?yàn)樗杏脩魯?shù)據(jù)和配置。對(duì)于某些管理員來(lái)說(shuō),這個(gè)目錄非常重要,它通常被放在一個(gè)獨(dú)立的分區(qū)或驅(qū)動(dòng)器上,而不是操作系統(tǒng)上。這樣做,即使操作系統(tǒng)崩潰,用戶數(shù)據(jù)也是安全的。
但是,在操作系統(tǒng)中處理/home的方式使遷移/home目錄變得不那么容易。為什么?在systemd的當(dāng)前迭代中,用戶信息(如ID、全名、主目錄和shell)存儲(chǔ)在/etc/passwd中,與該用戶關(guān)聯(lián)的密碼存儲(chǔ)在/etc/ shadow中。任何人都可以查看/etc/passwd文件,而/etc/shadow只能由具有admin或sudo特權(quán)的人查看。
/etc/passwd和/etc/shadow文件的工作原理很簡(jiǎn)單:
在登錄過(guò)程中,系統(tǒng)根據(jù)/etc/ shadow.com驗(yàn)證登錄嘗試。
如果登錄成功,系統(tǒng)將讀取/etc/passwd條目,以便用戶定位用戶的主目錄。
因此,對(duì)于簡(jiǎn)單的登錄操作,需要三種機(jī)制(systemd、/etc/shadow、/etc/passwd)。這是低效的,詩(shī)人決定做一個(gè)巨大的改變。這一變化是必然的。使用homed,所有信息都將放在每個(gè)用戶的加密簽名JSON記錄中。該記錄將包含所有用戶信息,如用戶名、組成員和密碼散列。
每個(gè)用戶主目錄將作為luks加密的容器鏈接,加密直接耦合到用戶登錄。一旦systemd-homed檢測(cè)到用戶已經(jīng)登錄,相關(guān)的主目錄就會(huì)被解密。一旦用戶注銷,主目錄就會(huì)自動(dòng)加密。
除了大大改進(jìn)的安全性之外,systemd-homed還將最終啟用一個(gè)真正可移植的主目錄。因?yàn)?home目錄將不再依賴于systemd、/etc/passwd和/etc/shadow的三元組,用戶和管理員將能夠輕松地遷移/home中的目錄。假設(shè)能夠?qū)⒛?home/USER(其中USER是您的用戶名)目錄移動(dòng)到便攜式閃存驅(qū)動(dòng)器上,并在任何使用systemd-homed的系統(tǒng)上使用它。您可以輕松地在home和work之間或公司內(nèi)部的系統(tǒng)之間傳輸/home/USER目錄。
這不僅適用于用戶文件,還適用于個(gè)人設(shè)置、首選項(xiàng)甚至身份驗(yàn)證信息。
這是通過(guò)使用JSON用戶記錄來(lái)確認(rèn)用戶身份實(shí)現(xiàn)的。具體如何工作取決于用于存儲(chǔ)/訪問(wèn)用戶主目錄的機(jī)制。這樣的機(jī)制包括:
Btrfs
fscrypt
CIFS
盧克斯
據(jù)Poettering說(shuō),LUKS是最先進(jìn)和最安全的系統(tǒng)。使用LUKS,加密的卷存儲(chǔ)在可移動(dòng)設(shè)備或環(huán)回文件中。LUKS卷包含一個(gè)以用戶命名的目錄,該目錄將成為用戶的主目錄,并包含存儲(chǔ)在LUKS頭中的用戶記錄的副本。當(dāng)用戶成功進(jìn)行身份驗(yàn)證時(shí),systemd-homed解鎖LUKS卷,并將存儲(chǔ)在LUKS頭中的記錄與存儲(chǔ)在./identity文件夾中的記錄進(jìn)行比較。如果記錄和加密密鑰匹配,就會(huì)掛載該目錄并允許用戶訪問(wèn)。
與當(dāng)前創(chuàng)建用戶的過(guò)程(使用useradd或adduser命令)不同,systemd-homed將依賴于它自己的創(chuàng)建用戶的過(guò)程。幸運(yùn)的是,這個(gè)過(guò)程并不會(huì)非常復(fù)雜。
事實(shí)上,就像許多與systemd相關(guān)的子系統(tǒng)一樣,systemd-homed也有自己的控制命令:
因此,要?jiǎng)?chuàng)建一個(gè)新用戶,命令應(yīng)該如下所示:
用戶名是用戶名,實(shí)名是用戶的名和姓。
使用homectl命令,您還可以:
激活一個(gè)或多個(gè)主目錄
更改特定主目錄/用戶帳戶上的密碼
調(diào)整分配給主目錄的磁盤空間量
臨時(shí)鎖定一個(gè)主目錄
列出所有主目錄
當(dāng)然,如此重大的變化也有值得注意的地方。在system -homed的情況下,這個(gè)警告是通過(guò)SSH提供的。如果在用戶成功登錄之前對(duì)系統(tǒng)主目錄進(jìn)行了加密,那么用戶如何能夠使用SSH登錄到遠(yuǎn)程計(jì)算機(jī)?最大的問(wèn)題是. SSH目錄(其中SSH存儲(chǔ)known_hosts和authorized_keys)在用戶的主目錄被加密時(shí)是不可訪問(wèn)的。詩(shī)人當(dāng)然知道這個(gè)缺點(diǎn)。到目前為止,使用systemd-homed完成的所有工作都是使用標(biāo)準(zhǔn)的身份驗(yàn)證過(guò)程。可以肯定,Poettering會(huì)提出一個(gè)考慮SSH的解決方案。
如果Poettering不能為SSH難題開發(fā)一個(gè)解決方案,那么system -homed將被降級(jí)到桌面和筆記本發(fā)行版,而服務(wù)器則被排除在外。我無(wú)法想象它能和systemd團(tuán)隊(duì)一起飛行。
目前,systemd 245仍然處于RC2狀態(tài)。您可以從systemd GitHub頁(yè)面下載源代碼,但是要知道,安裝過(guò)程可能比您想象的要復(fù)雜得多。不過(guò),好消息是systemd 245應(yīng)該在今年(2020年)的某個(gè)時(shí)候發(fā)布。當(dāng)發(fā)生這種情況時(shí),請(qǐng)準(zhǔn)備更改管理用戶及其主目錄的方式。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。