Linux主目錄管理即將發(fā)生重大變化

當(dāng)systemd在2010年發(fā)布時(shí)，圍繞著在Linux中啟動(dòng)服務(wù)的方式的變化，出現(xiàn)了一場(chǎng)尖酸刻薄的風(fēng)暴。新機(jī)制被吹捧為過于臃腫和過于復(fù)雜而無用。從那以后，所有的企業(yè)Linux發(fā)行版都采用了systemd，大多數(shù)桌面發(fā)行版也都采用了systemd。

對(duì)于那些不熟悉systemd的人來說，它可以初始化Linux平臺(tái)上的所有系統(tǒng)。任何在數(shù)據(jù)中心中管理Linux的人都應(yīng)該非常熟悉這個(gè)系統(tǒng)。通過為設(shè)備管理、用戶登錄、網(wǎng)絡(luò)連接和事件日志記錄提供所有必要的控制和守護(hù)進(jìn)程，systemd簡(jiǎn)化了資源初始化和管理——所有這些都從一個(gè)入口點(diǎn)開始(systemctl)。在systemd之前，每個(gè)系統(tǒng)和資源都是由自己的工具管理的，這是笨拙和低效的。現(xiàn)在?在Linux上控制和管理系統(tǒng)非常簡(jiǎn)單。

但是創(chuàng)作者之一Leannart Poettering一直認(rèn)為systemd是不完整的。隨著systemd 245即將發(fā)布，Poettering將使他的系統(tǒng)更接近完成。這一步是回家的路。

在深入研究homed之前，我們先看一下/home目錄。這是Linux文件系統(tǒng)層次結(jié)構(gòu)中的一個(gè)關(guān)鍵目錄，因?yàn)樗杏脩魯?shù)據(jù)和配置。對(duì)于某些管理員來說，這個(gè)目錄非常重要，它通常被放在一個(gè)獨(dú)立的分區(qū)或驅(qū)動(dòng)器上，而不是操作系統(tǒng)上。這樣做，即使操作系統(tǒng)崩潰，用戶數(shù)據(jù)也是安全的。

但是，在操作系統(tǒng)中處理/home的方式使遷移/home目錄變得不那么容易。為什么?在systemd的當(dāng)前迭代中，用戶信息(如ID、全名、主目錄和shell)存儲(chǔ)在/etc/passwd中，與該用戶關(guān)聯(lián)的密碼存儲(chǔ)在/etc/ shadow中。任何人都可以查看/etc/passwd文件，而/etc/shadow只能由具有admin或sudo特權(quán)的人查看。

/etc/passwd和/etc/shadow文件的工作原理很簡(jiǎn)單:

在登錄過程中，系統(tǒng)根據(jù)/etc/ shadow.com驗(yàn)證登錄嘗試。

如果登錄成功，系統(tǒng)將讀取/etc/passwd條目，以便用戶定位用戶的主目錄。

因此，對(duì)于簡(jiǎn)單的登錄操作，需要三種機(jī)制(systemd、/etc/shadow、/etc/passwd)。這是低效的，詩人決定做一個(gè)巨大的改變。這一變化是必然的。使用homed，所有信息都將放在每個(gè)用戶的加密簽名JSON記錄中。該記錄將包含所有用戶信息，如用戶名、組成員和密碼散列。

每個(gè)用戶主目錄將作為luks加密的容器鏈接，加密直接耦合到用戶登錄。一旦systemd-homed檢測(cè)到用戶已經(jīng)登錄，相關(guān)的主目錄就會(huì)被解密。一旦用戶注銷，主目錄就會(huì)自動(dòng)加密。

除了大大改進(jìn)的安全性之外，systemd-homed還將最終啟用一個(gè)真正可移植的主目錄。因?yàn)?home目錄將不再依賴于systemd、/etc/passwd和/etc/shadow的三元組，用戶和管理員將能夠輕松地遷移/home中的目錄。假設(shè)能夠?qū)⒛?home/USER(其中USER是您的用戶名)目錄移動(dòng)到便攜式閃存驅(qū)動(dòng)器上，并在任何使用systemd-homed的系統(tǒng)上使用它。您可以輕松地在home和work之間或公司內(nèi)部的系統(tǒng)之間傳輸/home/USER目錄。

這不僅適用于用戶文件，還適用于個(gè)人設(shè)置、首選項(xiàng)甚至身份驗(yàn)證信息。

這是通過使用JSON用戶記錄來確認(rèn)用戶身份實(shí)現(xiàn)的。具體如何工作取決于用于存儲(chǔ)/訪問用戶主目錄的機(jī)制。這樣的機(jī)制包括:

Btrfs

fscrypt

CIFS

盧克斯

據(jù)Poettering說，LUKS是最先進(jìn)和最安全的系統(tǒng)。使用LUKS，加密的卷存儲(chǔ)在可移動(dòng)設(shè)備或環(huán)回文件中。LUKS卷包含一個(gè)以用戶命名的目錄，該目錄將成為用戶的主目錄，并包含存儲(chǔ)在LUKS頭中的用戶記錄的副本。當(dāng)用戶成功進(jìn)行身份驗(yàn)證時(shí)，systemd-homed解鎖LUKS卷，并將存儲(chǔ)在LUKS頭中的記錄與存儲(chǔ)在./identity文件夾中的記錄進(jìn)行比較。如果記錄和加密密鑰匹配，就會(huì)掛載該目錄并允許用戶訪問。

與當(dāng)前創(chuàng)建用戶的過程(使用useradd或adduser命令)不同，systemd-homed將依賴于它自己的創(chuàng)建用戶的過程。幸運(yùn)的是，這個(gè)過程并不會(huì)非常復(fù)雜。

事實(shí)上，就像許多與systemd相關(guān)的子系統(tǒng)一樣，systemd-homed也有自己的控制命令:

因此，要?jiǎng)?chuàng)建一個(gè)新用戶，命令應(yīng)該如下所示:

用戶名是用戶名，實(shí)名是用戶的名和姓。

使用homectl命令，您還可以:

激活一個(gè)或多個(gè)主目錄

更改特定主目錄/用戶帳戶上的密碼

調(diào)整分配給主目錄的磁盤空間量

臨時(shí)鎖定一個(gè)主目錄

列出所有主目錄

當(dāng)然，如此重大的變化也有值得注意的地方。在system -homed的情況下，這個(gè)警告是通過SSH提供的。如果在用戶成功登錄之前對(duì)系統(tǒng)主目錄進(jìn)行了加密，那么用戶如何能夠使用SSH登錄到遠(yuǎn)程計(jì)算機(jī)?最大的問題是. SSH目錄(其中SSH存儲(chǔ)known_hosts和authorized_keys)在用戶的主目錄被加密時(shí)是不可訪問的。詩人當(dāng)然知道這個(gè)缺點(diǎn)。到目前為止，使用systemd-homed完成的所有工作都是使用標(biāo)準(zhǔn)的身份驗(yàn)證過程?？梢钥隙ǎ琍oettering會(huì)提出一個(gè)考慮SSH的解決方案。

如果Poettering不能為SSH難題開發(fā)一個(gè)解決方案，那么system -homed將被降級(jí)到桌面和筆記本發(fā)行版，而服務(wù)器則被排除在外。我無法想象它能和systemd團(tuán)隊(duì)一起飛行。

目前，systemd 245仍然處于RC2狀態(tài)。您可以從systemd GitHub頁面下載源代碼，但是要知道，安裝過程可能比您想象的要復(fù)雜得多。不過，好消息是systemd 245應(yīng)該在今年(2020年)的某個(gè)時(shí)候發(fā)布。當(dāng)發(fā)生這種情況時(shí)，請(qǐng)準(zhǔn)備更改管理用戶及其主目錄的方式。