• IT-Karriere:
  • Services:

Linux: Systemd will Home-Verzeichnisse portabel machen

Systemd-Entwickler Lennart Poettering hat Pläne präsentiert, Home-Verzeichnisse künftig über einen speziellen Systemdienst portabel zu machen und zu verschlüsseln. Nutzer sollen das Verzeichnis etwa auf einem USB-Stick dabei haben können.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Der Systemd-Initiator Lennart Poettering stellt die Idee von Systemd-Homed vor.
Der Systemd-Initiator Lennart Poettering stellt die Idee von Systemd-Homed vor. (Bild: Kristian Kißling/Linux Magazin)

"Ich bin Lennart Poettering und heute nehme ich Eure Home-Verzeichnisse weg", scherzte der Systemd-Entwickler zu Beginn seines Vortrags (PDF) auf der diesjährigen Linux-Userspace-Konferenz All Systems Go, wohl wissend um seine kontroverse Rolle in der Linux-Community. Das konkrete Ziel dieser etwas vagen Ankündigung ist es, das Home-Verzeichnis nicht nur besser via Verschlüsselung zu schützen, sondern es auch portabel zu machen. Er wolle sein Home-Verzeichnis auf einem USB-Stick mitnehmen, an einen anderen Rechner mit einem Linux stecken und es dort nutzen können.

Stellenmarkt
  1. Sächsische Staatsministerium für Energie, Klimaschutz, Umwelt und Landwirtschaft (SMEKUL), Dresden, Niederwiesa
  2. KION Group AG, Frankfurt am Main

Der neu geschaffene Dienst Systemd-Homed soll dabei nicht wirklich traditionelle Home-Verzeichnisse abschaffen, sondern portable und verschlüsselte Verzeichnisse als Option ergänzen. Der Dienst zielt speziell auf Laptops und den Unternehmenseinsatz. Sämtliche Metadaten zu den Nutzern sollen dann tatsächlich im Home-Verzeichnis liegen. Externe Abhängigkeiten im restlichen Dateisystem soll es nicht mehr geben.

Für die Home-Verzeichnisse bietet systemd-homed mehrere Backends an. Als Ziele kommen normale Verzeichnisse, Btrfs-Subvolumes oder auch Cifs-Mounts in Frage. In diesem Fall liegen die User Records unverschlüsselt und im JSON-Format als ~/.identity-Dateien vor. Sie sind signiert und normale Nutzer dürfen sie nicht ändern. Auf dem Host existieren eigene User Records, die der Host dann mit den User Records der Home-Partition abgleicht. Ist die Signatur auf dem Host nicht bekannt, mountet dieser das Home-Image aus Sicherheitsgründen nicht. Systemadmins dürfen die Signatur allerdings manuell ergänzen.

Verschlüsseltes Home-Verzeichnis

Was Lennart Poettering und seine Mitstreiter aber eigentlich umtreibt, ist die Tatsache, dass privilegierte Dienste wie der Apache-Server auf gewöhnlichen Linux-Systemen problemlos auf private Daten im Home-Verzeichnis zugreifen können. Daher soll systemd-homed auch das Verschlüsseln von Partitionen ermöglichen. Neben FS-Crypt soll auch LUKS2 zum Einsatz kommen.

Die Systemd-Macher wollen das verschlüsselte Home-Abbild dabei als Loopback-Device einhängen. Canonicals Snap-Paketformat nutze diese Technologie bereits erfolgreich und ohne großen Overhead, erklärte Poettering dem Linux-Magazin im Gespräch. Der verschlüsselte User Record soll im LUKS2-Header stecken. Das erlaube es dem Kernel, das Home-Image vor dem Einhängen zu validieren und dieses gegebenenfalls abzulehnen.

Zugleich wolle er das Home über LUKS2 verschlüsseln, sobald der Rechner in den Suspend-to-RAM-Modus geht. Das Nutzerpasswort soll bei verschlüsselten Home-Verzeichnissen zugleich zum Entschlüsseln dienen. Der Code sei laut Lennart Poettering bereits zum großen Teil vorhanden, er findet sich in seinem Github-Zweig von Systemd.

Schwierige Probleme zu lösen

Um den Plan in die Tat umzusetzen, waren allerdings einige Probleme zu lösen, denn das Home und die dazugehörigen Konfigurationsdateien sind historisch gewachsen. So unterscheiden sich die User-IDs von Linux-System zu Linux-System und sind dann auch an einen Benutzernamen gebunden. Zwar vergibt systemd-homed recht einzigartige UIDs für die Home-Partitionen, allerdings sind diese nicht einzigartig genug. Das ist laut Poettering eine Anforderung des Kernel. Sind UIDs auf dem Host doppelt vorhanden, vergibt systemd-homed eine neue UID und führt rekursiv den Befehl chown aus.

Auch die Authentifizierung sei veraltet: Weil sich /etc/passwd nicht erweitern lasse, seien für andere Zwecke Hilfsdatenbanken entstanden, etwa für SSH-Schlüssel, Samba und PAM. Um portabel zu sein, müsse das UID-Assignment des Home-Services lokal stattfinden, wenn der Nutzer sein Home-Verzeichnis einhängt, und auf jedem System, was Poettering als "schwieriges Problem" bezeichnete. SSH lasse sich dann zum Beispiel erst nutzen, wenn der User sich gegenüber dem System identifiziert habe. Die SSH-Schlüssel lassen sich laut Spezifikation ebenfalls in den User Records unterbringen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-53%) 13,99€
  2. 2,62€
  3. (-67%) 9,99€
  4. (-43%) 15,99€

Ninos 25. Sep 2019

Was heißt hier feature? Jeder Entwickler, der was von sich hält, arbeitet...

FreiGeistler 24. Sep 2019

Ich meine, ein Udev Hook der sync.sh ausführt, wäre ja zu simpel...

FreiGeistler 24. Sep 2019

https://en.wikipedia.org/wiki/Feature_creep

FreiGeistler 24. Sep 2019

Frag doch Artoo von Artix Linux (Arch ohne Systemd). Oder Guck mal ins Forum dazu. Oder...

teleborian 24. Sep 2019

Um so besser, wenn man das früh meldet, dann sind 22 Jahre nicht erst in 25 Jahren vorbei.


Folgen Sie uns
       


Brett Butterfield von Adobe zeigt KI-Bildersuche per Sprache (englisch)

Der Befehl: "Mehr Kaffee!" zeigt tatsächlich mehr Kaffee.

Brett Butterfield von Adobe zeigt KI-Bildersuche per Sprache (englisch) Video aufrufen
Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Concept One ausprobiert Oneplus lässt die Kameras verschwinden
  3. Alienware Concept Ufo im Hands on Die Switch für Erwachsene

Fitnesstracker im Test: Aldi sportlich abgeschlagen hinter Honor und Mi Band 4
Fitnesstracker im Test
Aldi sportlich abgeschlagen hinter Honor und Mi Band 4

Alle kosten um die 30 Euro, haben ähnliche Funktionen - trotzdem gibt es bei aktuellen Fitnesstrackern von Aldi, Honor und Xiaomi spürbare Unterschiede. Als größte Stärke des Geräts von Aldi empfanden wir kurioserweise eine technische Schwäche.
Von Peter Steinlechner

  1. Wearable Acer und Vatikan präsentieren smarten Rosenkranz
  2. Apple Watch Series 5 im Test Endlich richtungsweisend
  3. Suunto 5 Sportuhr mit schlauem Akku vorgestellt

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches
  2. Charachorder Schneller tippen als die Tastatur erlaubt
  3. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad

    •  /