Linux: Systemd will Home-Verzeichnisse portabel machen

Systemd-Entwickler Lennart Poettering hat Pläne präsentiert, Home-Verzeichnisse künftig über einen speziellen Systemdienst portabel zu machen und zu verschlüsseln. Nutzer sollen das Verzeichnis etwa auf einem USB-Stick dabei haben können.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Der Systemd-Initiator Lennart Poettering stellt die Idee von Systemd-Homed vor.
Der Systemd-Initiator Lennart Poettering stellt die Idee von Systemd-Homed vor. (Bild: Kristian Kißling/Linux Magazin)

"Ich bin Lennart Poettering und heute nehme ich Eure Home-Verzeichnisse weg", scherzte der Systemd-Entwickler zu Beginn seines Vortrags (PDF) auf der diesjährigen Linux-Userspace-Konferenz All Systems Go, wohl wissend um seine kontroverse Rolle in der Linux-Community. Das konkrete Ziel dieser etwas vagen Ankündigung ist es, das Home-Verzeichnis nicht nur besser via Verschlüsselung zu schützen, sondern es auch portabel zu machen. Er wolle sein Home-Verzeichnis auf einem USB-Stick mitnehmen, an einen anderen Rechner mit einem Linux stecken und es dort nutzen können.

Der neu geschaffene Dienst Systemd-Homed soll dabei nicht wirklich traditionelle Home-Verzeichnisse abschaffen, sondern portable und verschlüsselte Verzeichnisse als Option ergänzen. Der Dienst zielt speziell auf Laptops und den Unternehmenseinsatz. Sämtliche Metadaten zu den Nutzern sollen dann tatsächlich im Home-Verzeichnis liegen. Externe Abhängigkeiten im restlichen Dateisystem soll es nicht mehr geben.

Für die Home-Verzeichnisse bietet systemd-homed mehrere Backends an. Als Ziele kommen normale Verzeichnisse, Btrfs-Subvolumes oder auch Cifs-Mounts in Frage. In diesem Fall liegen die User Records unverschlüsselt und im JSON-Format als ~/.identity-Dateien vor. Sie sind signiert und normale Nutzer dürfen sie nicht ändern. Auf dem Host existieren eigene User Records, die der Host dann mit den User Records der Home-Partition abgleicht. Ist die Signatur auf dem Host nicht bekannt, mountet dieser das Home-Image aus Sicherheitsgründen nicht. Systemadmins dürfen die Signatur allerdings manuell ergänzen.

Verschlüsseltes Home-Verzeichnis

Was Lennart Poettering und seine Mitstreiter aber eigentlich umtreibt, ist die Tatsache, dass privilegierte Dienste wie der Apache-Server auf gewöhnlichen Linux-Systemen problemlos auf private Daten im Home-Verzeichnis zugreifen können. Daher soll systemd-homed auch das Verschlüsseln von Partitionen ermöglichen. Neben FS-Crypt soll auch LUKS2 zum Einsatz kommen.

Die Systemd-Macher wollen das verschlüsselte Home-Abbild dabei als Loopback-Device einhängen. Canonicals Snap-Paketformat nutze diese Technologie bereits erfolgreich und ohne großen Overhead, erklärte Poettering dem Linux-Magazin im Gespräch. Der verschlüsselte User Record soll im LUKS2-Header stecken. Das erlaube es dem Kernel, das Home-Image vor dem Einhängen zu validieren und dieses gegebenenfalls abzulehnen.

Zugleich wolle er das Home über LUKS2 verschlüsseln, sobald der Rechner in den Suspend-to-RAM-Modus geht. Das Nutzerpasswort soll bei verschlüsselten Home-Verzeichnissen zugleich zum Entschlüsseln dienen. Der Code sei laut Lennart Poettering bereits zum großen Teil vorhanden, er findet sich in seinem Github-Zweig von Systemd.

Schwierige Probleme zu lösen

Um den Plan in die Tat umzusetzen, waren allerdings einige Probleme zu lösen, denn das Home und die dazugehörigen Konfigurationsdateien sind historisch gewachsen. So unterscheiden sich die User-IDs von Linux-System zu Linux-System und sind dann auch an einen Benutzernamen gebunden. Zwar vergibt systemd-homed recht einzigartige UIDs für die Home-Partitionen, allerdings sind diese nicht einzigartig genug. Das ist laut Poettering eine Anforderung des Kernel. Sind UIDs auf dem Host doppelt vorhanden, vergibt systemd-homed eine neue UID und führt rekursiv den Befehl chown aus.

Auch die Authentifizierung sei veraltet: Weil sich /etc/passwd nicht erweitern lasse, seien für andere Zwecke Hilfsdatenbanken entstanden, etwa für SSH-Schlüssel, Samba und PAM. Um portabel zu sein, müsse das UID-Assignment des Home-Services lokal stattfinden, wenn der Nutzer sein Home-Verzeichnis einhängt, und auf jedem System, was Poettering als "schwieriges Problem" bezeichnete. SSH lasse sich dann zum Beispiel erst nutzen, wenn der User sich gegenüber dem System identifiziert habe. Die SSH-Schlüssel lassen sich laut Spezifikation ebenfalls in den User Records unterbringen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Ninos 25. Sep 2019

Was heißt hier feature? Jeder Entwickler, der was von sich hält, arbeitet...

FreiGeistler 24. Sep 2019

Ich meine, ein Udev Hook der sync.sh ausführt, wäre ja zu simpel...

FreiGeistler 24. Sep 2019

https://en.wikipedia.org/wiki/Feature_creep

FreiGeistler 24. Sep 2019

Frag doch Artoo von Artix Linux (Arch ohne Systemd). Oder Guck mal ins Forum dazu. Oder...



Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /