• IT-Karriere:
  • Services:

Linux: Systemd will Home-Verzeichnisse portabel machen

Systemd-Entwickler Lennart Poettering hat Pläne präsentiert, Home-Verzeichnisse künftig über einen speziellen Systemdienst portabel zu machen und zu verschlüsseln. Nutzer sollen das Verzeichnis etwa auf einem USB-Stick dabei haben können.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Der Systemd-Initiator Lennart Poettering stellt die Idee von Systemd-Homed vor.
Der Systemd-Initiator Lennart Poettering stellt die Idee von Systemd-Homed vor. (Bild: Kristian Kißling/Linux Magazin)

"Ich bin Lennart Poettering und heute nehme ich Eure Home-Verzeichnisse weg", scherzte der Systemd-Entwickler zu Beginn seines Vortrags (PDF) auf der diesjährigen Linux-Userspace-Konferenz All Systems Go, wohl wissend um seine kontroverse Rolle in der Linux-Community. Das konkrete Ziel dieser etwas vagen Ankündigung ist es, das Home-Verzeichnis nicht nur besser via Verschlüsselung zu schützen, sondern es auch portabel zu machen. Er wolle sein Home-Verzeichnis auf einem USB-Stick mitnehmen, an einen anderen Rechner mit einem Linux stecken und es dort nutzen können.

Stellenmarkt
  1. Dataport, verschiedene Einsatzorte (Home-Office möglich)
  2. JACKON Insulation GmbH, Arendsee

Der neu geschaffene Dienst Systemd-Homed soll dabei nicht wirklich traditionelle Home-Verzeichnisse abschaffen, sondern portable und verschlüsselte Verzeichnisse als Option ergänzen. Der Dienst zielt speziell auf Laptops und den Unternehmenseinsatz. Sämtliche Metadaten zu den Nutzern sollen dann tatsächlich im Home-Verzeichnis liegen. Externe Abhängigkeiten im restlichen Dateisystem soll es nicht mehr geben.

Für die Home-Verzeichnisse bietet systemd-homed mehrere Backends an. Als Ziele kommen normale Verzeichnisse, Btrfs-Subvolumes oder auch Cifs-Mounts in Frage. In diesem Fall liegen die User Records unverschlüsselt und im JSON-Format als ~/.identity-Dateien vor. Sie sind signiert und normale Nutzer dürfen sie nicht ändern. Auf dem Host existieren eigene User Records, die der Host dann mit den User Records der Home-Partition abgleicht. Ist die Signatur auf dem Host nicht bekannt, mountet dieser das Home-Image aus Sicherheitsgründen nicht. Systemadmins dürfen die Signatur allerdings manuell ergänzen.

Verschlüsseltes Home-Verzeichnis

Was Lennart Poettering und seine Mitstreiter aber eigentlich umtreibt, ist die Tatsache, dass privilegierte Dienste wie der Apache-Server auf gewöhnlichen Linux-Systemen problemlos auf private Daten im Home-Verzeichnis zugreifen können. Daher soll systemd-homed auch das Verschlüsseln von Partitionen ermöglichen. Neben FS-Crypt soll auch LUKS2 zum Einsatz kommen.

Die Systemd-Macher wollen das verschlüsselte Home-Abbild dabei als Loopback-Device einhängen. Canonicals Snap-Paketformat nutze diese Technologie bereits erfolgreich und ohne großen Overhead, erklärte Poettering dem Linux-Magazin im Gespräch. Der verschlüsselte User Record soll im LUKS2-Header stecken. Das erlaube es dem Kernel, das Home-Image vor dem Einhängen zu validieren und dieses gegebenenfalls abzulehnen.

Zugleich wolle er das Home über LUKS2 verschlüsseln, sobald der Rechner in den Suspend-to-RAM-Modus geht. Das Nutzerpasswort soll bei verschlüsselten Home-Verzeichnissen zugleich zum Entschlüsseln dienen. Der Code sei laut Lennart Poettering bereits zum großen Teil vorhanden, er findet sich in seinem Github-Zweig von Systemd.

Schwierige Probleme zu lösen

Um den Plan in die Tat umzusetzen, waren allerdings einige Probleme zu lösen, denn das Home und die dazugehörigen Konfigurationsdateien sind historisch gewachsen. So unterscheiden sich die User-IDs von Linux-System zu Linux-System und sind dann auch an einen Benutzernamen gebunden. Zwar vergibt systemd-homed recht einzigartige UIDs für die Home-Partitionen, allerdings sind diese nicht einzigartig genug. Das ist laut Poettering eine Anforderung des Kernel. Sind UIDs auf dem Host doppelt vorhanden, vergibt systemd-homed eine neue UID und führt rekursiv den Befehl chown aus.

Auch die Authentifizierung sei veraltet: Weil sich /etc/passwd nicht erweitern lasse, seien für andere Zwecke Hilfsdatenbanken entstanden, etwa für SSH-Schlüssel, Samba und PAM. Um portabel zu sein, müsse das UID-Assignment des Home-Services lokal stattfinden, wenn der Nutzer sein Home-Verzeichnis einhängt, und auf jedem System, was Poettering als "schwieriges Problem" bezeichnete. SSH lasse sich dann zum Beispiel erst nutzen, wenn der User sich gegenüber dem System identifiziert habe. Die SSH-Schlüssel lassen sich laut Spezifikation ebenfalls in den User Records unterbringen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 31,49€
  2. (-57%) 12,99€
  3. (-30%) 41,99€

Ninos 25. Sep 2019

Was heißt hier feature? Jeder Entwickler, der was von sich hält, arbeitet...

FreiGeistler 24. Sep 2019

Ich meine, ein Udev Hook der sync.sh ausführt, wäre ja zu simpel...

FreiGeistler 24. Sep 2019

https://en.wikipedia.org/wiki/Feature_creep

FreiGeistler 24. Sep 2019

Frag doch Artoo von Artix Linux (Arch ohne Systemd). Oder Guck mal ins Forum dazu. Oder...

teleborian 24. Sep 2019

Um so besser, wenn man das früh meldet, dann sind 22 Jahre nicht erst in 25 Jahren vorbei.


Folgen Sie uns
       


Tesla-Baustelle in Grünheide - Eindrücke (März 2020)

Golem.de hat im März 2020 die Baustelle der Tesla-Fabrik in Grünheide besucht und Drohnenaufnahmen vom aktuellen Stand des Großprojekts gedreht.

Tesla-Baustelle in Grünheide - Eindrücke (März 2020) Video aufrufen
DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Datenschutzverstöße EuGH soll über Verbandsklagerecht entscheiden
  2. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  3. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben

Maneater im Test: Bissiger Blödsinn
Maneater im Test
Bissiger Blödsinn

Wer schon immer als Bullenhai auf Menschenjagd gehen wollte - hier entlang schwimmen bitte. Maneater legt aber auch die Flosse in die Wunde.
Ein Test von Marc Sauter

  1. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord
  2. Arkade Blaster 3D-Shooter mit der Plastikkanone spielen
  3. Wolcen im Test Düster, lootig, wuchtig!

Minecraft Dungeons im Test: Diablo im Quadrat
Minecraft Dungeons im Test
Diablo im Quadrat

Minecraft Dungeons sieht aus wie ein Re-Skin von Diablo, ist viel einfacher aufgebaut - und fesselt uns trotzdem an den Bildschirm.
Ein Test von Peter Steinlechner

  1. Mojang Studios Mehr als 200 Millionen Einheiten von Minecraft verkauft
  2. Minecraft RTX im Test Klötzchen klotzen mit Pathtracing
  3. Raytracing Beta von Minecraft RTX startet am 16. April

    •  /