systemd-homed (Português)

systemd-homed é um serviço do systemd que fornece contas de usuário humanas e que são independentes da configuração atual do sistema.

Status de tradução: Esse artigo é uma tradução de Systemd-homed. Data da última tradução: 2020-07-15. Você pode ajudar a sincronizar a tradução, se houver alterações na versão em inglês.

Ele permite portabilidade ao poder mover todas as informações relacionadas ao usuário para um meio de armazenamento, opcionalmente criptografado, e cria um arquivo ~/.identity que contém informação com assinatura sobre o usuário, senha, quais grupos o usuário pertence, UID/GID e outros arquivos que estariam dispersas em vários arquivos no /.

Esta abordagem permite não apenas portabilidade do diretório pessoal do usuário, mas também fornece segurança gerenciando a criptografia do /home ao se autenticar com o usuário e também ao suspender a máquina pois a pasta é bloqueada novamente.

Instalação

systemd-homed é parte do e portanto, vem empacotado junto ao pacote.

Para utilizar o systemd-homed, você deve habilitar e iniciar o systemd-homed.service.

Utilitários

homectl

é o principal utilitário que você irá utilizar. Com ele, você pode criar, atualizar e inspecionar usuários; os diretórios pessoais destes; assim como os arquivos ~/.identity controlados pelo serviço systemd-homed(8).

A maneira mais simples de utilizar o homectl é:

# homectl create nome-do-usuário

Este comando irá criar o nome específico do usuário, utilizando um UID livre, criará um grupo com o mesmo nome, e GID igual ao UID, definirá o usuário como membro deste grupo, e definirá o shell padrão do usuário como .

O diretório pessoal do usuário é montado em . O mecanismo de armazento é escolhido nesta ordem:

  1. se houver suporte;
  2. se não houver suporte a LUKS e houver suporte a subvolume;
  3. (diretório) se não houver suporte a nenhum dos dois mecanismos acima e outra opção não for escolhida.

O caminho do arquivo de imagem do usuário quando utilizado com LUKS é /home/nome-do-usuário.home. O caminho do arquivo de imagem do usuário quando utilizado com diretório é .

userdbctl

Uma ferramenta de consulta para inspecionar usuários, grupos e membros de grupos fornecidos tanto por mecanismos clássicos de unix quanto por systemd-homed.

Mecanismo de armazenamento

Directory ou subvolume do Btrfs

Um diretório pessoal de usuário é armazenado em /home/usuário.homedir e montado em utilizando a opção do ao ser desbloqueado quando o usuário se autentica. Quanto este método é utilizado, nenhuma criptografia é fornecida. Para utilizar este mecanismo, utilize ou no comando .

Diretório pessoal com fscrypt

Um diretório pessoal de usuário é armazenado da mesma forma que o método acima, mas uma criptografia de sistema de arquivos nativa é usada. Para usar este mecanismo, utilize --storage=fscrypt no comando .

Servidor CIFS

O diretório é montado à partir de um servidor CIFS (Common Internet File System - Sistema de arquivos comum da internet) ao autenticar. Note que CIFS é implementado pelo protocolo Samba. Utilize no comando . A senha local do usuário é utilizada para se autenticar ao serviço de CIFS.

Diretório pessoal com LUKS

Um diretório pessoal do usuário é armazenado em um sistema de arquivos do Linux, dentro de um volume criptografado com LUKS (Linux Unified Key Setup - Configuração Unificada de Chaves do Linux) dentro de um arquivo loopback ou qualquer mídia removível. Para utilizar este mecanismo, use no comando .

Se estiver utilizando uma mídia removível, assegure-se que estas condições são atendidas:

  • A imagem contém uma tabela de particionamento em GPT. Por enquanto, deve apenas conter uma única partição, e esta partição deve ter o tipo UUID 773f91ef-66d4-49b5-bd83-d683bf40ad16. O rótulo da partição deve ser o nome do usuário.
  • Esta partição deve conter um volume LUKS2, cujo rótulo deve ser o nome do usuário. O volume LUKS2 deve conter o campo de token do tipo systemd-homed. Os dados em JSON deste token devem ter um campo de registro, contendo um texto com dados codificados em base64. Este arquivo é o registro de usuário em JSON, com a mesma serialização que ~/.identity, só que criptografado. Os dados em JSON deste token devem também ter um campo iv (initialization vector - vetor de inicialização), que contém um binário de vetor de inicialização codificado em base64 para a criptografia. A criptografia utilizada é a mesma que o próprio volume em LUKS2 usa, desbloqueada pela mesma key (chave) de volume, mas baseada no seu próprio IV.
  • Dentro deste volume de LUKS2 deve haver um sistema de arquivos Linux, sendo um dos seguintes: EXT4, BTRFS e XFS. O rótulo do sistema de arquivos deve ser o nome do usuário.
  • Este sistema de arquivos deve conter um único diretório, nomeado a partir do usuário, este diretório se tornará o diretório pessoal do usuário quando ativado. Ele contém uma segunda cópia do registro no arquivo ~/.identity, como nos outros mecanismos de armazenamento.

Habilitando módulos do PAM

Já que não existem registros de usuários do tipo systemd-homed em bancos de dados NSS do UNIX (como , e ), o módulo do PAM não irá autorizar estes usuários sequer a autenticação para entrar no sistema. Portanto será necessário usar um módulo . Enquanto o usuário do systemd-homed estiver autenticado, o PAM sintetizará os registros NSS para ele.

Apenas um dos dois módulos irá permitir a autorização, então o PAM deve ser instruído para desconsiderar a falha do outro. Para isto ocorrer, é necessário um valor de controle chamado sufficient. porém, o valor de controle deste módulo, ao ocorrer com sucesso, fará com que o resto da pilha (stack) seja ignorada. Uma maneira de resolver isto, é através de uma subpilha (substack):

Substitua no arquivo /etc/pam.d/system-auth, com a configuração criada utilizando o valor de controle substack:

Propriedades de registro de usuário

Consulte o registro completo de usuário com:

# homectl inspect nome-do-usuário

Modifique ou acrescente no registro completo de usuário com:

# homectl update nome-do-usuário --propriedade=VALOR

É possível modificar e acrescentar várias propriedades:

  • --language=IDIOMA
  • ou

Consulte para mais opções.

Gerenciando usuários

Criação

Criação simples de um usuário com criptografia LUKS:

# homectl create nome-do-usuário --storage=luks

Criação simples de um usuário com criptografia fscrypt:

# homectl create nome-do-usuário --storage=fscrypt

Criação simples de um usuário com UID, shell e grupos específicos:

# homectl create nome-do-usuário --shell=/bin/zsh --uid=1001 -G wheel,storage,games

Outras opções podem ser encontradas em .

Deleção

Atenção: A deleção do usuário é instantânea, tenha cuidado!

É possível fazer a deleção de vários usuários ao mesmo tempo, como root, você pode rodar o comando abaixo que irá deletar os 2 usuários de uma única vez:

# homectl remove nome-do-usuário1 nome-do-usuário2

Desbloquear remotamente através de SSH

Para permitir que o serviço de SSH dependa de registros de usuários contendo as chaves autorizadas, o arquivo precisa conter as seguintes linhas

AuthorizedKeysCommand /usr/bin/userdbctl ssh-authorized-keys %u
AuthorizedKeysCommandUser root

Você pode receber a mensagem de erro , neste caso, você precisa ativar o diretório pessoal do usuário com o comando .

Veja também

gollark: If you don't have malware but just undesirable programs, remove them from control panel or whatever.
gollark: If you have malware, you should just entirely wipe the computer and reinstall from scratch.
gollark: You can't really do that with PCIe cards in the laptop form factor sadly without, I don't know, a saw.
gollark: There are a few gaming™ ones with socketed CPUs nowadays too.
gollark: Probably okay, there are ARM server platforms, Raspberry Pis now use PCIe for their USB/Ethernet, some SBCs can use NVMe disks, etc.
This article is issued from Archlinux. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.