LINUX.ORG.RU

Релиз systemd-homed - нового компонента systemd

 ,


1

1

Леннарт Поттеринг с радостью представляет вам свой новый проект под названием systemd-homed - новый компонент systemd, который призван упростить жизнь пользователей, дав им возможность легко переносить домашние каталоги. Главная фишка проекта - создание самодостаточного окружения для пользовательских данных и отделение домашних каталогов от системных настроек, что позволяет в конечном итоге получить монтируемый файл-образ с зашифрованными данными окружения, который можно быстро перенести и развернуть на любой системе.

Презентация проекта

Полное описание в PDF

>>> Подробности

быстро перенести и развернуть на любой системе.

Шляпа официально заявила, что все несогласные с ней дистры пора выкинуть.

anonymous ()

Если внимательно прочитать все что там написано то это фикция (я про динамический UID) во всем остальном ничего особенного нет и любой желающий и так это может реализовать уже сейчас.

Я даже больше скажу. У меня раньше была флешка LIVECD с оверврайтом, я ее таскал по разным компам, загружался с нее что то делал, а дом сохранялся на флешку. Т.е. таскал с собой всю систему на не только дом ;) Потому что одному юзеру нужно чтобы стоял либре-офисс а другому гимп и т.д. смысл таскать только дом никакого нет.

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

Потому что одному юзеру нужно чтобы стоял либре-офисс а другому гимп и т.д. смысл таскать только дом никакого нет.

Идея имела бы смысл, будь она предложена к реализации в guix/nix, но в текущем виде — поддерживаю, это бессмысленное усложнение системы, удобнее обходиться live-флешкой

anonymous ()

Ага, «с радостью представляет»! — С нехорошей усмешкой он это делает.

который призван упростить жизнь пользователей, дав им возможность легко переносить домашние каталоги

Обычные пользователи итак не имеют с этим сложностей по причине полного отсутствия необходимости это делать))

Так что по факту мы видим еще одну ненужную_корпоративную_красношапочную_хрень, которую хотят пропихнуть в мейнстрим. И они это сделают, бугога.

anonymous ()
Ответ на: комментарий от Rastafarra

Это оно, но с кучей интеграции. Не очень только понятно зачем. Ну, то есть, я могу представить зачем одному кому-то это понадобилось, но массового спроса на это не вижу.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Нет конечно, я же у них не работаю ;) Могу только предполагать, только кому нужны мои догадки. Но надеюсь нет сомнений, что это нужно именно шапке (и/или ее клиентам)?

anonymous ()
Ответ на: комментарий от mx__

У меня раньше была флешка LIVECD с оверврайтом, я ее таскал по разным компам, загружался с нее что то делал, а дом сохранялся на флешку.

Судя по описанию это явно не ваш случай. homed выглядит как средство для рабочих станций для компаний. Вместо того, чтобы каждая контора лепила своё решение из базовых компонентов, вроде luks, cifs и т.д. - делается готовая обёртка над ними, которую настроил и работает.

atrus ★★★★★ ()
Ответ на: комментарий от kostyarin_

Не говоря уже про всякие /usr/local и /opt, установленные вручную.

Нужный софт будет стоять в /home/что-то там. Смотри fedora-toolbox и flatpak с установкой в хомяк.

anonymous ()
Ответ на: комментарий от atrus

делается готовая обёртка над ними, которую настроил и работает

Работать ЭТО может только с большими оговорками и только в ряде специфических случаев. Так-то и пофиг, если бы оно было опциональным дополнительным компонентом. Но зная Леню и Ко.. хе-хе ;)

anonymous ()
Ответ на: комментарий от Rastafarra

или это оно с человеческим лицом?

оно с поттеровским лицом. то есть галку-то «сделать хорошо» тебе сделают, но при этом всплывут нестыковки, от которых станет только хуже. например, ты не сможешь удаленно зайти по ssh в свою новоиспеченную хоумдиру (она же зашифрована! единственное решение, которое видит потер - это дождаться, пока в openssh реализуют необходимые возможности). ну и т.д.

crypt ★★★★★ ()
Ответ на: комментарий от t184256

Очень многие корпоративные сисадмины спрашивают меня, чем заменить AD. Но узнав, что в линуксе при использовании LDAP локальный рут всё равно имеет доступ к домашнему каталогу пользователя, тускнеют лицом.

В этой же системе домашний каталог зашифрован паролем с сервера каталогов, локальный рут при этом по-прежнему не ограничен.

Aceler ★★★★★ ()
Ответ на: комментарий от mx__

Если внимательно прочитать все что там написано то это фикция (я про динамический UID) во всем остальном ничего особенного нет и любой желающий и так это может реализовать уже сейчас.

как бы не совсем. если еще внимательнее посмотреть видео и подумать, всплывают вопросы. например, рассмотеим ситуацию с админом Васей, пользователем Петей и Аней.

в JSON-определении всего этого поттер-барахла зашит также user password hash, UID и членство в группах. Админ Вася, очевидно, не хочет, чтобы Петя самопроизвольно взял себе админа, членство в группах юзеру менять не положено, поэтому JSON-лапша подписывается Васиным админским ключем (уникальным для конкретной машины). А что будет, если Петя захочет сменить пароль? Опять разрешение админа требуется?

Что будет, когда Петя придет со своей флешкой в гости к Ане? Надо ее разрешение подключиться, да? для этого JSON-лапша должна быть подписана снова, так? Ну допустим Петя и Аня к утру решили этот вопрос, а Вася на них обиделся, обещал набить Пете морду за то, что тут ночует у Ани? Как он будет отзывать доступ к своей машине?

crypt ★★★★★ ()
Ответ на: комментарий от crypt

Расшифровку директории надо делать не в openssh, а в pam. Поскольку пароль хранится в другом месте, то в pam всё равно будет новый модуль. Так в чём проблема.

Aceler ★★★★★ ()
Ответ на: комментарий от crypt

Вполне очевидно, что будет некая система дистрибуции сертификатов, как она сделана в AD, а Петя не будет ночевать у Ани никогда, потому что эта система не для этого.

Aceler ★★★★★ ()
Ответ на: комментарий от Aceler

В этой же системе домашний каталог зашифрован паролем с сервера каталогов, локальный рут при этом по-прежнему не ограничен.

Что мешает этому локальному руту просто перехватить пароль, который будет вводить пользователь?

anonymous_incognito ★★★★★ ()
Ответ на: комментарий от Aceler

А где именно указано что профиль зашифрован паролем с сервера каталогов? И как сделать так что бы корпоративный администратор смог получить доступ к профилю?

anonymous ()
Ответ на: комментарий от Aceler

будет некая система дистрибуции сертификатов, как она сделана в AD

не будет. по крайне мере не задумана by design. соответственно вывод про Петю и Аню скорее всего тоже неверный.

почитай хотя бы ответы поттеринга здесь: https://www.reddit.com/r/linux/comments/d6w03y/systemdhomed_reinventing_home_...

это, как обычно, чудесно с инженерной точки зрения! тот случай, когда системный программист вырос из вебпрограммиста.

Q> The solution to SSH remote login is to not have it?

P> Homed is intended primarily for client machines, i.e. laptops and thus machines you typically ssh from a lot more than ssh to if you follow what i mean.

P> If the openssh folks add a way for us to enquire for the disk pw during login (т.е. как обычно, все должны переписать софт под systemd)

P> I mean systemd systems are supposed to be minimal and small and reimplementing everything all the time and heavily bloating systems that's a sysvinit thing not a systemd hing. Your are welcome.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от anonymous

Для чего этот список нужен?

Для отвязки от архитектуры, конечно же. Двигаешь такой на Tallos со своим хомяком. И тащишь с собой весь свой софт, который там не более чем груда байтов. Я уже не говорю про Стим, который вообще не должен никуда копироваться, а скачиваться заново под новый дистр и архитектуру. У меня в хомяке не так уж и много всего, а вот Стим занимает кучу места со своими играми. Просто прорву места.

kostyarin_ ()