LINUX.ORG.RU

Релиз systemd-homed - нового компонента systemd

 ,


1

1

Леннарт Поттеринг с радостью представляет вам свой новый проект под названием systemd-homed - новый компонент systemd, который призван упростить жизнь пользователей, дав им возможность легко переносить домашние каталоги. Главная фишка проекта - создание самодостаточного окружения для пользовательских данных и отделение домашних каталогов от системных настроек, что позволяет в конечном итоге получить монтируемый файл-образ с зашифрованными данными окружения, который можно быстро перенести и развернуть на любой системе.

Презентация проекта

Полное описание в PDF

>>> Подробности

быстро перенести и развернуть на любой системе.

Шляпа официально заявила, что все несогласные с ней дистры пора выкинуть.

anonymous ()

Если внимательно прочитать все что там написано то это фикция (я про динамический UID) во всем остальном ничего особенного нет и любой желающий и так это может реализовать уже сейчас.

Я даже больше скажу. У меня раньше была флешка LIVECD с оверврайтом, я ее таскал по разным компам, загружался с нее что то делал, а дом сохранялся на флешку. Т.е. таскал с собой всю систему на не только дом ;) Потому что одному юзеру нужно чтобы стоял либре-офисс а другому гимп и т.д. смысл таскать только дом никакого нет.

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

Ну, да, если переезжать, то список установленных пакетов нужен как ни крути. Не говоря уже про всякие /usr/local и /opt, установленные вручную.

kostyarin_ ()
Ответ на: комментарий от mx__

Потому что одному юзеру нужно чтобы стоял либре-офисс а другому гимп и т.д. смысл таскать только дом никакого нет.

Идея имела бы смысл, будь она предложена к реализации в guix/nix, но в текущем виде — поддерживаю, это бессмысленное усложнение системы, удобнее обходиться live-флешкой

anonymous ()
Ответ на: комментарий от anonymous

Будь пакетные менеджеры за редким исключением не импотентны, гораздо больше чего имело бы смысл, не только это.

t184256 ★★★★★ ()

Ага, «с радостью представляет»! — С нехорошей усмешкой он это делает.

который призван упростить жизнь пользователей, дав им возможность легко переносить домашние каталоги

Обычные пользователи итак не имеют с этим сложностей по причине полного отсутствия необходимости это делать))

Так что по факту мы видим еще одну ненужную_корпоративную_красношапочную_хрень, которую хотят пропихнуть в мейнстрим. И они это сделают, бугога.

anonymous ()

монтируемый файл-образ с зашифрованными данными окружения

чет я не понял, LUKS отменили что ли?

или это оно с человеческим лицом?

Rastafarra ★★★ ()
Ответ на: комментарий от anonymous

А можешь рассказать, зачем это шапке и ее клиентам? Правда интересно.

t184256 ★★★★★ ()

фак поэттэринг

anonymous ()
Ответ на: комментарий от Rastafarra

Это оно, но с кучей интеграции. Не очень только понятно зачем. Ну, то есть, я могу представить зачем одному кому-то это понадобилось, но массового спроса на это не вижу.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

ну почему, если будет галка «шифровать» при установке, типа как в маке --- почему нет.

Rastafarra ★★★ ()
Последнее исправление: Rastafarra (всего исправлений: 1)

А будет ли systemd-routed или systemd-bgpd? :)

ne-vlezay ★★★★★ ()

Чем это отличается от монтирования через fstab/crypttab

ne-vlezay ★★★★★ ()

а синхронизацю через облако IBM скоро запилят?

anonymous ()

windowsd всё ближе

anonymous ()
Ответ на: комментарий от t184256

Нет конечно, я же у них не работаю ;) Могу только предполагать, только кому нужны мои догадки. Но надеюсь нет сомнений, что это нужно именно шапке (и/или ее клиентам)?

anonymous ()
Ответ на: комментарий от mx__

У меня раньше была флешка LIVECD с оверврайтом, я ее таскал по разным компам, загружался с нее что то делал, а дом сохранялся на флешку.

Судя по описанию это явно не ваш случай. homed выглядит как средство для рабочих станций для компаний. Вместо того, чтобы каждая контора лепила своё решение из базовых компонентов, вроде luks, cifs и т.д. - делается готовая обёртка над ними, которую настроил и работает.

atrus ★★★★★ ()

Теперь ещё более не нужно?

AX ★★★★★ ()
Ответ на: комментарий от Rastafarra

это фактически обертка над LUKS. Также может использовать fscrypt, CIFS, или просто каталоги.

anonymous ()
Ответ на: комментарий от kostyarin_

Не говоря уже про всякие /usr/local и /opt, установленные вручную.

Нужный софт будет стоять в /home/что-то там. Смотри fedora-toolbox и flatpak с установкой в хомяк.

anonymous ()
Ответ на: комментарий от atrus

делается готовая обёртка над ними, которую настроил и работает

Работать ЭТО может только с большими оговорками и только в ряде специфических случаев. Так-то и пофиг, если бы оно было опциональным дополнительным компонентом. Но зная Леню и Ко.. хе-хе ;)

anonymous ()

Я смотрю, кто-то опять пытается переизобрести кусок NixOS?

quantum-troll ★★★★★ ()
Ответ на: комментарий от Rastafarra

или это оно с человеческим лицом?

оно с поттеровским лицом. то есть галку-то «сделать хорошо» тебе сделают, но при этом всплывут нестыковки, от которых станет только хуже. например, ты не сможешь удаленно зайти по ssh в свою новоиспеченную хоумдиру (она же зашифрована! единственное решение, которое видит потер - это дождаться, пока в openssh реализуют необходимые возможности). ну и т.д.

crypt ★★★★★ ()

как будто сейчас это трудно - создать пользователя и сделать симлинк на флешку

Rost ★★★★ ()
Ответ на: комментарий от anonymous

Допускать-то допускаю, но вот зачем - в толк не возьму.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Очень многие корпоративные сисадмины спрашивают меня, чем заменить AD. Но узнав, что в линуксе при использовании LDAP локальный рут всё равно имеет доступ к домашнему каталогу пользователя, тускнеют лицом.

В этой же системе домашний каталог зашифрован паролем с сервера каталогов, локальный рут при этом по-прежнему не ограничен.

Aceler ★★★★★ ()
Ответ на: комментарий от mx__

Если внимательно прочитать все что там написано то это фикция (я про динамический UID) во всем остальном ничего особенного нет и любой желающий и так это может реализовать уже сейчас.

как бы не совсем. если еще внимательнее посмотреть видео и подумать, всплывают вопросы. например, рассмотеим ситуацию с админом Васей, пользователем Петей и Аней.

в JSON-определении всего этого поттер-барахла зашит также user password hash, UID и членство в группах. Админ Вася, очевидно, не хочет, чтобы Петя самопроизвольно взял себе админа, членство в группах юзеру менять не положено, поэтому JSON-лапша подписывается Васиным админским ключем (уникальным для конкретной машины). А что будет, если Петя захочет сменить пароль? Опять разрешение админа требуется?

Что будет, когда Петя придет со своей флешкой в гости к Ане? Надо ее разрешение подключиться, да? для этого JSON-лапша должна быть подписана снова, так? Ну допустим Петя и Аня к утру решили этот вопрос, а Вася на них обиделся, обещал набить Пете морду за то, что тут ночует у Ани? Как он будет отзывать доступ к своей машине?

crypt ★★★★★ ()
Ответ на: комментарий от crypt

Расшифровку директории надо делать не в openssh, а в pam. Поскольку пароль хранится в другом месте, то в pam всё равно будет новый модуль. Так в чём проблема.

Aceler ★★★★★ ()
Ответ на: комментарий от Aceler

а ты видео посмотри и узнаешь. я-то знаю, где его надо делать, а вот поттер, похоже, нет...

crypt ★★★★★ ()
Ответ на: комментарий от crypt

Вполне очевидно, что будет некая система дистрибуции сертификатов, как она сделана в AD, а Петя не будет ночевать у Ани никогда, потому что эта система не для этого.

Aceler ★★★★★ ()
Ответ на: комментарий от Aceler

опять же посмотрим видео. почему это очевидно? откуда это следует?

crypt ★★★★★ ()
Ответ на: комментарий от Aceler

Петя не будет ночевать у Ани никогда

Да ну! Ещё как будет)

anonymous ()
Ответ на: комментарий от Rastafarra

ну почему, если будет галка «шифровать» при установке, типа как в маке --- почему нет.

не знаю, как сейчас, но лет 10 назад в Юбунте такая галка была

buratino ★★★★★ ()
Ответ на: комментарий от buratino

использовался ecryptfs. была галка. а я лично зарепортил баг о порче файлов, он был признан и закрыт спустя 2 года wouldn't fix, попробуйте новый релиз.

crypt ★★★★★ ()
Ответ на: комментарий от buratino

Была, да сплыла. Точнее изменился тип шифрования.

anonymous ()

интелэфэкс и альфа уже объяснили старперам и неосиляторам зачем это нужно?

leave ★★★★★ ()
Ответ на: комментарий от leave

нет, мы быстрее них регагируем, и эти треды рожаем. я вон все видео поттеринга посмотрел и уже давно жду, когда батл начнется.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от Aceler

… и все равно имеет доступ к домашнему каталогу пользователя, так что че-то мимо.

t184256 ★★★★★ ()
Ответ на: комментарий от anonymous

Нужный софт будет стоять в /home/что-то там. Смотри fedora-toolbox и flatpak с установкой в хомяк.

Нужен просто список пакетов, а не какой-то дополнительный гемор.

kostyarin_ ()
Ответ на: комментарий от Aceler

В этой же системе домашний каталог зашифрован паролем с сервера каталогов, локальный рут при этом по-прежнему не ограничен.

Что мешает этому локальному руту просто перехватить пароль, который будет вводить пользователь?

anonymous_incognito ★★★★★ ()
Ответ на: комментарий от atrus

Если Вы не в курсе то хомяк на рабочих станциях в корпоративной среде монтируется по нфс.

mx__ ★★★★★ ()
Ответ на: комментарий от Aceler

А где именно указано что профиль зашифрован паролем с сервера каталогов? И как сделать так что бы корпоративный администратор смог получить доступ к профилю?

anonymous ()
Ответ на: комментарий от Aceler

будет некая система дистрибуции сертификатов, как она сделана в AD

не будет. по крайне мере не задумана by design. соответственно вывод про Петю и Аню скорее всего тоже неверный.

почитай хотя бы ответы поттеринга здесь: https://www.reddit.com/r/linux/comments/d6w03y/systemdhomed_reinventing_home_...

это, как обычно, чудесно с инженерной точки зрения! тот случай, когда системный программист вырос из вебпрограммиста.

Q> The solution to SSH remote login is to not have it?

P> Homed is intended primarily for client machines, i.e. laptops and thus machines you typically ssh from a lot more than ssh to if you follow what i mean.

P> If the openssh folks add a way for us to enquire for the disk pw during login (т.е. как обычно, все должны переписать софт под systemd)

P> I mean systemd systems are supposed to be minimal and small and reimplementing everything all the time and heavily bloating systems that's a sysvinit thing not a systemd hing. Your are welcome.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)

Новый зонд по запросу спецслужб, чтобы было еще проще забирать информацию )

One ★★★ ()
Ответ на: комментарий от anonymous

Для чего этот список нужен?

Для отвязки от архитектуры, конечно же. Двигаешь такой на Tallos со своим хомяком. И тащишь с собой весь свой софт, который там не более чем груда байтов. Я уже не говорю про Стим, который вообще не должен никуда копироваться, а скачиваться заново под новый дистр и архитектуру. У меня в хомяке не так уж и много всего, а вот Стим занимает кучу места со своими играми. Просто прорву места.

kostyarin_ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.