LINUX.ORG.RU

Релиз systemd-homed - нового компонента systemd

 ,


1

1

Леннарт Поттеринг с радостью представляет вам свой новый проект под названием systemd-homed - новый компонент systemd, который призван упростить жизнь пользователей, дав им возможность легко переносить домашние каталоги. Главная фишка проекта - создание самодостаточного окружения для пользовательских данных и отделение домашних каталогов от системных настроек, что позволяет в конечном итоге получить монтируемый файл-образ с зашифрованными данными окружения, который можно быстро перенести и развернуть на любой системе.

Презентация проекта

Полное описание в PDF

>>> Подробности

Ответ на: комментарий от VarfolomeyKote4ka

Я тебя сильно огорчу, но она сначала ждет, потом начинает играть в игру, «а давай я тебе под руку кнопочку подсуну „перезагрузить“», чтобы пользователь случайно ее нажал, а в итоге прям весело бежит обновляться безо всяких кнопок. Это я сам видел, когда у самого процесс 3д печати посредине встал, потому что вендувс ушел на обновление...

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

«Хоть какое-то, хехе.»

Вот это верно.

Что касается всего остального то настроить политику обновлений и прочий фрод пока не удалось. Потому что или система задалбывает и рушится под обновлениями или портится/рушится от попыток отключить ненужное.

За десятилетия разработки Микрософт удалось сделать систему по настоящему бесперспективной. Это просто не жилец без клетки виртуальной машины.

AVL2 ★★★★★ ()
Последнее исправление: AVL2 (всего исправлений: 1)
Ответ на: комментарий от devzero

у меня есть теория насчет этих кругов, что индустрия определяется ведущими игроками. помнишь, когда появился гном3? когда вышла windows 8. когда вышла windows 10, сайты стали массово редизайниться под плоский интерфейс с характерными небесно-синими кнопками и т.д. и т.п.

логика здесь та же самая. чтобы быть популярным, надо предлагать то, что люди любят, а они любят то, что кажется им привычным.

RedHat, очевидно, точно также ходит на поводу. У кого-то появилась новая шняжка? Надо такую же! RHEL вообще никаким боком к планшетам не относится, но новую анаконду сделали с кнопками по углам. Зачем?!

Но я никак не могу понять, кто такой ЛП. Он с одной стороны явно релизится вне планов RH (отдельные фичи, как его networkd, не подхвачены командов в RH), но с другой стороны все ему сходит с руки и все его барахло по большому счету затаскивается на борт EL.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от devzero

В чем проблема с динамическими uid-ами? Каждого пользователя засунуть в свою cgroup а там маппинг uid-ов уже давно есть. Даже код в systemd написан давно для этой дичи.

maloi ★★★★★ ()

Вопрос к гентушникам: Насколько эффективно в генту реализована защита от поттеринга и редхата? Стоит ли заморачиваться с ней?

anonymous ()
Ответ на: комментарий от VarfolomeyKote4ka

ну чо ты гонишь?

винда 10-ка живет 1.5 года... все... дальше ты без поддержки...

ну а если ты на хомяке - у тебя два раза в год праздник. Мелкомягкие недавно смилостивились - дали возможность и на хомяк-версиях 30 дней откладывать праздник...

и да... винда конечно «не перезагружалась сама»... она просто выдает табличку «я ща хочу перегрузиться... три, два, один...»

если не успел нажать «подожди», она и перегрузится... сама!

anonymous ()
Ответ на: комментарий от anonymous

более того, придешь на комп с более старой системдей чем была, ткнул свою флешку, а тебе фиг-вам...

Эта проблема легко решается с помощью systemd-updated, который принудительно обновляет систему по ночам.

Заодно количество тем на реддитах «windows 10 updated again, im switching to linux reeeee» сократится и останутся только истинные илитарии, свичнувшиеся на линукс по реальным причинам

Midael ★★★★★ ()
Последнее исправление: Midael (всего исправлений: 1)

Ну такое...

Задача, которую он сейчас решает, сама по себе странная. У кого-нибудь когда-нибудь возникало желание носить свою домашнюю директорию на USB-флешке отдельно от всего остального? Ни у себя, ни у знакомых, я такого странного позыва не наблюдаю. И какой смысл в файлах без программ для их открытия? Или программы тоже носить с собой в виде snap'ов (или что там на Fedora вместо него)? Если с программами, то это не сильно отличается от загрузочной флешки. Единственное преимущество - драйвера. Втыкаешь в чужой комп, а оборудование там уже настроено.

Может быть вся эта супер технология это задел для корпоративной среды? Быстро мигрировать менеджеров на новые компы? Но ведь это уже сейчас как-то решается. Монтирование /home по сети, например. Есть тут кто сисадмин большой сети на Linux, где сотни пользователей?

Не очень понятен, его упор на LUKS при выборе шифрования. Хотя поддержка других вариантов и заявлена, я так понял, LUKS будет дефолтным вариантом. Чем не угодил eCryptfs, например? Получаются же дополнительные накладные расходы из-за того, что файловая система поверх файловой системы. Плюс всякие TRIM на SSD работать не будут, что опять же удар по производительности. И бекапить надо будет не только то, что изменилось, а один жирный файл копировать?

С SSH он здорово проблему решил: «Мы не дадим вам подключиться удалённо, пока вы не вошли локально». Супер просто! Если у меня комп глюканёт, перезагрузится, это мне надо сбегать к нему, зайти локально, чтобы потом вернуться обратно и зайти удалённо? Ну и всегда помнить о локальном логине отходя от компа. Сейчас, например, у меня комп дома включён и я могу откуда угодно на него зайти, когда надо. А на прошлой работе я так на рабочий ходил в те дни, когда не в офисе. Писал в общий чат: «Эй, кто там есть на месте, ключите мой комп». Отсюда вывод относящийся к предыдущему пункту: в общем случае шифровать надо пофайлово, а не разделом.

А также с UID отличное решение! Делать chown при логине? У меня вот в домашней директории «617 633 items, totalling 157,5 GB». Простой проход по ним (если для /home посмотреть свойства) занимает заметное время. Нормальным решением был бы модуль ядра, способный делать отображение одних UID/GID на другие. Может быть в виде опции монтирования для какой-нибудь overlayfs. Хоть для ядра я никогда ничего не писал, но уверен, что замена одного числа указанного в параметрах монтирования на другое число из тех же параметров будет в пределах 100 строчек (со всей дополнительной лабудой, вроде регистрации модуля и т.п.). Кстати, такая вещь была бы очень полезна для всяких контейнеров, чтобы внутрь их быстро и удобно ходить, в случаях когда UID/GID внутри отличные от системных. На данный момент знаю решение под названием Bindfs, но оно через FUSE работает.

Почему JSON и, особенно, Varlink? Логи бинарные (в systemd же такие, да?), а базу данных текстовую... Странно. И Varlink у которого не указывается длина сообщения, а оно заканчивается на NUL. Привет строкам из С, благодаря которым есть миллионы и миллиарды уязвимостей. Если уж уходить от старых потёртых решений (текстовых файлов passwd, shadow и т.п.), почему бы не взять нормальный бинарный формат? И он же говорил, что нужна возможность хранить любые данные в БД пользователей. Как тут картинку хранить, в base64? Пользователю же нужно поставить на аватарку любимого кота! В домашнюю директорию нельзя положить эту картинку, т.к. она зашифрована, проблема яйца и курицы и всё такое!

ls-h ★★★ ()
Ответ на: комментарий от jackill

Сама концепция противоречива

Надо было комменты почитать перед написанием на форму, а то после просмотра слайдов, один в один изложил тоже, что и ты...

ls-h ★★★ ()
Ответ на: комментарий от vertexua

Я так понял что как раз пофиксят

Как раз нет! Посмотрел видео, он там явно говорит, что по ssh теперь подключиться нельзя, пока не произведён локальный вход.

ls-h ★★★ ()

Гениально! И как всегда отлично продумано (вплоть до интеграции с LDAP!) и удобно реализовано.

Всё-таки Леннарт не устаёт меня восхищать - чувак решает насущные проблемы (как раз недавно на новый лэптом мигрировал с матами), причём делает это основательно, тщательно продумывая дизайн, да ещё и реализует это всё технически изящно.

Побольше бы таких разработчиков - давно бы вендекапец настал.

zabbal ★★ ()
Ответ на: комментарий от mx__

любой желающий и так это может реализовать уже сейчас

Ага, только почему-то никто до сих пор не реализовал - все могут исключительно в теории.

смысл таскать только дом никакого нет

Тебе нет, а мне есть. И да, выучи уже наконец согласование предложений в русском языке - или грамотно писать ты тоже можешь «реализовать уже сейчас» только в теории?

zabbal ★★ ()
Ответ на: комментарий от crypt

ты не сможешь удаленно зайти по ssh

Ну ты-то может и не сможешь - я удивляюсь как ты дверь туалета без посторонней помощи открывать умудряешься.

единственное решение, которое видит потер - это дождаться, пока в openssh реализуют необходимые возможности

Ты настолько брехлив, что это просто жалко. Ну ладно ты решил солгать и приписать другому свои убогие технические фантазии. Но почему так скучно и уныло-то? Ну неужели ты ничего оригинальней придумать не смог?

Разумеется у всех нормальных людей логин хоть по ssh, хоть через serial console будет прекрасно работать. Как раз в 5.4 смерджили нужные патчи. Идиоты, разумеется, врать и ныть не прекратят: придумывать несуществующие проблемы и пытаться оболгать разработчиков это вам не код писать - тут много усилий не требуется.

zabbal ★★ ()
Ответ на: комментарий от Rost

как будто сейчас это трудно - создать пользователя и сделать симлинк на флешку

Да, трудно. Если бы ты хоть раз попробовал это сделать (ну или хотя бы почитал что-нибудь по основам файловых систем в юниксах) - понял бы почему.

zabbal ★★ ()
Ответ на: комментарий от zabbal

Гениально!

Вероятно, ты считаешь себя гениальным троллем. Но, на самом деле, ты понимаешь в этом вопросе ровно столько же, сколько Леннарт в архитектуре и программировании. Вы оба унылы.

anonymous ()
Ответ на: комментарий от buratino

не знаю, как сейчас, но лет 10 назад в Юбунте такая галка была

Поломали кхренам. Сказали - кто хочет, мигрируйте на недоделанный fscrypt, если сможете, а мы всё это поддерживать не осиливаем потому что у нас лапки. И вообще, не до вас с этой вашей дурацкой безопасностью - надо снова кнопки в заголовке туда-сюда переставить и ещё пару никому ненужных тем для гнома задизайнить. Все силы на смену обоев к релизу ушли - потому живите с регрессиями и новыми обоями.

zabbal ★★ ()
Ответ на: комментарий от CryNet

Ожидайте systemd-homed в вашем дистрибутиве уже со следующем обновлением. Ведь так?

К сожалению нет - дистры обычно тормозят 2-3 года, прежде чем новые фичи systemd осиливают. Какие-то больше, какие-то меньше. Тем не менее ждём с нетерпением - авось теперь убунты всякие не смогут так просто сломать шифрование домашних директорий из-за собственного неосиляторства.

zabbal ★★ ()
Ответ на: комментарий от devzero

Понять бы еще, ЧТО ИМЕННО пытается изобрести автор.

Презентацию тебе сделали, исходники дали, видео записали. Я прям не знаю ЧТО ЕЩЁ нужно, чтобы ты наконец-то попытался хоть что-то из этого понять. Ты читать не пробовал например?

zabbal ★★ ()
Ответ на: комментарий от devzero

В чем проблема?

Займёшься разработкой встроенных систем - поймёшь. Или погугли немного - это ведь не раз и не два обсуждалось. Ну или хотя-бы просто подумай немного - про точки монтирования и всё такое. Там же реально ничего сложного нет, догадаться можно приложив минимальные усилия.

zabbal ★★ ()
Ответ на: комментарий от VarfolomeyKote4ka

оно обновляет не спрашивая. Тупо выбрасывает такое окошко «и ага»(с). Давеча локальный комп допиливал (приходят на замену деплойнутые, но допиливать нужно всё равно), и аккурат во время установки банковской программы (которую и так-то без бубна не поставишь) вот такая хорень и выпала. И что? И всё - «ка колу мочало - начинай с начала».

Причём те обновы, что приходят с сервака центрально - да. Можно отложить (до выключения, максимум), а это вообще какие-то «мимо всего»: по тихому скачалось, по тихому поставилось и тут же поставило перед фактом. Дома кстати, когда тыкал палочкой «это», ни разу такого не было - только с разрешения. То ли везло, толи такая фича у них только для «корпоратов»

Ежели чо - у нас в сетке сотни две компов и ноутов. И ещё столько же «тонких» в 5 странах, соотвественно и ад, и эксчейнж, и файл сервера, и вообще всё, что может быть от нехороших. И даже целая цитриксовская ферма есть. И всё строго под офтопиком (пролоббировано) и с кучей Одминов как в «централе», так и на местах. Дык с этим «леваком» никто ничего сделать не может до сих пор.

Местный Одмин рассказывал, что такое случилось как-то даже во время ночной генерации отчётов - по утряне народ в «централе» с бэкапами бегал. Бухгалтерию спасал

XapoH ()
Ответ на: комментарий от XapoH

Дык с этим «леваком» никто ничего сделать не может до сих пор

у меня на работе выдали комп с этой 10 какахой... дак единственное что спасает от нее - у нее сломался механизм обновления - оно жалуется что у нее что-то не то... в браузере мне с сайта мелкомягких что-то пытается показать...

а я рад что оно поломалось :)))

вон на соседнем компе оно не поломалось, дак что-то после обновления с меню пуск случилось - не вызывается меню и панель не откликается на правый клик - прям как tint2 %) Запускают все с рабочего стола...

весело на это все смортеть со стороны :)))

очень рад, что не админ :)))

anonymous ()
Ответ на: комментарий от vertexua

Леннарту здоровья и спасибо за то что он срет на убогие Unix традиции, придуманные во времена черно-белого тв, апартеида и даже до MS DOS

В воскресенье не надо так напиваться, потом работать трудно будет. Давайте ещё дифференцирование куда-нибудь засунем, потому что создано в эпоху колониализма.

knovich ()
Ответ на: комментарий от intelfx

оверлейная ФС, подменяющая UID/GID, будет очевидным единственным правильным решением

Интересно почему это нужно именно на уровне ФС делать?

Например http://0pointer.net/blog/dynamic-users-with-systemd.html отлично манипулирует uid фактически ничего на диске не трогая. Может быть можно скомбинировать какие-то функции этого с https://www.freedesktop.org/software/systemd/man/systemd-mount.html чтобы просто маппить uid/gid из ФС с uid/gid текущего пользователя аналогично трасляции, используемой для непривилигерованных контейнеров?

zabbal ★★ ()

Скоро Ленька Потный форкнет ядро и появится операционная система Зонд-Д, рассчитанная на любителей анальных зондов, восхваляющих отдельные части вроде systemd… И будет им полное счастье, т.к. эта штука будет зондатей какой-нибудь гейОСи...

anonymous ()
Ответ на: комментарий от jackill

Мне все же интересно, что натолкнуло его на идею, что вот прямо основными бенефициарами этой хреноты будут пользователи ноутбуков? Где он видел их, таскающими дом на флешках? Ладно, а если я флешку вытащу, а потом случайно ноут включу, что будет? А если дома ее забуду - хана мне, да?

У меня есть подозрение, что в его мире пользователи лэптопов - это вообще все обычные пользователи компьютеров, кроме тех, кому нужны мощные рабочие станции. И намек тут не на флешки, а на облака.

Типа переходит от одного компа к другому и в любом месте - хомяк сразу после ввода логина/пароля.

praseodim ★★★★ ()
Ответ на: комментарий от ls-h

Посмотрел видео, он там явно говорит, что по ssh теперь подключиться нельзя, пока не произведён локальный вход.

Да он упоролся! Я вообще видео не смотрел, хватило описаний. Но даже не ожидал, что настолько все #@#$$#%$

praseodim ★★★★ ()