Linux主目录管理即将发生重大变化

当systemd在2010年发布时，围绕着在Linux中启动服务的方式的变化，出现了一场尖酸刻薄的风暴。新机制被吹捧为过于臃肿和过于复杂而无用。从那以后，所有的企业Linux发行版都采用了systemd，大多数桌面发行版也都采用了systemd。

对于那些不熟悉systemd的人来说，它可以初始化Linux平台上的所有系统。任何在数据中心中管理Linux的人都应该非常熟悉这个系统。通过为设备管理、用户登录、网络连接和事件日志记录提供所有必要的控制和守护进程，systemd简化了资源初始化和管理——所有这些都从一个入口点开始(systemctl)。在systemd之前，每个系统和资源都是由自己的工具管理的，这是笨拙和低效的。现在?在Linux上控制和管理系统非常简单。

但是创作者之一Leannart Poettering一直认为systemd是不完整的。随着systemd 245即将发布，Poettering将使他的系统更接近完成。这一步是回家的路。

在深入研究homed之前，我们先看一下/home目录。这是Linux文件系统层次结构中的一个关键目录，因为它包含所有用户数据和配置。对于某些管理员来说，这个目录非常重要，它通常被放在一个独立的分区或驱动器上，而不是操作系统上。这样做，即使操作系统崩溃，用户数据也是安全的。

但是，在操作系统中处理/home的方式使迁移/home目录变得不那么容易。为什么?在systemd的当前迭代中，用户信息(如ID、全名、主目录和shell)存储在/etc/passwd中，与该用户关联的密码存储在/etc/ shadow中。任何人都可以查看/etc/passwd文件，而/etc/shadow只能由具有admin或sudo特权的人查看。

/etc/passwd和/etc/shadow文件的工作原理很简单:

在登录过程中，系统根据/etc/ shadow.com验证登录尝试。

如果登录成功，系统将读取/etc/passwd条目，以便用户定位用户的主目录。

因此，对于简单的登录操作，需要三种机制(systemd、/etc/shadow、/etc/passwd)。这是低效的，诗人决定做一个巨大的改变。这一变化是必然的。使用homed，所有信息都将放在每个用户的加密签名JSON记录中。该记录将包含所有用户信息，如用户名、组成员和密码散列。

每个用户主目录将作为luks加密的容器链接，加密直接耦合到用户登录。一旦systemd-homed检测到用户已经登录，相关的主目录就会被解密。一旦用户注销，主目录就会自动加密。

除了大大改进的安全性之外，systemd-homed还将最终启用一个真正可移植的主目录。因为/home目录将不再依赖于systemd、/etc/passwd和/etc/shadow的三元组，用户和管理员将能够轻松地迁移/home中的目录。假设能够将您的/home/USER(其中USER是您的用户名)目录移动到便携式闪存驱动器上，并在任何使用systemd-homed的系统上使用它。您可以轻松地在home和work之间或公司内部的系统之间传输/home/USER目录。

这不仅适用于用户文件，还适用于个人设置、首选项甚至身份验证信息。

这是通过使用JSON用户记录来确认用户身份实现的。具体如何工作取决于用于存储/访问用户主目录的机制。这样的机制包括:

Btrfs

fscrypt

CIFS

卢克斯

据Poettering说，LUKS是最先进和最安全的系统。使用LUKS，加密的卷存储在可移动设备或环回文件中。LUKS卷包含一个以用户命名的目录，该目录将成为用户的主目录，并包含存储在LUKS头中的用户记录的副本。当用户成功进行身份验证时，systemd-homed解锁LUKS卷，并将存储在LUKS头中的记录与存储在./identity文件夹中的记录进行比较。如果记录和加密密钥匹配，就会挂载该目录并允许用户访问。

与当前创建用户的过程(使用useradd或adduser命令)不同，systemd-homed将依赖于它自己的创建用户的过程。幸运的是，这个过程并不会非常复杂。

事实上，就像许多与systemd相关的子系统一样，systemd-homed也有自己的控制命令:

因此，要创建一个新用户，命令应该如下所示:

用户名是用户名，实名是用户的名和姓。

使用homectl命令，您还可以:

激活一个或多个主目录

更改特定主目录/用户帐户上的密码

调整分配给主目录的磁盘空间量

临时锁定一个主目录

列出所有主目录

当然，如此重大的变化也有值得注意的地方。在system -homed的情况下，这个警告是通过SSH提供的。如果在用户成功登录之前对系统主目录进行了加密，那么用户如何能够使用SSH登录到远程计算机?最大的问题是. SSH目录(其中SSH存储known_hosts和authorized_keys)在用户的主目录被加密时是不可访问的。诗人当然知道这个缺点。到目前为止，使用systemd-homed完成的所有工作都是使用标准的身份验证过程。可以肯定，Poettering会提出一个考虑SSH的解决方案。

如果Poettering不能为SSH难题开发一个解决方案，那么system -homed将被降级到桌面和笔记本发行版，而服务器则被排除在外。我无法想象它能和systemd团队一起飞行。

目前，systemd 245仍然处于RC2状态。您可以从systemd GitHub页面下载源代码，但是要知道，安装过程可能比您想象的要复杂得多。不过，好消息是systemd 245应该在今年(2020年)的某个时候发布。当发生这种情况时，请准备更改管理用户及其主目录的方式。