Das Systemd-Projekt hat in den vergangenen Jahren gehörig in der Linux-Welt umgerührt – und dabei auch den Aufbau der meisten Distributionen nachhaltig verändert. Nicht immer stößt man damit auf ungeteilte Begeisterung, und auch das neueste Unterfangen des Projekts wird sicher wieder so manchen Gegner auf den Plan rufen. Geht es dieses Mal doch darum, wie die Nutzerdaten gespeichert werden, berichtet das Linux Magazin.

Neuer Ansatz

Unter dem namen "systemd-homed" hat Lennart Poettering ein neues Projekt im Rahmen der "All Systems Go!"-Konferenz am Wochenende präsentiert. Dessen Ziel: Die Nutzerverzeichnisse unter Linux nicht nur vollständig portabel zu machen, sondern sie auch besser abzusichern. So soll es künftig etwa möglich sein, das eigene Home-Verzeichnisse einfach auf einem externen USB-Stick mitzunehmen und an einen anderen Rechner anzustecken – und in Kombination mit einem Linux-System umgehend Zugriff auf den eigenen Desktop zu haben.

Zudem soll das Unterfangen die Sicherheit verbessern. So soll es möglich sein, das Home-Verzeichnis komplett als verschlüsselte Datei zu speichern, die dann einfach eingebunden wird. Die Entschlüsselungs-Passphrase soll dabei auch gleich das Nutzerkennwort sein. Dieser Ansatz soll es zudem ermöglichen, dass das Home-Verzeichnis beim Suspend ausgehängt wird, wodurch die eigenen Daten besser geschützt werden.

Umsetzung

Um dieses Ziel zu erreichen, gilt es das Home-Verzeichnis komplett unabhängig vom restlichen System – und somit auch fixen Referenzen darauf – zu machen, wie der Systemd-Chefentwickler betont. Und das ist komplexer als es zunächst erscheint. So bekomme jeder Nutzer unter Linux eine eigene UID, die von Rechner zu Rechner variiert, und nicht eindeutig ist. Das kann natürlich zu Konflikten oder zu Berechtigungsproblemen führen. Dieses Problem umschifft man, indem in so einem Fall einfach die Berechtigungen der Nutzerdateien beim Einhängen angepasst werden. Um die Portabilität zu erreichen werden die Nutzerinformation verschlüsselt im Header der jeweiligen Partition abgespeichert, lediglich der Nutzername muss im Klartext abgelagert werden.

Neben der Nutzung von einem USB-Stick kann so eine verschlüsselte Datei natürlich auch auf einem Netzwerk-Share oder in einer regulären Partition liegen. Der gewählte Ansatz hat nicht zuletzt einen entscheidenen Sicherheitsvorteil, wie Poettering betont. Bisher ist es so, dass etwa ein auf einem System laufender Apache-Server vollen Zugriff auf das Nutzverzeichnis habe, das wäre mit systemd-homed nicht mehr der Fall.

Ausblick

Weitere Details zu dem Unterfangen lassen sich dem Video zum Vortrag von Poettering sowie den zugehörigen Slides entnehmen. Derzeit wird systemd-homed noch in einem privaten Git-Zweig entwickelt, das Projekt soll aber noch in diesem oder spätesten im darauf folgenden Entwicklungszyklus in den Hauptcode von Systemd einfließen – das wären dann die Versionen 244 oder 245 der Software. (Andreas Proschofsky, 25.9.2019)