「Systemd-homed」の版間の差分
(→インストール: 同期) |
(→ユーティリティ: 同期) |
||
24行目: | 24行目: | ||
== ユーティリティ == |
== ユーティリティ == |
||
− | === homectl === |
+ | === homectl === |
− | homectl |
+ | ''homectl'' は、homed で使用する主なユーティリティです。このユーティリティを使えば、ユーザ、ホームディレクトリ、{{man|8|systemd-homed}} サービスによって管理されている {{ic|~/.identity}} ファイルを作成、更新、調査することができます。 |
+ | ''homectl'' の最も単純な使用例は: |
||
− | [https://systemd.io/UIDS-GIDS/ 60001–60513 の範囲で]空きの UID を使用して、'username' という名前のユーザーを作成 (同じ名前のグループを作成して GID と UID を同じにして ''username'' をグループのメンバーに設定し、デフォルトシェルを {{ic|/bin/bash}} に設定): |
||
− | # homectl create username |
+ | # homectl create ''username'' |
+ | このコマンドはユーザを作成します。ユーザ名は ''username'' で、UID は [https://systemd.io/UIDS-GIDS/ 60001–60513 の範囲]で使用されていないものになります。さらに、同じ名前のグループを作成し、GID は先の UID と同じになり、作成したユーザはこのグループに追加されます。そして、ユーザのデフォルトシェルは {{ic|/bin/bash}} に設定されます。 |
||
− | 上記のコマンドでホームディレクトリのマウントポイントは {{ic|/home/''username''}} に設定されます。ストレージ方式は次の順番で選択されます: |
||
+ | ホームディレクトリのマウントポイントは {{ic|/home/''username''}} に設定されます。ストレージ方式は以下の順番で選択されます: |
||
− | # {{ic|luks}}: LUKS がサポートされている場合。 |
||
− | # {{ic|サブボリューム}}: LUKS がサポートされておらず、サブボリュームはサポートされている場合。 |
||
− | # {{ic|ディレクトリ}}: 上のいずれもサポートされておらず他のマニュアルのオプションでも指定されていない場合。 |
||
+ | # {{ic|luks}}: サポートされている場合。 |
||
− | '''LUKS''' のイメージパスは {{ic|/home/''username''.home}} に、'''ディレクトリ'''のディレクトリパスは {{ic|/home/''username''.homedir}} に設定されます。 |
||
+ | # {{ic|subvolume}}: LUKS がサポートされておらず、サブボリュームはサポートされている場合。 |
||
+ | # {{ic|directory}}: 上記のいずれもサポートされておらず、手動で他のオプションも指定されていない場合。 |
||
+ | LUKS 方式でのイメージのパスは、{{ic|/home/''username''.home}} に設定されます。ディレクトリ方式でのディレクトリのパスは、{{ic|/home/''username''.homedir}} に設定されます。 |
||
− | {{Note| '''homectl''' は systemd-homedが管理し該当する名前とユーザーの ID 以外には、グループの作成・削除を管理しません。古典的なツールを使ってください。}} |
||
+ | {{Note|''homectl'' は、systemd-homed によって管理されているユーザの名前と ID に一致するユーザ以外は、グループの作成や削除を管理しません。}} |
||
− | {{Warning|{{ic|~/.identity}} ファイルは署名されるためテキストエディタを使って直接編集してはありません。署名が破壊され不正なファイルとなってしまいます。編集するときは {{ic|1=homectl update --identity=/path/to/.identity}} を使ってください。}} |
||
+ | |||
+ | {{Warning|{{ic|~/.identity}} ファイルは署名されているため、テキストエディタを使って直接編集してはいけません。署名が破壊され不正なファイルとなってしまいます。編集するときは {{ic|1=homectl update --identity=/path/to/.identity}} を使ってください。}} |
||
=== userdbctl === |
=== userdbctl === |
||
− | 古典的な UNIX |
+ | 古典的な UNIX のユーザー管理機構と [[systemd-homed]] の両方によって提供されているユーザー、グループ、グループのメンバーを調査するためのクエリツール。 |
== ストレージ方式 == |
== ストレージ方式 == |
2022年10月16日 (日) 21:10時点における版
systemd-homed(8) は、現在のシステム構成に依存しないポータブルなユーザーアカウントを提供する systemd サービスです。
ポータビリティを実現するために、systemd-homed は全てのユーザー関連情報をストレージメディアに移動して、オプションで暗号化を行い、ユーザーに関する署名済み情報 (パスワードやユーザーが属するグループ、UID/GID、その他 /
に散在する情報) を含む ~/.identity
ファイルを作成します。
ポータブルなホームディレクトリを可能にするだけではなく、自動的にログイン時にホームディレクトリの暗号化を管理し、システムのサスペンド時にフォルダにロックすることでセキュリティも確保されます。
インストール
systemd-homed は systemd に含まれています。pambase パッケージのバージョン 20200721.1-2 以降には、systemd-homed のユーザーセッションで必要となる PAMの設定 が付属しています。
ただし、systemd-homed.service
を起動・有効化する必要があります。
ユーティリティ
homectl
homectl は、homed で使用する主なユーティリティです。このユーティリティを使えば、ユーザ、ホームディレクトリ、systemd-homed(8) サービスによって管理されている ~/.identity
ファイルを作成、更新、調査することができます。
homectl の最も単純な使用例は:
# homectl create username
このコマンドはユーザを作成します。ユーザ名は username で、UID は 60001–60513 の範囲で使用されていないものになります。さらに、同じ名前のグループを作成し、GID は先の UID と同じになり、作成したユーザはこのグループに追加されます。そして、ユーザのデフォルトシェルは /bin/bash
に設定されます。
ホームディレクトリのマウントポイントは /home/username
に設定されます。ストレージ方式は以下の順番で選択されます:
luks
: サポートされている場合。subvolume
: LUKS がサポートされておらず、サブボリュームはサポートされている場合。directory
: 上記のいずれもサポートされておらず、手動で他のオプションも指定されていない場合。
LUKS 方式でのイメージのパスは、/home/username.home
に設定されます。ディレクトリ方式でのディレクトリのパスは、/home/username.homedir
に設定されます。
userdbctl
古典的な UNIX のユーザー管理機構と systemd-homed の両方によって提供されているユーザー、グループ、グループのメンバーを調査するためのクエリツール。
ストレージ方式
LUKS ホームディレクトリ
ユーザーのホームディレクトリはループバックファイルあるいはリムーバルメディアの LUKS ボリューム内の Linux ファイルシステムに保存されます。この方式を使う際は --storage=luks
を homectl に指定してください。
リムーバルメディアを使う場合は以下の条件を満たす必要があります:
- イメージには GPT パーティションテーブルが必要です。現在のところ、そのパーティションひとつだけで、パーティションのタイプが
UUID 773f91ef-66d4-49b5-bd83-d683bf40ad16
である必要があります。また、パーティションのラベルがユーザーの名前でなくてはなりません。
- パーティションには LUKS2 ボリュームが必要で、ラベルがユーザー名と一致している必要があります。LUKS2 ボリュームには systemd-homed タイプの LUKS2 トークンフィールドが必要です。このトークンの JSON データには base64 でエンコードされたデータを含むレコードフィールドが必要です。このデータは JSON のユーザーレコードであり、
~/.identity
と同じようにシリアライゼーションされています。このトークンの JSON データには iv フィールドも必要で、暗号化のための base64 でエンコードされたバイナリ初期化ベクタを記述します。LUKS2 ボリュームが使用するのと同じ暗号化が使われ、同じボリュームキーで解錠されますが、自己の IV を使います。
- ファイルシステムにはユーザーと同じ名前のディレクトリが必要です。このディレクトリがログイン時にユーザーのホームディレクトリになります。他のストレージ方式と同じように
~/.identity
ファイルにユーザーレコードのコピーを保持します。
fscrypt ディレクトリ
上記の方法と同じようにユーザーのホームディレクトリが保存されますが、ファイルシステムネイティブの暗号化が使われます。この方式を使う場合は --storage=fscrypt
を homectl に指定してください。
ディレクトリまたは btrfs サブボリューム
ユーザーのホームディレクトリは /home/username.homedir
に保存され、ログイン時にバインドマウントを使って /home/username
にマウントされます。この方式では暗号化は行われません。 この方式を使う際は --storage=directory
または --storage=subvolume
を homectl に指定してください。
CIFS サーバー
この方式では、ホームディレクトリはログイン時に CIFS (Common Internet File System) サーバからマウントされます。この CIFS は Samba プロトコルによって実装されています。この方式を使う際は --storage=cifs
をhomectlに指定して下さい。また、ローカルパスワードが CIFS サービスへのログイン情報としても使われます。
ユーザーレコードの属性
ユーザーレコードを見るには次のようにします:
# homectl inspect username
また、変更、追加したい場合は次のようにします:
# homectl update username --property=VALUE
オプションの詳細は homectl(1) を参照してください。
ユーザー管理の例
ユーザーの作成
LUKS による暗号化を使ってユーザーを作成する:
# homectl create username --storage=luks
fscrypt を使ってユーザーを作成する (ただし、fscript が ファイルシステムで有効化 されているか気を付けてください):
# homectl create username --storage=fscrypt
UID とシェル、グループを指定してユーザーを作成する:
# homectl create username --shell=/bin/zsh --uid=60100 --member-of=wheel,adm,uucp
他のオプションは homectl(1) § USER RECORD PROPERTIES を参照してください。
ユーザーの削除
複数のユーザーを同時に削除することができます。次のコマンドを実行することで 2 ユーザーが即座に削除されます:
# homectl remove username username2
ヒントとテクニック
Forget key on suspend
The suspend
option can be used with pam_systemd_home.so
entries in the files in /etc/pam.d/
to enable forget key on suspend. No session manager at the moment supports this feature. Furthermore, TTY sessions do not support the reathentication mechanism. So, when session managers start supporting this feature, the suspend option should only be enabled for them. Read pam_systemd_home(8) and the Linux-PAM System Administrators' Guide for more details.
SSH remote unlocking
systemd-homed encrypts your home directory using your password, so SSH configured for public key authentication cannot mount it or read authorized_keys
. A possible solution is to add authorized keys to your user record and require both public key and password for authentication. Add the following to sshd_config
:
AuthenticationMethods publickey,password AuthorizedKeysCommand /usr/bin/userdbctl ssh-authorized-keys %u AuthorizedKeysCommandUser root
Make sure that you have not disabled password authentication:
#PasswordAuthentication yes
Update your user record with your authorized keys using:
# homectl update username --ssh-authorized-keys=@/path/to/.ssh/authorized_keys
From now on, SSH will ask you to enter your password after completing key-based authentication. systemd-homed will use it to unlock and mount your home directory.
Mounting encrypted home directory for rescue
If you need to mount a systemd-homed-encrypted directory from a rescue disk or another machine, you will need to decrypt the directory outside of the systemd-homed framework. You may wish to keep a text file or script of this solution from the forums on your rescue disk for emergencies:
# losetup -fP username.home # cryptsetup open /dev/loopXpY mappername # mount /dev/mapper/mappername /mnt/mountpoint
where,
username.home
is the file in the/home
directory with your username and the .home extension as its nameloopXpY
is the device in the/dev
directory with the loop number of the loopback device created in the prior step and the partition number of the relevant partition, probably/dev/loop0p1
mappername
is whatever alias you decide to adopt for the mapped device, e.g.user_oldhome
/mnt/mountpoint
is wherever you want to mount your decrypted home directory
トラブルシューティング
Plasma からログアウトした後も、ホームディレクトリはアクティブな状態
Plasma からログアウトした後、まだアクティブなユーザプロセス(例えば dbus-daemon)が残っていて、ホームディレクトリの非アクティブ化を妨げている可能性があります。
これは enabling Plasma's systemd startup によって解決することができます。
SDDM がユーザーをリストしない
こちらを参照してください: SDDM#ユーザーが greeter に表示されない