Vlákno názorů k článku
systemd-homed pro práci s domovskými adresáři od David Heidelberg - systemd-homed mi dává smysl, poměrně pěkně řeší šifrování...

systemd-homed mi dává smysl, poměrně pěkně řeší šifrování (a nemyslím vtip s přenosným domovským adresářem na flashce, který zřejmě nikdo nebude používat - a nebo by alespoň neměl).

To čeho se bojím je implementace, zejména oprávnění k souborům, nedořešené integraci do takových "maličkostí" jako sshd. Dost jsem se začal bát Lennartových slov jako "tohle nikdo nepoužívá" u věcí, které občas používám a dávají mi (aktuálně, neříkám že nejdou řešit jinak) smysl.

Např. všude je zakázáno přihlášení roota skrz ssh. Řekněme, že se potřebuji do počítače přihlásit skrz ssh v momentě kdy je uzamčený (tedy /home/%user% je nepřístupný) a pro takovýhle případ bych si měl zařídit speciální non-systemd-homed účet s ssh klíčem? Takže zbytečný účet navíc, po přihlášení se budu muset navýšit oprávnění, přihlásit se jako daný uživatel a teprve poté můžu použít ssh? To zní nepromyšleně... a nebo se prostě zapnu přihlašování heslem skrz ssh.. Yay!

Přijde mi, že pro BFU to nebude mít žádný dopad, ale slušně to uživateli systemd-homed ořeže některou funkcionalitu, která by mohla být zahrnuta do návrhu.

To je snadno řešeno správnou konfigurací sshd. Máte-li šifrovaný home a odemkne se až po Vašem přihlášení, je samozřejmě nutné veřejný klíč, pomocí kterého Vás systém autentifikuje, umístit jinam. Se systemd nebo jinou implementací to nijak nesouvisí, je to přece obecný problém. K tomuto slouží AuthorizedKeys­File v sshd_config(5). Hodnota na mnou spravovaných serverech je .ssh/authorized_ke­ys /var/db/auth/au­thorized_keys - tedy tradiční chování a fallback na centrálně spravovaný keyfile.

Na přednášce na DevConfu zrovna tohle zmiňoval jako jednu z největších bolestí homed, včetně možných řešení (a toho, že ideální by byla přímo podpora v openssh, se kterou ovšem zatím vývojáři openssh nepočítají). Rozhodně netvrdil že to nikdo nepoužívá :)