Linux-Konto sicher auf mehreren Linux-Systemen nutzen

Per USB-Stick nimmt man die Arbeitsumgebung auf ein anderes Linux-System mit. Daten schützt Systemd dank Verschlüsselung, aber es bricht mit Unix-Gewohnheiten.

Lesezeit: 13 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 74 Beiträge

(Bild: Timo Lenzen)

Von
  • David Wolski
Inhaltsverzeichnis

Nicht weniger als die Neuerfindung der Home-Verzeichnisse versprach Systemd-Entwickler Lennart Poettering bei der Vorstellung von Systemd-Homed. Er wolle Benutzerverzeichnisse ins 21. Jahrhundert holen, sagte Poettering auf der FOSDEM-Konferenz Anfang 2020. Diese neue, optionale Systemd-Komponente macht Benutzerverzeichnisse transportabel. Der Home-Ordner lässt sich als Container zwischen verschiedenen Computern transportieren, beispielsweise auf einem USB-Stick. So kann man einfach auf jedem Linux-PC mit der vertrauten Umgebung weiterarbeiten.

Der Container enthält alle Daten des Nutzers, also auch Benutzernamen und Passwort-Hashes, die Unix-Systeme bisher meist im Verzeichnis /etc verwalten. Die Daten liegen in einer verschlüsselten Containerdatei, die der Nutzer mit seinem Login-Passwort entsperrt. Per Vorgabe verwendet Homed ein Loopback-Image mit separatem Dateisystem und einer LUKS2-Verschlüsselung, das Systemd bei der Anmeldung unterhalb von /home einhängt. Möglich sind auch Btrfs-Subvolumes, die Dateisystemverschlüsselung von Ext4 oder eine Netzwerkfreigabe über SMB.

Linux-Ratgeber:

Möchte man auf einem anderen Linux-System weiterarbeiten, nimmt man das Home-Verzeichnis zu diesem Rechner mit, beispielsweise mit einem USB-Stick oder per Netzlaufwerk. Der dort entsprechend konfigurierte Systemd-Dienst entschlüsselt die Containerdatei nach der Anmeldung und hängt sie als Home-Verzeichnis ein. Damit dies funktioniert, wendet sich Systemd-Homed von der traditionellen Benutzerverwaltung über die Dateien /etc/passwd, /etc/shadow und /etc/group ab. Benutzer identifiziert Systemd-Homed stattdessen über ein User Record im Home-Container. Die Daten im User Record sind von Systemd-Homed kryptografisch signiert und so gegen Manipulation geschützt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, MIT Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich ab 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+