ProHoster > Blog > internet nuus > systemd stelselbestuurder vrystelling 250

systemd stelselbestuurder vrystelling 250

Na vyf maande van ontwikkeling is die vrystelling van die stelselbestuurder systemd 250 aangebied. Die nuwe weergawe het die vermoë om geloofsbriewe in geënkripteerde vorm te stoor, geïmplementeer verifikasie van outomaties opgespoorde GPT partisies met behulp van 'n digitale handtekening, verbeterde inligting oor die oorsake van vertragings. begindienste, en bygevoegde opsies om dienstoegang tot sekere lêerstelsels en netwerkkoppelvlakke te beperk, ondersteuning vir partisie-integriteitmonitering deur die dm-integrity-module te gebruik, word verskaf, en ondersteuning vir sd-boot outo-opdatering word bygevoeg.

Belangrikste veranderinge:

  • Bygevoeg ondersteuning vir geënkripteerde en geverifieerde geloofsbriewe, wat nuttig kan wees vir die veilige berging van sensitiewe materiaal soos SSL sleutels en toegang wagwoorde. Dekripsie van geloofsbriewe word slegs uitgevoer wanneer dit nodig is en in verband met die plaaslike installasie of toerusting. Data word outomaties geïnkripteer met behulp van simmetriese enkripsie-algoritmes, waarvan die sleutel in die lêerstelsel, in die TPM2-skyfie of met 'n kombinasieskema geleë kan wees. Wanneer die diens begin, word die geloofsbriewe outomaties gedekripteer en word dit in sy normale vorm vir die diens beskikbaar. Om met geënkripteerde geloofsbriewe te werk, is die 'systemd-creds'-nutsding bygevoeg, en die LoadCredentialEncrypted- en SetCredentialEncrypted-instellings is vir dienste voorgestel.
  • sd-stub, die EFI-uitvoerbare wat EFI-firmware toelaat om die Linux-kern te laai, ondersteun nou die selflaai van die kern met behulp van die LINUX_EFI_INITRD_MEDIA_GUID EFI-protokol. Ook by sd-stub gevoeg is die vermoë om geloofsbriewe en sysext-lêers in 'n cpio-argief te verpak en hierdie argief saam met die initrd na die kern oor te dra (bykomende lêers word in die /.extra/-gids geplaas). Hierdie kenmerk laat jou toe om 'n verifieerbare onveranderlike initrd-omgewing te gebruik, aangevul deur sysexts en geënkripteerde verifikasiedata.
  • Die Discoverable Partitions-spesifikasie is aansienlik uitgebrei, wat nutsmiddels verskaf vir die identifisering, montering en aktivering van stelselpartisies met behulp van GPT (GUID Partition Tables). In vergelyking met vorige vrystellings, ondersteun die spesifikasie nou die wortelpartisie en /usr-partisie vir die meeste argitekture, insluitend platforms wat nie UEFI gebruik nie.

    Ontdekbare partisies voeg ook ondersteuning by vir partisies waarvan die integriteit deur die dm-verity-module geverifieer word deur PKCS#7 digitale handtekeninge te gebruik, wat dit makliker maak om ten volle geverifieerde skyfbeelde te skep. Verifikasie-ondersteuning is geïntegreer in verskeie nutsprogramme wat skyfbeelde manipuleer, insluitend systemd-nspawn, systemd-sysext, systemd-dissect, RootImage-dienste, systemd-tmp-lêers en systemd-sysusers.

  • Vir eenhede wat lank neem om te begin of te stop, is dit, benewens die vertoon van 'n geanimeerde vorderingsbalk, moontlik om statusinligting te vertoon wat jou toelaat om te verstaan ​​wat presies met die diens op die oomblik gebeur en watter diens die stelselbestuurder is wag tans om te voltooi.
  • Het die DefaultOOMScoreAdjust-parameter by /etc/systemd/system.conf en /etc/systemd/user.conf gevoeg, wat jou toelaat om die OOM-killer-drempel vir lae geheue aan te pas, van toepassing op prosesse wat systemd vir die stelsel en gebruikers begin. By verstek is die gewig van stelseldienste hoër as dié van gebruikersdienste, m.a.w. Wanneer daar onvoldoende geheue is, is die waarskynlikheid van beëindiging van gebruikersdienste groter as dié van stelseldienste.
  • Het die RestrictFileSystems-instelling bygevoeg, wat jou toelaat om dienste se toegang tot sekere tipe lêerstelsels te beperk. Om die beskikbare lêerstelseltipes te sien, kan u die "systemd-analyze filesystems"-opdrag gebruik. Na analogie is die BeperkNetwerkInterfaces-opsie geïmplementeer, wat jou toelaat om toegang tot sekere netwerkkoppelvlakke te beperk. Die implementering is gebaseer op die BPF LSM-module, wat die toegang van 'n groep prosesse tot kernobjekte beperk.
  • Het 'n nuwe /etc/integritytab-konfigurasielêer en systemd-integritysetup-hulpmiddel bygevoeg wat die dm-integrity-module konfigureer om data-integriteit op sektorvlak te beheer, byvoorbeeld om die onveranderlikheid van geënkripteerde data te waarborg (Authenticated Encryption, verseker dat 'n datablok het nie op 'n rotonde gewysig is nie). Die formaat van die /etc/integritytab-lêer is soortgelyk aan die /etc/crypttab- en /etc/veritytab-lêers, behalwe dat dm-integrity in plaas van dm-crypt en dm-verity gebruik word.
  • 'n Nuwe eenheidlêer systemd-boot-update.service is bygevoeg, wanneer dit geaktiveer is en die sd-boot selflaaiprogram geïnstalleer is, sal systemd outomaties die weergawe van die sd-boot selflaaiprogram opdateer, wat die selflaaiprogramkode altyd op datum hou. sd-boot self is nou by verstek gebou met ondersteuning vir die SBAT (UEFI Secure Boot Advanced Targeting) meganisme, wat probleme oplos met sertifikaatherroeping vir UEFI Secure Boot. Daarbenewens bied sd-boot die vermoë om Microsoft Windows-opstartinstellings te ontleed om die name van opstartpartisies met Windows korrek te genereer en die Windows-weergawe te vertoon.

    sd-boot bied ook die vermoë om 'n kleurskema te definieer tydens boutyd. Tydens die opstartproses het ondersteuning bygevoeg om die skermresolusie te verander deur die "r"-sleutel te druk. Sneltoets "f" bygevoeg om na die firmware-konfigurasie-koppelvlak te gaan. Het 'n modus bygevoeg om die stelsel outomaties te begin wat ooreenstem met die kieslys-item wat tydens die laaste selflaai gekies is. Bygevoeg die vermoë om outomaties EFI bestuurders te laai geleë in die /EFI/systemd/drivers/ gids in die ESP (EFI System Partition) afdeling.

  • 'n Nuwe eenheidlêer factory-reset.target is ingesluit, wat in systemd-login verwerk word op 'n soortgelyke manier as die herlaai, afskakel, opskort en hiberneer bewerkings, en word gebruik om hanteerders te skep om 'n fabriekterugstelling uit te voer.
  • Die sisteem-opgeloste proses skep nou 'n bykomende luistersok by 127.0.0.54 bykomend tot 127.0.0.53. Versoeke wat by 127.0.0.54 aankom, word altyd na 'n stroomop DNS-bediener herlei en word nie plaaslik verwerk nie.
  • Met die vermoë om systemd-importd en systemd-resolved te bou met die OpenSSL-biblioteek in plaas van libgcrypt.
  • Aanvanklike ondersteuning bygevoeg vir die LoongArch-argitektuur wat in Loongson-verwerkers gebruik word.
  • systemd-gpt-auto-generator bied die vermoë om stelselgedefinieerde ruilpartisies outomaties op te stel wat deur die LUKS2-substelsel geïnkripteer is.
  • Die GPT-beeldontledingskode wat in systemd-nspawn, systemd-dissect en soortgelyke nutsprogramme gebruik word, implementeer die vermoë om beelde vir ander argitekture te dekodeer, sodat systemd-nspawn gebruik kan word om beelde op emulators van ander argitekture uit te voer.
  • Wanneer skyfbeelde inspekteer word, vertoon systemd-dissect nou inligting oor die doel van die partisie, soos geskiktheid vir selflaai via UEFI of hardloop in 'n houer.
  • Die “SYSEXT_SCOPE”-veld is by die system-extension.d/-lêers gevoeg, wat jou toelaat om die omvang van die stelselbeeld aan te dui - “initrd”, “system” of “portable”.
  • 'n "PORTABLE_PREFIXES"-veld is by die os-vrystellinglêer gevoeg, wat in draagbare beelde gebruik kan word om gesteunde eenheidlêervoorvoegsels te bepaal.
  • systemd-logind stel nuwe instellings bekend. HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress en HandleHibernateKeyLongPress, wat gebruik kan word om te bepaal wat gebeur wanneer sekere sleutels vir meer as 5 sekondes ingehou word (byvoorbeeld, om die Suspend-sleutel in stand-by te druk, kan gekonfigureer word , en wanneer dit ingehou word, sal dit gaan slaap).
  • Vir eenhede word die StartupAllowedCPU's en StartupAllowedMemoryNodes-instellings geïmplementeer, wat verskil van soortgelyke instellings sonder die Startup-voorvoegsel deurdat hulle slegs by die selflaai- en afskakelstadium toegepas word, wat jou toelaat om ander hulpbronbeperkings tydens selflaai te stel.
  • Bygevoeg [Toestand|Bevestig][Geheue|CPU|IO]Drukkontroles wat toelaat dat eenheidaktivering oorgeslaan of misluk word as die PSI-meganisme 'n swaar las op geheue, SVE en I/O in die stelsel bespeur.
  • Die verstek maksimum inode limiet is verhoog vir die /dev partisie van 64k na 1M, en vir die /tmp partisie van 400k na 1M.
  • 'n ExecSearchPath-instelling is vir dienste voorgestel, wat dit moontlik maak om die pad te verander vir die soek na uitvoerbare lêers wat deur instellings soos ExecStart geloods is.
  • Het die RuntimeRandomizedExtraSec-instelling bygevoeg, wat jou toelaat om ewekansige afwykings in die RuntimeMaxSec-timeout in te voer, wat die uitvoeringstyd van 'n eenheid beperk.
  • Die sintaksis van die RuntimeDirectory-, StateDirectory-, CacheDirectory- en LogsDirectory-instellings is uitgebrei, waarin jy nou die skep van 'n simboliese skakel na 'n gegewe gids kan organiseer om toegang langs verskeie paaie te organiseer, deur 'n bykomende waarde geskei deur 'n dubbelpunt te spesifiseer.
  • Vir dienste word TTYRows- en TTYColumns-instellings aangebied om die aantal rye en kolomme in die TTY-toestel te stel.
  • Het die ExitType-instelling bygevoeg, wat jou toelaat om die logika vir die bepaling van die einde van 'n diens te verander. By verstek monitor systemd net die dood van die hoofproses, maar as ExitType=cgroup ingestel is, sal die stelselbestuurder wag vir die laaste proses in die cgroup om te voltooi.
  • systemd-cryptsetup se implementering van TPM2/FIDO2/PKCS11-ondersteuning is nou ook gebou as 'n cryptsetup-inprop, waardeur die normale cryptsetup-opdrag gebruik kan word om 'n geënkripteerde partisie te ontsluit.
  • Die TPM2-hanteerder in systemd-cryptsetup/systemd-cryptsetup voeg ondersteuning by vir RSA primêre sleutels bykomend tot ECC-sleutels om verenigbaarheid met nie-ECC-skyfies te verbeter.
  • Die token-timeout-opsie is bygevoeg by /etc/crypttab, wat jou toelaat om die maksimum tyd te definieer om vir 'n PKCS#11/FIDO2-tokenverbinding te wag, waarna jy gevra sal word om 'n wagwoord of herstelsleutel in te voer.
  • systemd-timesyncd implementeer die SaveIntervalSec-instelling, wat jou toelaat om die huidige stelseltyd van tyd tot tyd op skyf te stoor, byvoorbeeld om 'n monotoniese horlosie op stelsels sonder 'n RTC te implementeer.
  • Opsies is by die systemd-analyze-hulpmiddel gevoeg: "--image" en "--root" vir die nagaan van eenheidlêers binne 'n gegewe beeld of wortelgids, "--rekursiewe-foute" om afhanklike eenhede in ag te neem wanneer 'n fout bespeur word, "--vanlyn" om afsonderlik eenheidlêers wat op skyf gestoor is na te gaan, "—json" vir uitvoer in JSON-formaat, "—stil" om onbelangrike boodskappe te deaktiveer, "—profiel" om aan 'n draagbare profiel te bind. Ook bygevoeg is die inspekteer-elf-opdrag vir die ontleding van kernlêers in ELF-formaat en die vermoë om eenheidlêers met 'n gegewe eenheidnaam na te gaan, ongeag of hierdie naam by die lêernaam pas.
  • systemd-networkd het ondersteuning vir die Controller Area Network (CAN)-bus uitgebrei. Bygevoeg instellings om CAN-modusse te beheer: Loopback, OneShot, PresumeAck en ClassicDataLengthCode. Bygevoeg TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 en DataSyncJumpWidth-opsies na die [CAN-interface]-lêers se kontrole-bis-netwerk-lêers.
  • Systemd-networkd het 'n etiketopsie vir die DHCPv4-kliënt bygevoeg, wat jou toelaat om die adresetiket wat gebruik word wanneer IPv4-adresse opgestel word, op te stel.
  • systemd-udevd vir "ethtool" implementeer ondersteuning vir spesiale "max" waardes wat die buffergrootte stel op die maksimum waarde wat deur die hardeware ondersteun word.
  • In .link-lêers vir systemd-udevd kan jy nou verskeie parameters konfigureer vir die kombinasie van netwerkadapters en koppeling van hardewarehanteerders (aflaai).
  • systemd-networkd bied by verstek nuwe .network-lêers aan: 80-container-vb.network om netwerkbrûe te definieer wat geskep word wanneer systemd-nspawn uitgevoer word met die “--network-bridge” of “--network-zone” opsies; 80-6rd-tunnel.network om tonnels te definieer wat outomaties geskep word wanneer 'n DHCP-reaksie met die 6RD-opsie ontvang word.
  • Systemd-networkd en systemd-udevd het ondersteuning bygevoeg vir IP-aanstuur oor InfiniBand-koppelvlakke, waarvoor die "[IPoIB]"-afdeling by die systemd.netdev-lêers gevoeg is, en verwerking van die "ipoib"-waarde is in die Kind geïmplementeer instelling.
  • systemd-networkd verskaf outomatiese roetekonfigurasie vir adresse gespesifiseer in die AllowedIPs parameter, wat deur die RouteTable en RouteMetric parameters in die [WireGuard] en [WireGuardPeer] afdelings gekonfigureer kan word.
  • systemd-networkd bied outomatiese generering van nie-veranderende MAC-adresse vir die batadv- en brugkoppelvlakke. Om hierdie gedrag te deaktiveer, kan jy MACAddress=none in .netdev-lêers spesifiseer.
  • 'n WakeOnLanPassword-instelling is by .link-lêers in die "[Link]"-afdeling gevoeg om die wagwoord te bepaal wanneer WoL in "SecureOn"-modus loop.
  • Het AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO en UseRawPacketSize instellings by die "[CAKE]"-afdeling van .network-lêers gevoeg om die parameters van die CAKE (Common Applications Kept Enhanced) te definieer. .
  • Het 'n IgnoreCarrierLoss-instelling by die "[Network]"-afdeling van .network-lêers gevoeg, wat jou toelaat om te bepaal hoe lank om te wag voordat jy op 'n verlies aan drasein reageer.
  • Systemd-nspawn, homectl, machinectl en systemd-run het die sintaksis van die "--setenv" parameter uitgebrei - as slegs die veranderlike naam gespesifiseer word (sonder "="), sal die waarde van die ooreenstemmende omgewingsveranderlike geneem word (vir byvoorbeeld, wanneer "--setenv=FOO" gespesifiseer word, sal die waarde van die $FOO omgewingsveranderlike geneem word en gebruik word in die omgewingsveranderlike met dieselfde naam wat in die houer gestel is).
  • systemd-nspawn het 'n "--suppress-sync"-opsie bygevoeg om sync()/fsync()/fdatasync()-stelseloproepe te deaktiveer wanneer 'n houer geskep word (nuttig wanneer spoed 'n prioriteit is en die behoud van bou-artefakte in geval van mislukking nie is nie belangrik, aangesien hulle te eniger tyd herskep kan word).
  • 'n Nuwe hwdb-databasis is bygevoeg, wat verskeie tipes seinontleders (multimeters, protokolontleders, ossilloskope, ens.) insluit. Inligting oor kameras in hwdb is uitgebrei met 'n veld met inligting oor die tipe kamera (gewone of infrarooi) en lensplasing (voor of agter).
  • Geaktiveerde generering van nie-veranderende netwerkkoppelvlakname vir netfronttoestelle wat in Xen gebruik word.
  • Die ontleding van kernlêers deur die systemd-coredump-nutsding gebaseer op die libdw/libelf-biblioteke word nou uitgevoer in 'n aparte proses, geïsoleer in 'n sandbox-omgewing.
  • systemd-importd het ondersteuning bygevoeg vir die omgewingsveranderlikes $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, waarmee jy die generering van Btrfs-subpartisies kan deaktiveer, asook kwotas en skyfsinchronisasie kan instel.
  • In systemd-journald, op lêerstelsels wat kopieer-op-skryf-modus ondersteun, word COW-modus weer aangeskakel vir geargiveerde joernale, wat dit moontlik maak om hulle saam te komprimeer met behulp van Btrfs.
  • systemd-journald implementeer deduplisering van identiese velde in 'n enkele boodskap, wat uitgevoer word op die stadium voordat die boodskap in die joernaal geplaas word.
  • Bygevoeg "--show" opsie vir afsluit opdrag om geskeduleerde afsluiting te vertoon.

Bron: opennet.ru

Voeg 'n opmerking