ProHoster > Blog > internet nuus > systemd stelselbestuurder vrystelling 242

systemd stelselbestuurder vrystelling 242

[:af]

Na twee maande se ontwikkeling aangebied stelselbestuurder vrystelling systemd 242. Nuwe kenmerke sluit in ondersteuning vir L2TP-tonnels, die vermoë om die gedrag van systemd-login by herbegin te beheer via omgewingsveranderlikes, ondersteuning vir uitgebreide XBOOTLDR-selflaaipartisies vir montering / selflaai, die vermoë om met die wortelpartisie in oorleggings te begin, en 'n groot aantal van nuwe instellings vir verskillende tipes eenhede.

Belangrikste veranderinge:

  • systemd-networkd bied ondersteuning vir L2TP-tonnels;
  • sd-boot en bootctl ondersteun XBOOTLDR (Extended Boot Loader) partisies wat op /boot gemonteer is, bykomend tot ESP partisies wat op /efi of /boot/efi gemonteer is. Pitte, instellings, initrd en EFI beelde kan nou van beide ESP en XBOOTLDR partisies gelaai word. Hierdie verandering laat die gebruik van die sd-boot-laaier toe in meer konserwatiewe scenario's, wanneer die selflaaiprogram self in die ESP geplaas word, en die selflaaibare pitte en hul gepaardgaande metadata na 'n aparte afdeling geskuif word;
  • Bygevoeg die vermoë om te selflaai met die "systemd.volatile=overlay" opsie wat na die kern oorgedra is, wat jou toelaat om die wortelpartisie in oorleggings te plaas en werk bo-op 'n leesalleen-beeld van die wortelgids te organiseer met veranderinge wat geskryf is na 'n aparte gids in tmpfs (veranderinge in hierdie konfigurasie gaan verlore na 'n herbegin). Na analogie is die "--vlugtige=oorleg" opsie by systemd-nspawn gevoeg om soortgelyke funksionaliteit in houers te gebruik;
  • Bygevoeg "--oci-bundle" opsie by systemd-nspawn om die gebruik van runtime bondels toe te laat om geïsoleerde loop van houers moontlik te maak wat aan die Open Container Initiative (OCI) spesifikasie voldoen. Ondersteuning vir verskeie opsies wat in die OCI-spesifikasie beskryf word, word voorgestel vir gebruik op die opdragreël en nspawn-eenhede, byvoorbeeld die "--ontoeganklik" en "Ontoeganklik" instellings kan gebruik word om dele van die lêerstelsel uit te sluit, en die "- -console" opsies is bygevoeg om standaard uitsetstrome en "—pipe" op te stel;
  • Bygevoeg vermoë om systemd-login gedrag te beheer via omgewingsveranderlikes: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_MENU en
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_ENTRY. Deur hierdie veranderlikes te gebruik, kan jy jou eie herlaaiproseshanteerders koppel (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu en
    /run/systemd/reboot-to-boot-loader-entry) of deaktiveer hulle heeltemal (wanneer dit op vals gestel is);

  • Bygevoeg "--boot-load-menu=" opsies by "systemctl reboot" opdrag en
    "--boot-loader-entry=", wat jou toelaat om 'n spesifieke selflaaimenu-item of selflaaimodus te kies na herlaai;

  • Het 'n nuwe sandbox-isolasie-opdrag "RestrictSUIDSGID=" bygevoeg wat seccomp gebruik om die skep van lêers met SUID/SGID-vlae te voorkom;
  • Geïmplementeerde verstekbeperkings "NoNewPrivileges" en "RestrictSUIDSGID" in dienste met geaktiveerde dinamiese gebruiker-ID generering ("Dynamic User");
  • Die verstek MACAddressPolicy=aanhoudende instelling in .link lêers is verander om meer toestelle te dek. Koppelvlakke van netwerkbrûe, tonnels (tun, tap) en saamgevoegde skakels (binding) identifiseer hulself nie behalwe deur die naam van die netwerkkoppelvlak nie, so hierdie naam word nou gebruik as die basis vir die binding van MAC- en IPv4-adresse. Daarbenewens is die "MACAddressPolicy=random"-instelling bygevoeg, wat gebruik kan word om MAC- en IPv4-adresse in ewekansige volgorde aan toestelle te bind;
  • ".device"-eenheidlêers wat via systemd-fstab-generator gegenereer word, sluit nie meer die ooreenstemmende ".mount"-eenhede as afhanklikhede in die "Wants="-afdeling in. Deur bloot 'n toestel aan te heg, word 'n monteereenheid nie meer outomaties bekendgestel nie, maar sulke eenhede kan steeds vir ander redes geloods word, soos as deel van local-fs.target of as 'n afhanklikheid van ander eenhede wat afhanklik is van local-fs.target;
  • Ondersteuning vir maskers ("*", ens.) is by die "networkctl list/status/lldp"-opdragte gevoeg om sekere groepe netwerkkoppelvlakke volgens deel van hul naam uit te filter;
  • Die $PIDFILE omgewingsveranderlike word nou gestel deur die absolute pad wat in dienste gekonfigureer is via die 'PIDFile=;
  • Publieke Cloudflare-bedieners (1.1.1.1) gevoeg by die aantal rugsteun-DNS-bedieners wat gebruik word wanneer die primêre DNS nie eksplisiet gedefinieer is nie. Om die lys van rugsteun-DNS-bedieners te ignoreer, kan jy die "-Ddns-servers=" opsie gebruik;
  • Wanneer 'n USB-toestelbeheerder opgespoor word, word 'n nuwe usb-gadget.target-hanteerder outomaties geloods (wanneer die stelsel op 'n USB-randtoestel loop);
  • Vir eenheidlêers word die "CPUQuotaPeriodSec="-instelling geïmplementeer, wat die tydperk bepaal relatief waartoe die SVE-tydkwota gemeet word, gestel deur die "CPUQuota="-instelling;
  • Vir eenheidlêers word die "ProtectHostname="-instelling geïmplementeer, wat dienste verbied om inligting oor die gasheernaam te verander, selfs al het hulle die toepaslike toestemmings;
  • Vir eenheidlêers word die "NetworkNamespacePath="-instelling geïmplementeer, wat jou toelaat om die naamruimte aan dienste of socket-eenhede te bind deur die pad na die naamruimtelêer in die /proc pseudo-FS;
  • Die vermoë bygevoeg om die vervanging van omgewingsveranderlikes vir prosesse wat met die "ExecStart="-instelling geloods is, te deaktiveer deur die ":"-karakter voor die begin-opdrag by te voeg;
  • Vir timers (.timer-eenhede), nuwe vlae "OnClockChange=" en
    "OnTimezoneChange=", waarmee jy die oproep van die eenheid kan beheer wanneer die stelsel tyd of tydsone verander word;

  • Bygevoeg nuwe instellings "ConditionMemory=" en "ConditionCPUs=" wat die voorwaardes bepaal vir die oproep van 'n eenheid, afhangende van die grootte van die geheue en die aantal SVE-kerns (byvoorbeeld, 'n hulpbron-intensiewe diens kan slegs begin word as die vereiste hoeveelheid RAM beskikbaar is);
  • 'n Nuwe time-set.target eenheid is bygevoeg wat die plaaslik vasgestelde stelsel tyd aanvaar, sonder die gebruik van rekonsiliasie met eksterne presiese tyd bedieners wat die time-sync.target eenheid gebruik. Die nuwe eenheid kan gebruik word deur dienste wat die akkuraatheid van 'n ongesinchroniseerde plaaslike horlosie benodig;
  • Bygevoeg "--toon-transaksie" opsie by "systemctl start" en soortgelyke opdragte om 'n opsomming te vertoon van alle take wat by die tou gevoeg is as gevolg van die versoekte operasie;
  • systemd-networkd het 'n definisie geïmplementeer vir 'n nuwe staat, 'verslaaf', wat gebruik word in plaas van 'gedegradeer' of 'draer' vir netwerkkoppelvlakke wat deel is van saamgevoegde skakels of netwerkbrûe. Vir primêre koppelvlakke, in die geval van probleme met een van die saamgestelde skakels, is die 'gedegradeerde-draer'-toestand bygevoeg;
  • Bygevoeg "IgnoreCarrierLoss="-opsie by .netwerk-eenhede om netwerkinstellings te stoor in geval van verbindingsfout;
  • Deur die “RequiredForOnline=”-instelling in .network-eenhede, kan jy nou die minimum toelaatbare skakeltoestand stel wat nodig is om die netwerkkoppelvlak na “aanlyn” oor te dra en die systemd-networkd-wait-online hanteerder te aktiveer;
  • Bygevoeg "--enige" opsie by systemd-networkd-wait-online om te wag vir enige van die gespesifiseerde netwerkkoppelvlakke om gereed te wees in plaas van almal, en "--operational-state=" opsie om die toestand van die skakel te definieer wat aandui dat dit is gereed;
  • "UseAutonomousPrefix="- en "UseOnLinkPrefix="-instellings by .network-eenhede gevoeg wat gebruik kan word om voorvoegsels te ignoreer wanneer hulle kry
    aankondiging vanaf 'n IPv6-roeteerder (RA, Roeter-advertensie);

  • Het “MulticastFlood=”, “NeighborSuppression=” en “Learning=” instellings by .network-eenhede gevoeg om die netwerkbrug-operasieparameters te verander, asook die “TripleSampling=”-instelling om die TRIPLE-SAMPLING-modus van virtuele CAN-koppelvlakke te verander;
  • Het “PrivateKeyFile=” en “PresharedKeyFile=” instellings by .netdev-eenhede gevoeg, waarmee jy private en gedeelde (PSK) sleutels vir WireGuard VPN-koppelvlakke kan spesifiseer;
  • Bygevoeg dieselfde-cpu-crypt en indien-van-crypt-cpus opsies by /etc/crypttab om skeduleerdergedrag te beheer wanneer enkripsieverwante take tussen SVE-kerne migreer;
  • systemd-tmpfiles verskaf verwerking van die sluitlêer voordat bewerkings in gidse met tydelike lêers uitgevoer word, wat jou toelaat om die werk van die skoonmaak van verouderde lêers vir die duur van sekere aksies te deaktiveer (byvoorbeeld wanneer 'n teer-argief in / tmp, baie oud, uitgepak word lêers kan oopgemaak word wat nie voor die einde van die aksie met hulle uitgevee kan word nie);
  • Die "systemd-analyze cat-config"-opdrag bied die vermoë om 'n konfigurasie wat in verskeie lêers verdeel is te ontleed, byvoorbeeld gebruiker- en stelselvoorinstellings, die inhoud van tmpfiles.d en sysusers.d, udev-reëls, ens.
  • Bygevoeg "--cursor-file="-opsie by "journalctl" om lêer te spesifiseer om die wyserposisie te laai en te stoor;
  • Definisie van ACRN-hypervisor en WSL-substelsel (Windows-substelsel vir Linux) bygevoeg by systemd-detect-virt vir daaropvolgende vertakking met behulp van voorwaardelike operateur "ConditionVirtualization";
  • Het opgehou om simboliese skakels in /etc te skep na systemd-networkd.service, systemd-networkd.socket, systemd-networkd.socket,
    systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
    systemd-networkd-wait-online.service en systemd-timesyncd.service. Om hierdie lêers te skep, moet jy nou die "systemctl preset-all" opdrag uitvoer.

Bronopennet.ru

[: af]

Na twee maande se ontwikkeling aangebied stelselbestuurder vrystelling systemd 242. Nuwe kenmerke sluit in ondersteuning vir L2TP-tonnels, die vermoë om die gedrag van systemd-login by herbegin te beheer via omgewingsveranderlikes, ondersteuning vir uitgebreide XBOOTLDR-selflaaipartisies vir montering / selflaai, die vermoë om met die wortelpartisie in oorleggings te begin, en 'n groot aantal van nuwe instellings vir verskillende tipes eenhede.

Belangrikste veranderinge:

  • systemd-networkd bied ondersteuning vir L2TP-tonnels;
  • sd-boot en bootctl ondersteun XBOOTLDR (Extended Boot Loader) partisies wat op /boot gemonteer is, bykomend tot ESP partisies wat op /efi of /boot/efi gemonteer is. Pitte, instellings, initrd en EFI beelde kan nou van beide ESP en XBOOTLDR partisies gelaai word. Hierdie verandering laat die gebruik van die sd-boot-laaier toe in meer konserwatiewe scenario's, wanneer die selflaaiprogram self in die ESP geplaas word, en die selflaaibare pitte en hul gepaardgaande metadata na 'n aparte afdeling geskuif word;
  • Bygevoeg die vermoë om te selflaai met die "systemd.volatile=overlay" opsie wat na die kern oorgedra is, wat jou toelaat om die wortelpartisie in oorleggings te plaas en werk bo-op 'n leesalleen-beeld van die wortelgids te organiseer met veranderinge wat geskryf is na 'n aparte gids in tmpfs (veranderinge in hierdie konfigurasie gaan verlore na 'n herbegin). Na analogie is die "--vlugtige=oorleg" opsie by systemd-nspawn gevoeg om soortgelyke funksionaliteit in houers te gebruik;
  • Bygevoeg "--oci-bundle" opsie by systemd-nspawn om die gebruik van runtime bondels toe te laat om geïsoleerde loop van houers moontlik te maak wat aan die Open Container Initiative (OCI) spesifikasie voldoen. Ondersteuning vir verskeie opsies wat in die OCI-spesifikasie beskryf word, word voorgestel vir gebruik op die opdragreël en nspawn-eenhede, byvoorbeeld die "--ontoeganklik" en "Ontoeganklik" instellings kan gebruik word om dele van die lêerstelsel uit te sluit, en die "- -console" opsies is bygevoeg om standaard uitsetstrome en "—pipe" op te stel;
  • Bygevoeg vermoë om systemd-login gedrag te beheer via omgewingsveranderlikes: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_MENU en
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_ENTRY. Deur hierdie veranderlikes te gebruik, kan jy jou eie herlaaiproseshanteerders koppel (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu en
    /run/systemd/reboot-to-boot-loader-entry) of deaktiveer hulle heeltemal (wanneer dit op vals gestel is);

  • Bygevoeg "--boot-load-menu=" opsies by "systemctl reboot" opdrag en
    "--boot-loader-entry=", wat jou toelaat om 'n spesifieke selflaaimenu-item of selflaaimodus te kies na herlaai;

  • Het 'n nuwe sandbox-isolasie-opdrag "RestrictSUIDSGID=" bygevoeg wat seccomp gebruik om die skep van lêers met SUID/SGID-vlae te voorkom;
  • Geïmplementeerde verstekbeperkings "NoNewPrivileges" en "RestrictSUIDSGID" in dienste met geaktiveerde dinamiese gebruiker-ID generering ("Dynamic User");
  • Die verstek MACAddressPolicy=aanhoudende instelling in .link lêers is verander om meer toestelle te dek. Koppelvlakke van netwerkbrûe, tonnels (tun, tap) en saamgevoegde skakels (binding) identifiseer hulself nie behalwe deur die naam van die netwerkkoppelvlak nie, so hierdie naam word nou gebruik as die basis vir die binding van MAC- en IPv4-adresse. Daarbenewens is die "MACAddressPolicy=random"-instelling bygevoeg, wat gebruik kan word om MAC- en IPv4-adresse in ewekansige volgorde aan toestelle te bind;
  • ".device"-eenheidlêers wat via systemd-fstab-generator gegenereer word, sluit nie meer die ooreenstemmende ".mount"-eenhede as afhanklikhede in die "Wants="-afdeling in. Deur bloot 'n toestel aan te heg, word 'n monteereenheid nie meer outomaties bekendgestel nie, maar sulke eenhede kan steeds vir ander redes geloods word, soos as deel van local-fs.target of as 'n afhanklikheid van ander eenhede wat afhanklik is van local-fs.target;
  • Ondersteuning vir maskers ("*", ens.) is by die "networkctl list/status/lldp"-opdragte gevoeg om sekere groepe netwerkkoppelvlakke volgens deel van hul naam uit te filter;
  • Die $PIDFILE omgewingsveranderlike word nou gestel deur die absolute pad wat in dienste gekonfigureer is via die 'PIDFile=;
  • Publieke Cloudflare-bedieners (1.1.1.1) gevoeg by die aantal rugsteun-DNS-bedieners wat gebruik word wanneer die primêre DNS nie eksplisiet gedefinieer is nie. Om die lys van rugsteun-DNS-bedieners te ignoreer, kan jy die "-Ddns-servers=" opsie gebruik;
  • Wanneer 'n USB-toestelbeheerder opgespoor word, word 'n nuwe usb-gadget.target-hanteerder outomaties geloods (wanneer die stelsel op 'n USB-randtoestel loop);
  • Vir eenheidlêers word die "CPUQuotaPeriodSec="-instelling geïmplementeer, wat die tydperk bepaal relatief waartoe die SVE-tydkwota gemeet word, gestel deur die "CPUQuota="-instelling;
  • Vir eenheidlêers word die "ProtectHostname="-instelling geïmplementeer, wat dienste verbied om inligting oor die gasheernaam te verander, selfs al het hulle die toepaslike toestemmings;
  • Vir eenheidlêers word die "NetworkNamespacePath="-instelling geïmplementeer, wat jou toelaat om die naamruimte aan dienste of socket-eenhede te bind deur die pad na die naamruimtelêer in die /proc pseudo-FS;
  • Die vermoë bygevoeg om die vervanging van omgewingsveranderlikes vir prosesse wat met die "ExecStart="-instelling geloods is, te deaktiveer deur die ":"-karakter voor die begin-opdrag by te voeg;
  • Vir timers (.timer-eenhede), nuwe vlae "OnClockChange=" en
    "OnTimezoneChange=", waarmee jy die oproep van die eenheid kan beheer wanneer die stelsel tyd of tydsone verander word;

  • Bygevoeg nuwe instellings "ConditionMemory=" en "ConditionCPUs=" wat die voorwaardes bepaal vir die oproep van 'n eenheid, afhangende van die grootte van die geheue en die aantal SVE-kerns (byvoorbeeld, 'n hulpbron-intensiewe diens kan slegs begin word as die vereiste hoeveelheid RAM beskikbaar is);
  • 'n Nuwe time-set.target eenheid is bygevoeg wat die plaaslik vasgestelde stelsel tyd aanvaar, sonder die gebruik van rekonsiliasie met eksterne presiese tyd bedieners wat die time-sync.target eenheid gebruik. Die nuwe eenheid kan gebruik word deur dienste wat die akkuraatheid van 'n ongesinchroniseerde plaaslike horlosie benodig;
  • Bygevoeg "--toon-transaksie" opsie by "systemctl start" en soortgelyke opdragte om 'n opsomming te vertoon van alle take wat by die tou gevoeg is as gevolg van die versoekte operasie;
  • systemd-networkd het 'n definisie geïmplementeer vir 'n nuwe staat, 'verslaaf', wat gebruik word in plaas van 'gedegradeer' of 'draer' vir netwerkkoppelvlakke wat deel is van saamgevoegde skakels of netwerkbrûe. Vir primêre koppelvlakke, in die geval van probleme met een van die saamgestelde skakels, is die 'gedegradeerde-draer'-toestand bygevoeg;
  • Bygevoeg "IgnoreCarrierLoss="-opsie by .netwerk-eenhede om netwerkinstellings te stoor in geval van verbindingsfout;
  • Deur die “RequiredForOnline=”-instelling in .network-eenhede, kan jy nou die minimum toelaatbare skakeltoestand stel wat nodig is om die netwerkkoppelvlak na “aanlyn” oor te dra en die systemd-networkd-wait-online hanteerder te aktiveer;
  • Bygevoeg "--enige" opsie by systemd-networkd-wait-online om te wag vir enige van die gespesifiseerde netwerkkoppelvlakke om gereed te wees in plaas van almal, en "--operational-state=" opsie om die toestand van die skakel te definieer wat aandui dat dit is gereed;
  • "UseAutonomousPrefix="- en "UseOnLinkPrefix="-instellings by .network-eenhede gevoeg wat gebruik kan word om voorvoegsels te ignoreer wanneer hulle kry
    aankondiging vanaf 'n IPv6-roeteerder (RA, Roeter-advertensie);

  • Het “MulticastFlood=”, “NeighborSuppression=” en “Learning=” instellings by .network-eenhede gevoeg om die netwerkbrug-operasieparameters te verander, asook die “TripleSampling=”-instelling om die TRIPLE-SAMPLING-modus van virtuele CAN-koppelvlakke te verander;
  • Het “PrivateKeyFile=” en “PresharedKeyFile=” instellings by .netdev-eenhede gevoeg, waarmee jy private en gedeelde (PSK) sleutels vir WireGuard VPN-koppelvlakke kan spesifiseer;
  • Bygevoeg dieselfde-cpu-crypt en indien-van-crypt-cpus opsies by /etc/crypttab om skeduleerdergedrag te beheer wanneer enkripsieverwante take tussen SVE-kerne migreer;
  • systemd-tmpfiles verskaf verwerking van die sluitlêer voordat bewerkings in gidse met tydelike lêers uitgevoer word, wat jou toelaat om die werk van die skoonmaak van verouderde lêers vir die duur van sekere aksies te deaktiveer (byvoorbeeld wanneer 'n teer-argief in / tmp, baie oud, uitgepak word lêers kan oopgemaak word wat nie voor die einde van die aksie met hulle uitgevee kan word nie);
  • Die "systemd-analyze cat-config"-opdrag bied die vermoë om 'n konfigurasie wat in verskeie lêers verdeel is te ontleed, byvoorbeeld gebruiker- en stelselvoorinstellings, die inhoud van tmpfiles.d en sysusers.d, udev-reëls, ens.
  • Bygevoeg "--cursor-file="-opsie by "journalctl" om lêer te spesifiseer om die wyserposisie te laai en te stoor;
  • Definisie van ACRN-hypervisor en WSL-substelsel (Windows-substelsel vir Linux) bygevoeg by systemd-detect-virt vir daaropvolgende vertakking met behulp van voorwaardelike operateur "ConditionVirtualization";
  • Het opgehou om simboliese skakels in /etc te skep na systemd-networkd.service, systemd-networkd.socket, systemd-networkd.socket,
    systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
    systemd-networkd-wait-online.service en systemd-timesyncd.service. Om hierdie lêers te skep, moet jy nou die "systemctl preset-all" opdrag uitvoer.

Bron: opennet.ru

[:]

Voeg 'n opmerking