ProHoster > Blog > internet nuus > systemd stelselbestuurder vrystelling 246

systemd stelselbestuurder vrystelling 246

Na vyf maande van ontwikkeling aangebied stelselbestuurder vrystelling systemd 246. Die nuwe weergawe bevat ondersteuning vir vrieseenhede, die vermoë om die wortelskyfbeeld met behulp van 'n digitale handtekening te verifieer, ondersteuning vir logkompressie en kernstortings met behulp van die ZSTD-algoritme, die vermoë om draagbare tuisgidse te ontsluit met FIDO2-tokens, ondersteuning vir die ontsluiting van Microsoft BitLocker partisies via /etc/ crypttab, BlackList is hernoem na DenyList.

Die belangrikste veranderinge:

  • Bygevoeg ondersteuning vir die vrieskas hulpbronbeheerder gebaseer op cgroups v2, waarmee jy prosesse kan stop en tydelik sommige hulpbronne (CPU, I/O, en moontlik selfs geheue) kan vrymaak om ander take uit te voer. Bevriesing en ontdooiing van eenhede word beheer met die nuwe "systemctl freeze"-opdrag of via D-Bus.
  • Bygevoeg ondersteuning vir die verifikasie van die wortel skyf beeld met behulp van 'n digitale handtekening. Verifikasie word uitgevoer deur nuwe instellings in dienseenhede te gebruik: RootHash (root hash vir die verifikasie van die skyfbeeld gespesifiseer deur die RootImage opsie) en RootHashSignature (digitale handtekening in PKCS#7 formaat vir die root hash).
  • Die PID 1-hanteerder implementeer die vermoë om outomaties vooraf saamgestelde AppArmor-reëls (/etc/apparmor/earlypolicy) te laai tydens die aanvanklike selflaaistadium.
  • Nuwe eenheidlêerinstellings is bygevoeg: ConditionPathIsEncrypted en AssertPathIsEncrypted om die plasing van die gespesifiseerde pad op 'n bloktoestel te kontroleer wat enkripsie (dm-crypt/LUKS), ConditionEnvironment en AssertEnvironment gebruik om omgewingsveranderlikes na te gaan (byvoorbeeld dié wat deur PAM of wanneer houers opgestel word).
  • Vir *.mount-eenhede is die ReadWriteOnly-instelling geïmplementeer, wat die montering van 'n partisie in leesalleen-modus verbied as dit nie moontlik was om dit vir lees en skryf te monteer nie. In /etc/fstab word hierdie modus gekonfigureer deur die "x-systemd.rw-only" opsie te gebruik.
  • Vir *.socket-eenhede is die PassPacketInfo-instelling bygevoeg, wat die kern in staat stel om bykomende metadata by te voeg vir elke pakkie wat vanaf die sok gelees word (aktiveer die IP_PKTINFO-, IPV6_RECVPKTINFO- en NETLINK_PKTINFO-modusse vir die sok).
  • Vir dienste (*.service-eenhede), word CoredumpFilter-instellings voorgestel (definieer geheueafdelings wat by kernstortings ingesluit moet word) en
    TimeoutStartFailureMode/TimeoutStopFailureMode (definieer die gedrag (SIGTERM, SIGABRT of SIGKILL) wanneer 'n uitteltyd plaasvind wanneer 'n diens begin of gestop word).
  • Die meeste opsies ondersteun nou heksadesimale waardes wat met die "0x" voorvoegsel gespesifiseer is.
  • In verskeie opdragreëlparameters en konfigurasielêers wat verband hou met die opstel van sleutels of sertifikate, is dit moontlik om die pad na unix-vokkies (AF_UNIX) te spesifiseer vir die oordrag van sleutels en sertifikate deur oproepe na IPC-dienste wanneer dit nie wenslik is om sertifikate op ongeënkripteerde skyf te plaas nie berging.
  • Bygevoeg ondersteuning vir ses nuwe spesifiseerders wat gebruik kan word in eenhede, tmpfiles.d/, sysusers.d/ en ander konfigurasie lêers: %a vir die vervanging van die huidige argitektuur, %o/%w/%B/%W vir die vervanging van velde met identifiseerders van /etc/os-release en %l vir kort gasheernaamvervanging.
  • Eenheidlêers ondersteun nie meer die ".include"-sintaksis nie, wat 6 jaar gelede opgeskort is.
  • Die StandardError- en StandardOutput-instellings ondersteun nie meer die waardes "syslog" en "syslog-console", wat outomaties omgeskakel sal word na "joernaal" en "joernaal+konsole".
  • Vir outomaties geskepte tmpfs-gebaseerde monteringspunte (/tmp, /run, /dev/shm, ens.), word beperkings op die grootte en aantal inodes verskaf, wat ooreenstem met 50% van die RAM-grootte vir /tmp en /dev/ shm, en 10% van die RAM vir almal anders.
  • Nuwe kernopdragreëlopsies bygevoeg: systemd.hostname om die gasheernaam by die aanvanklike selflaaistadium te stel, udev.blockdev_read_only om alle bloktoestelle wat met fisiese aandrywers geassosieer word te beperk tot leesalleenmodus (jy kan die "blockdev --setrw"-opdrag gebruik om selektief kanselleer), systemd .swap om outomatiese aktivering van die ruilpartisie te deaktiveer, systemd.clock-usec om die stelselklok in mikrosekondes te stel, systemd.condition-needs-update en systemd.condition-first-boot om die ConditionNeedsUpdate en ConditionFirstBoot te ignoreer tjeks.
  • By verstek is sysctl fs.suid_dumpable op 2 gestel ("suidsafe"), wat dit moontlik maak om kernstortings vir prosesse met die suid-vlag te stoor.
  • Die lêer /usr/lib/udev/hwdb.d/60-autosuspend.hwdb is geleen in die hardeware-databasis vanaf ChromiumOS, wat inligting insluit oor PCI- en USB-toestelle wat outomatiese slaapmodus ondersteun.
  • 'n ManageForeignRoutes-instelling is by networkd.conf gevoeg, wanneer dit geaktiveer is, sal systemd-networkd alle roetes wat deur ander nutsprogramme opgestel is, begin bestuur.
  • 'n "[SR-IOV]"-afdeling is by .network-lêers gevoeg vir die opstel van netwerktoestelle wat SR-IOV (Enkelwortel I/O-virtualisering) ondersteun.
  • In systemd-networkd is die IPv4AcceptLocal-instelling by die "[Network]"-afdeling gevoeg om toe te laat dat pakkies wat met 'n plaaslike bronadres aankom, op die netwerkkoppelvlak ontvang kan word.
  • systemd-networkd het die vermoë bygevoeg om HTB-verkeerprioritiseringsdissiplines op te stel deur die [HierarchyTokenBucket] en
    [HierarchyTokenBucketClass], "pfifo" via [PFIFO], "GRED" via [GenericRandomEarlyDetection], "SFB" via [StochasticFairBlue], "cake"
    via [CAKE], "PIE" via [PIE], "DRR" via [DeficitRoundRobinScheduler] en
    [DeficitRoundRobinSchedulerClass], "BFIFO" via [BFIFO],
    "PFIFOHeadDrop" via [PFIFOHeadDrop], "PFIFOFast" via [PFIFOFast], "HHF"
    via [HeavyHitterFilter], "ETS" via [EnhancedTransmissionSelection],
    "QFQ" via [QuickFairQueueing] en [QuickFairQueueingClass].
  • In systemd-networkd is 'n UseGateway-instelling by die [DHCPv4]-afdeling gevoeg om die gebruik van gateway-inligting wat via DHCP verkry is, te deaktiveer.
  • In systemd-networkd, in die [DHCPv4] en [DHCPServer] afdelings, is 'n SendVendorOption instelling bygevoeg vir die installering en verwerking van bykomende verskaffer opsies.
  • systemd-networkd implementeer 'n nuwe stel EmitPOP3/POP3, EmitSMTP/SMTP en EmitLPR/LPR opsies in die [DHCPServer] afdeling om inligting oor POP3, SMTP en LPR bedieners by te voeg.
  • In systemd-networkd, in die .netdev-lêers in die [Brug]-afdeling, is 'n VLANProtocol-instelling bygevoeg om die VLAN-protokol te kies om te gebruik.
  • In systemd-networkd, in .network-lêers in die [Link]-afdeling, word die Groepinstelling geïmplementeer om 'n groep skakels te bestuur.
  • Swartlys-instellings is hernoem na DenyList (behou ou naamhantering vir terugwaartse versoenbaarheid).
  • Systemd-networkd het 'n groot gedeelte van instellings bygevoeg wat verband hou met IPv6 en DHCPv6.
  • Bygevoeg "forcerenew"-opdrag by networkctl om alle adresbindings te dwing om opgedateer te word (huur).
  • In systemd-opgelos, in die DNS-konfigurasie, het dit moontlik geword om die poortnommer en gasheernaam vir DNS-oor-TLS-sertifikaatverifikasie te spesifiseer. Die DNS-oor-TLS-implementering het ondersteuning vir SNI-kontrole bygevoeg.
  • Systemd-resolved het nou die vermoë om herleiding van enkel-etiket DNS-name (enkel-etiket, vanaf een gasheernaam) op te stel.
  • systemd-journald bied ondersteuning vir die gebruik van die zstd-algoritme om groot velde in joernale saam te pers. Werk is gedoen om te beskerm teen botsings in hash-tabelle wat in joernale gebruik word.
  • Klikbare URL's met skakels na dokumentasie is by journalctl gevoeg wanneer logboodskappe vertoon word.
  • Het 'n oudit-instelling by journald.conf gevoeg om te beheer of ouditering geaktiveer is tydens systemd-joernale inisialisering.
  • systemd-coredump het nou die vermoë om kernstortings saam te pers met behulp van die zstd-algoritme.
  • UUID-instelling by systemd-repart bygevoeg om 'n UUID aan die geskepte partisie toe te ken.
  • Die systemd-huisdiens, wat die bestuur van draagbare tuisgidse verskaf, het die vermoë bygevoeg om tuisgidse te ontsluit met FIDO2-tokens. Die LUKS partisie enkripsie backend het ondersteuning bygevoeg vir die outomatiese terugkeer van leë lêerstelselblokke wanneer 'n sessie eindig. Bygevoeg beskerming teen dubbele enkripsie van data as daar vasgestel word dat die /home partisie op die stelsel reeds geïnkripteer is.
  • Bygevoeg instellings by /etc/crypttab: "keyfile-erase" om 'n sleutel uit te vee na gebruik en "try-empty-password" om te probeer om 'n partisie met 'n leë wagwoord te ontsluit voordat die gebruiker gevra word vir 'n wagwoord (nuttig vir die installering van geënkripteerde beelde met 'n wagwoord wat na die eerste selflaai toegewys is, nie tydens installasie nie).
  • systemd-cryptsetup voeg ondersteuning by vir die ontsluiting van Microsoft BitLocker-partisies tydens selflaaityd met behulp van /etc/crypttab. Ook die vermoë om te lees bygevoeg
    sleutels om partisies outomaties te ontsluit vanaf die lêers /etc/cryptsetup-keys.d/ .key en /run/cryptsetup-keys.d/ .sleutel.
  • Bygevoeg systemd-xdg-autostart-generator om eenheidlêers van .desktop outostart-lêers te skep.
  • Bygevoeg "reboot-to-firmware" opdrag by "bootctl".
  • Bygevoeg opsies by systemd-firstboot: "--image" om 'n skyfbeeld te spesifiseer om te begin, "--kernel-command-line" om die /etc/kernel/cmdline-lêer te inisialiseer, "--root-password-hashed" na spesifiseer 'n wortel wagwoord hash, en "--delete-root-password" om die wortel wagwoord te verwyder.

Bron: opennet.ru

Koop betroubare hosting vir werwe met DDoS-beskerming, VPS VDS-bedieners 🔥 Koop betroubare webwerfhosting met DDoS-beskerming, VPS VDS-bedieners | ProHoster