ProHoster > Blog > internet nuus > systemd stelselbestuurder vrystelling 248

systemd stelselbestuurder vrystelling 248

Na vier maande se ontwikkeling word die vrystelling van die stelselbestuurder systemd 248 aangebied. Die nuwe vrystelling bied ondersteuning vir beelde vir die uitbreiding van stelselgidse, die /etc/veritytab-konfigurasielêer, die systemd-cryptenroll-nutsding, die ontsluiting van LUKS2 met behulp van TPM2-skyfies en FIDO2 tokens, lopende eenhede in 'n geïsoleerde IPC identifiseerder ruimte, BATMAN protokol vir mesh netwerke, nftables backend vir systemd-nspawn. Systemd-oomd is gestabiliseer.

Belangrikste veranderinge:

  • Die konsep van stelseluitbreidingsbeelde is geïmplementeer, wat gebruik kan word om die hiërargie van die /usr/- en /opt/-gidse uit te brei, en bykomende lêers by te voeg tydens looptyd, selfs al is die gespesifiseerde gidse leesalleen gemonteer. Wanneer 'n stelseluitbreidingsprent gemonteer word, word die inhoud daarvan oorgelê op die /usr/ en /opt/ hiërargie met behulp van OverlayFS.

    'n Nuwe nutsprogram, systemd-sysext, is voorgestel om beelde van stelseluitbreidings aan te sluit, te ontkoppel, te bekyk en op te dateer. Om reeds geïnstalleerde beelde outomaties tydens selflaai te koppel, is die systemd-sysext.service-diens bygevoeg. Het "SYSEXT_LEVEL="-parameter by die os-vrystellinglêer gevoeg om die vlak van ondersteunde stelseluitbreidings te bepaal.

  • Vir eenhede is die ExtensionImages-instelling geïmplementeer, wat gebruik kan word om stelseluitbreidingsbeelde aan die FS-naamruimtehiërargie van individuele geïsoleerde dienste te koppel.
  • Bygevoeg /etc/veritytab-konfigurasielêer om dataverifikasie op die blokvlak op te stel deur die dm-verity-module te gebruik. Die lêerformaat is soortgelyk aan /etc/crypttab - "section_name device_for_data device_for_hashes check_hash_root options." Bygevoeg systemd.verity.root_options kern-opdragreël-opsie om dm-verity-gedrag vir die worteltoestel te konfigureer.
  • systemd-cryptsetup voeg die vermoë by om die PKCS#11-token-URI en geënkripteerde sleutel uit die LUKS2-metadata-kop in JSON-formaat te onttrek, sodat inligting oor die opening van 'n geënkripteerde toestel in die toestel self geïntegreer kan word sonder om eksterne lêers te betrek.
  • systemd-cryptsetup bied ondersteuning vir die ontsluiting van LUKS2-geënkripteerde partisies met behulp van TPM2-skyfies en FIDO2-tokens, benewens voorheen ondersteunde PKCS#11-tokens. Laai libfido2 word gedoen via dlopen(), d.w.s. beskikbaarheid word dadelik nagegaan, eerder as 'n vaste afhanklikheid.
  • Nuwe opsies "no-write-workqueue" en "no-read-workqueue" is bygevoeg by /etc/crypttab vir systemd-cryptsetup om sinchroniese verwerking van I/O geassosieer met enkripsie en dekripsie moontlik te maak.
  • Die systemd-repart-hulpmiddel het die vermoë bygevoeg om geënkripteerde partisies te aktiveer met behulp van TPM2-skyfies, byvoorbeeld om 'n geënkripteerde /var-partisie te skep tydens die eerste selflaai.
  • Die systemd-cryptenroll-nutsding is bygevoeg om TPM2-, FIDO2- en PKCS#11-tokens aan LUKS-partisies te bind, asook om tokens te ontspeld en te bekyk, spaarsleutels te bind en 'n wagwoord vir toegang te stel.
  • Het die PrivateIPC-parameter bygevoeg, wat jou toelaat om die eenheidlêer op te stel om prosesse in 'n geïsoleerde IPC-spasie te laat loop met hul eie afsonderlike identifiseerders en boodskapwaglys. Om 'n eenheid aan 'n reeds geskepte IPC-identifiseerderspasie te koppel, word die IPCNamespacePath-opsie voorgestel.
  • Bygevoeg ExecPaths en NoExecPaths instellings om toe te laat dat die noexec vlag op spesifieke dele van die lêerstelsel toegepas kan word.
  • systemd-networkd voeg ondersteuning by vir die BATMAN (Better Approach To Mobile Adhoc Networking) mesh-protokol, wat die skepping van gedesentraliseerde netwerke toelaat waarin elke nodus deur naburige nodusse verbind is. Vir konfigurasie word die [BatmanAdvanced]-afdeling in .netdev, die BatmanAdvanced-parameter in .network-lêers, en 'n nuwe toesteltipe “batadv” voorgestel.
  • Die implementering van die vroeë reaksiemeganisme vir lae geheue in die systemd-oomd-stelsel is gestabiliseer. Het die DefaultMemoryPressureDurationSec-opsie bygevoeg om die wagtyd op te stel vir 'n hulpbron om vrygestel te word voordat 'n eenheid beïnvloed word. Systemd-oomd gebruik die PSI (Pressure Stall Information) kernsubstelsel en stel jou in staat om die aanvang van vertragings as gevolg van 'n gebrek aan hulpbronne op te spoor en hulpbron-intensiewe prosesse selektief te beëindig in 'n stadium wanneer die stelsel nog nie in 'n kritieke toestand is nie en nie begin om die kas intensief te snoei en data in ruilpartisie te verplaas.
  • Bygevoeg kern-opdragreëlparameter "root=tmpfs", wat jou toelaat om die wortelpartisie te monteer in tydelike berging wat in RAM geleë is met behulp van Tmpfs.
  • Die /etc/crypttab-parameter wat die sleutellêer spesifiseer, kan nou na AF_UNIX- en SOCK_STREAM-soktipes wys. In hierdie geval moet die sleutel gegee word wanneer u aan die sok koppel, wat byvoorbeeld gebruik kan word om dienste te skep wat sleutels dinamies uitreik.
  • Die terugvalgasheernaam vir gebruik deur die stelselbestuurder en systemd-hostnamed kan nou op twee maniere gestel word: deur die DEFAULT_HOSTNAME parameter in os-release en deur die $SYSTEMD_DEFAULT_HOSTNAME omgewingsveranderlike. systemd-hostnamed hanteer ook "localhost" in die gasheernaam en voeg die vermoë by om die gasheernaam sowel as die "HardwareVendor" en "HardwareModel" eienskappe via DBus uit te voer.
  • Die blok met blootgestelde omgewingsveranderlikes kan nou gekonfigureer word deur die nuwe ManagerEnvironment-opsie in system.conf of user.conf, en nie net deur die kernopdragreël en eenheidlêerinstellings nie.
  • Tydens samestelling is dit moontlik om die fexecve()-stelseloproep te gebruik om prosesse te begin in plaas van execve() om die vertraging tussen die kontrolering van die sekuriteitskonteks en die toepassing daarvan te verminder.
  • Vir eenheidlêers is nuwe voorwaardelike bewerkings ConditionSecurity=tpm2 en ConditionCPUFeature bygevoeg om te kyk vir die teenwoordigheid van TPM2-toestelle en individuele SVE-vermoëns (byvoorbeeld, ConditionCPUFeature=rdrand kan gebruik word om te kyk of die verwerker die RDRAND-bewerking ondersteun).
  • Vir beskikbare pitte is outomatiese generering van stelseloproeptabelle vir seccomp-filters geïmplementeer.
  • Bygevoeg die vermoë om nuwe bind mounts te vervang in bestaande mount naamruimtes van dienste, sonder om die dienste te herbegin. Vervanging word uitgevoer met die opdragte 'systemctl bind ...' en 'systemctl mount-image …'.
  • Bygevoeg ondersteuning vir die spesifiseer van paaie in die StandardOutput en StandardError instellings in die vorm "truncate: » vir skoonmaak voor gebruik.
  • Het die vermoë bygevoeg om 'n verbinding met 'n gespesifiseerde gebruiker se sessie binne 'n plaaslike houer te vestig na sd-bus. Byvoorbeeld "systemctl -gebruiker -M lennart@ begin quux".
  • Die volgende parameters word in die systemd.link-lêers in die [Link]-afdeling geïmplementeer:
    • Promiskueus - laat jou toe om die toestel na "promiskue" modus oor te skakel om alle netwerkpakkies te verwerk, insluitend dié wat nie aan die huidige stelsel gerig is nie;
    • TransmitQueues en ReceiveQueues vir die opstel van die aantal TX- en RX-rye;
    • TransmitQueueLength om die TX-waglysgrootte te stel; GenericSegmentOffloadMaxBytes en GenericSegmentOffloadMaxSegment vir die stel van limiete vir die gebruik van GRO (Generic Receive Offload) tegnologie.
  • Nuwe instellings is by systemd.network-lêers gevoeg:
    • [Netwerk] Roetetabel om 'n roeteringtabel te kies;
    • [RoutingPolicyRule] Tik vir die roeteertipe ("swartgat, "onbereikbaar", "verbied");
    • [IPv6AcceptRA] RouteDenyList en RouteAllowList vir lyste van toegelate en geweierde roete-advertensies;
    • [DHCPv6] Gebruik Adres om die adres wat deur DHCP uitgereik is, te ignoreer;
    • [DHCPv6PrefixDelegation] ManageTemporaryAddress;
    • Aktiveringsbeleid om die beleid rakende koppelvlakaktiwiteit te definieer (handhaaf altyd OP- of AF-toestand, of laat die gebruiker toe om toestande te verander met die "ip-skakel stel dev"-opdrag).
  • Het [VLAN]-protokol, IngressQOSMaps, EgressQOSMaps en [MACVLAN] BroadcastMulticastQueueLength-opsies by systemd.netdev-lêers gevoeg om VLAN-pakkiehantering te konfigureer.
  • Het opgehou om die /dev/-gids in noexec-modus te monteer aangesien dit 'n konflik veroorsaak wanneer die uitvoerbare vlag met /dev/sgx-lêers gebruik word. Om die ou gedrag terug te gee, kan jy die NoExecPaths=/dev-instelling gebruik.
  • Die /dev/vsock lêertoestemmings is verander na 0o666, en die /dev/vhost-vsock en /dev/vhost-net lêers is na die kvm-groep geskuif.
  • Die hardeware-ID-databasis is uitgebrei met USB-vingerafdruklesers wat slaapmodus korrek ondersteun.
  • systemd-opgeloste bykomende ondersteuning vir die uitreiking van antwoorde op DNSSEC-navrae via 'n stompoplosser. Plaaslike kliënte kan DNSSEC-validering op hulself uitvoer, terwyl eksterne kliënte onveranderd na die ouer-DNS-bediener gestuur word.
  • Het die CacheFromLocalhost-opsie by resolved.conf gevoeg, wanneer dit gestel is, sal systemd-resolved kas gebruik selfs vir oproepe na die DNS-bediener by 127.0.0.1 (by verstek is kas van sulke versoeke gedeaktiveer om dubbelkas te vermy).
  • systemd-resolved voeg ondersteuning by vir RFC-5001 NSID's in die plaaslike DNS-oplosser, wat kliënte in staat stel om te onderskei tussen interaksies met die plaaslike oplosser en 'n ander DNS-bediener.
  • Die resolvectl-nutsding implementeer die vermoë om inligting oor die bron van data te vertoon (plaaslike kas, netwerkversoek, plaaslike verwerker-reaksie) en die gebruik van enkripsie wanneer data oorgedra word. Die opsies --cache, --synthesize, --netwerk, --zone, --trust-anchor en --validate word verskaf om die naambepalingsproses te beheer.
  • systemd-nspawn voeg ondersteuning by vir die konfigurasie van 'n firewall met behulp van nftables bykomend tot die bestaande iptables-ondersteuning. Die IPMasquerade-opstelling in systemd-networkd het die vermoë bygevoeg om 'n nftables-gebaseerde backend te gebruik.
  • systemd-lokale bygevoeg ondersteuning vir die oproep van locale-gen om ontbrekende plekke te genereer.
  • Opsies --pager/-no-pager/-json= is by verskeie nutsprogramme gevoeg om blaaimodus en uitvoer in JSON-formaat te aktiveer/deaktiveer. Die vermoë bygevoeg om die aantal kleure wat in die terminale gebruik word, te stel via die SYSTEMD_COLORS omgewingsveranderlike (“16” of “256”).
  • Die bou met aparte gidshiërargieë (split / en /usr) en cgroup v1-ondersteuning is opgeskort.
  • Die meestertak in Git is hernoem van 'meester' na 'hoof'.

Bron: opennet.ru

Voeg 'n opmerking