ProHoster > Blog > internet nuus > systemd stelselbestuurder vrystelling 249

systemd stelselbestuurder vrystelling 249

Na drie maande se ontwikkeling word die vrystelling van die stelselbestuurder systemd 249 aangebied. Die nuwe vrystelling bied die vermoë om gebruikers/groepe in JSON-formaat te definieer, stabiliseer die Journal-protokol, vereenvoudig die organisasie van opeenvolgende skyfpartisies, voeg die vermoë by om koppel BPF-programme aan dienste, en implementeer identifiseerderkartering van gebruikers in gemonteerde partisies, 'n groot gedeelte van nuwe netwerkinstellings en geleenthede vir die bekendstelling van houers word gebied.

Belangrikste veranderinge:

  • Die Joernaalprotokol is gedokumenteer en kan in kliënte gebruik word in plaas van die syslog-protokol vir plaaslike aflewering van logrekords. Die Journal-protokol is al lank geïmplementeer en word reeds in sommige kliëntbiblioteke gebruik, maar die amptelike ondersteuning daarvan is pas aangekondig.
  • Userdb en nss-systemd bied ondersteuning vir die lees van bykomende gebruikerdefinisies geleë in die /etc/userdb/, /run/userdb/, /run/host/userdb/ en /usr/lib/userdb/-gidse, gespesifiseer in JSON-formaat. Daar word kennis geneem dat hierdie kenmerk 'n bykomende meganisme sal verskaf om gebruikers in die stelsel te skep, wat dit voorsien van volledige integrasie met NSS en /etc/shadow. JSON-ondersteuning vir gebruiker-/groepinskrywings sal ook toelaat dat verskeie hulpbronbestuur en ander instellings geheg word aan gebruikers wat pam_systemd en systemd-login herken.
  • nss-systemd bied sintese van gebruiker-/groepinskrywings in /etc/shadow deur gebruik te maak van hashed-wagwoorde van systemd-homed.
  • 'n Meganisme is geïmplementeer wat die organisasie van opdaterings vergemaklik deur gebruik te maak van skyfpartisies wat mekaar vervang (een partisie is aktief, en die tweede is spaar - die opdatering word na die spaarpartisie gekopieer, waarna dit aktief word). As daar twee wortel- of /usr-partisies in die skyfbeeld is, en udev het nie die teenwoordigheid van die 'root='-parameter opgespoor nie, of verwerk skyfbeelde gespesifiseer via die "--image"-opsie in die systemd-nspawn en systemd -dissect utilities, kan die selflaaipartisie bereken word deur GPT-etikette te vergelyk (met die veronderstelling dat die GPT-etiket die weergawenommer van die partisie se inhoud noem en systemd die partisie met die meer onlangse veranderinge sal kies).
  • 'n BPFProgram-instelling is by die dienslêers gevoeg, waarmee jy die laai van BPF-programme in die kern kan organiseer en dit kan bestuur met binding aan spesifieke stelseldienste.
  • Systemd-fstab-generator en systemd-repart voeg die vermoë toe om te begin vanaf skywe wat slegs 'n /usr-partisie en geen wortelpartisie het nie (die wortelpartisie sal tydens die eerste selflaai deur systemd-repart gegenereer word).
  • In systemd-nspawn is die "--private-user-chown" opsie vervang deur die meer generiese "--private-user-ownership" opsie, wat "chown" waardes kan aanvaar as die ekwivalent van "-- private-user-chown", "af" om ou instelling te deaktiveer, "kaart" om gebruiker-ID's op gemonteerde lêerstelsels te karteer en "outo" om "kaart" te kies as die vereiste funksionaliteit in die kern teenwoordig is (5.12+) of terugval na 'n rekursiewe oproep om anders te "chown". Deur gebruik te maak van kartering kan jy een gebruiker se lêers op 'n gemonteerde vreemde partisie na 'n ander gebruiker op die huidige stelsel karteer, wat dit makliker maak om lêers tussen verskillende gebruikers te deel. In die systemd-homed draagbare tuisgidsmeganisme, sal kartering gebruikers toelaat om hul tuisgidse na eksterne media te skuif en dit op verskillende rekenaars te gebruik wat nie dieselfde gebruikers-ID-uitleg het nie.
  • In systemd-nspawn kan die "--private-user" opsie nou die waarde "identity" gebruik om gebruikers-ID's direk te weerspieël wanneer 'n gebruikernaamruimte opgestel word, m.a.w. UID 0 en UID 1 in die houer sal in UID 0 en UID 1 aan die gasheerkant weerspieël word om aanvalvektore te verminder (die houer sal slegs prosesvermoëns in sy naamruimte ontvang).
  • Die "--bind-gebruiker"-opsie is by systemd-nspawn gevoeg om 'n gebruikersrekening wat in die gasheeromgewing bestaan, na die houer aan te stuur (die tuisgids is in die houer gemonteer, 'n gebruiker/groepinskrywing word bygevoeg en UID-kartering word tussen die houer en die gasheeromgewing uitgevoer).
  • Bygevoeg ondersteuning vir die versoek van stel wagwoorde vir systemd-ask-wagwoord en systemd-sysusers (passwd.hashed-password. en passwd.plaintext-password. ) gebruik die meganisme wat in systemd 247 bekendgestel is om sensitiewe data veilig oor te dra deur middel van tussenlêers in 'n aparte gids. By verstek word geloofsbriewe aanvaar van die proses met PID1, wat dit ontvang, byvoorbeeld van die houerbestuurbestuurder, wat jou toelaat om die gebruikerwagwoord by die eerste selflaai op te stel.
  • systemd-firstboot voeg ondersteuning by vir die gebruik van die veilige oordrag van sensitiewe data-meganisme om verskeie stelselparameters te bevraagteken, wat gebruik kan word om stelselinstellings te inisialiseer wanneer 'n houerbeeld eers opgelaai word wat nie die nodige instellings in die /etc-gids het nie.
  • Die PID 1-proses verseker dat beide die eenheid se naam en beskrywing tydens selflaai vertoon word. Jy kan die uitvoer verander via die "StatusUnitFormat=combined" parameter in system.conf of die kern-opdragreëlopsie "systemd.status-unit-format=combined"
  • Die "--image" opsie is bygevoeg by die systemd-machine-id-setup en systemd-repart nutsprogramme om 'n lêer met 'n masjien-ID na 'n skyfbeeld oor te dra of om die grootte van 'n skyfbeeld te vergroot.
  • 'n MakeDirectories-parameter is by die partisie-konfigurasielêer gevoeg wat deur die systemd-repart-hulpprogram gebruik word, wat gebruik kan word om arbitrêre gidse in die geskepte lêerstelsel te skep voordat dit in die partisietabel weerspieël word (byvoorbeeld om gidse vir monteerpunte in die wortelpartisie sodat jy die partisie dadelik in leesalleenmodus kan monteer). Om GPT-vlae in geskepte afdelings te beheer, is die ooreenstemmende Vlae, ReadOnly en NoAuto parameters bygevoeg. Die CopyBlocks-parameter het 'n waarde van "outo" om outomaties die huidige selflaaipartisie as die bron te kies wanneer blokke gekopieer word (byvoorbeeld wanneer jy jou eie wortelpartisie na nuwe media moet oordra).
  • GPT implementeer die "grow-file-system" vlag, wat soortgelyk is aan die x-systemd.growfs mount opsie en verskaf outomatiese uitbreiding van die FS grootte na die grense van die blok toestel as die FS grootte kleiner is as die partisie. Die vlag is van toepassing op Ext3-, XFS- en Btrfs-lêerstelsels, en kan toegepas word op partisies wat outomaties opgespoor word. Die vlag is by verstek geaktiveer vir skryfbare partisies wat outomaties geskep word via systemd-repart. Die GrowFileSystem-opsie is bygevoeg om die vlag in systemd-repart op te stel.
  • Die /etc/os-release-lêer bied ondersteuning vir nuwe IMAGE_VERSION- en IMAGE_ID-veranderlikes om die weergawe en ID van atoom-bygewerkte beelde te bepaal. Die %M- en %A-spesifikasies word voorgestel om gespesifiseerde waardes in verskeie opdragte te vervang.
  • Die “--extension”-parameter is by die portablelectl-nutsding gevoeg om draagbare stelseluitbreidingsbeelde te aktiveer (byvoorbeeld, deur hulle kan jy beelde versprei met bykomende dienste wat in die wortelpartisie geïntegreer is).
  • Die systemd-coredump-nutsding verskaf die onttrekking van ELF-bou-ID-inligting wanneer 'n kernstorting van 'n proses gegenereer word, wat nuttig kan wees om te bepaal aan watter pakket 'n mislukte proses behoort as inligting oor die naam en weergawe van deb- of rpm-pakkette gebou is in die ELF-lêers.
  • 'n Nuwe hardewarebasis vir FireWire (IEEE 1394)-toestelle is by udev gevoeg.
  • In udev is drie veranderinge by die "net_id" netwerkkoppelvlaknaamkeuseskema gevoeg wat terugwaartse versoenbaarheid skend: verkeerde karakters in koppelvlakname word nou vervang met "_"; PCI hotplug-gleufname vir s390-stelsels word in heksadesimale vorm verwerk; Die gebruik van tot 65535 ingeboude PCI-toestelle word toegelaat (voorheen is nommers bo 16383 geblokkeer).
  • systemd-resolved voeg die "home.arpa"-domein by die NTA-lys (Negative Trust Anchors), wat aanbeveel word vir plaaslike tuisnetwerke, maar nie in DNSSEC gebruik word nie.
  • Die CPUAffinity-parameter verskaf ontleding van die "%"-spesifiseerders.
  • 'n ManageForeignRoutingPolicyRules-parameter is by .network-lêers gevoeg, wat gebruik kan word om systemd-networkd uit te sluit van die verwerking van derdeparty-roeteringsbeleide.
  • Die RequiredFamilyForOnline-parameter is by die ".network"-lêers gevoeg om die teenwoordigheid van 'n IPv4- of IPv6-adres te bepaal as 'n teken dat die netwerkkoppelvlak in die "aanlyn"-toestand is. Networkctl bied 'n vertoning van die "aanlyn" status vir elke skakel.
  • Bygevoeg OutgoingInterface-parameter by .network-lêers om uitgaande koppelvlakke te definieer wanneer netwerkbrûe gekonfigureer word.
  • 'n Groepparameter is by ".network"-lêers gevoeg, wat jou toelaat om 'n Multipath-groep vir inskrywings in die "[NextHop]"-afdeling te konfigureer.
  • Opsies "-4" en "-6" by systemd-network-wait-online gevoeg om verbindingswagte tot slegs IPv4 of IPv6 te beperk.
  • 'n RelayTarget-parameter is by die DHCP-bedienerinstellings gevoeg, wat die bediener na DHCP Ralay-modus oorskakel. Vir addisionele konfigurasie van die DHCP-aflos, word die RelayAgentCircuitId- en RelayAgentRemoteId-opsies aangebied.
  • Die ServerAddress-parameter is by die DHCP-bediener gevoeg, sodat jy die bediener-IP-adres eksplisiet kan stel (anders word die adres outomaties gekies).
  • Die DHCP-bediener implementeer die [DHCPServerStaticLease]-afdeling, wat jou toelaat om statiese adresbindings (DHCP-huurkontrakte) op te stel, wat vaste IP-bindings aan MAC-adresse spesifiseer en omgekeerd.
  • Die RestrictAddressFamilies-instelling ondersteun die “geen”-waarde, wat beteken dat voetstukke van enige adresfamilie nie vir die diens beskikbaar sal wees nie.
  • In die “.network”-lêers in die afdelings [Adres], [DHCPv6PrefixDelegation] en [IPv6Prefix] word ondersteuning vir die RouteMetric-instelling geïmplementeer, wat jou toelaat om die metriek te spesifiseer vir die roetevoorvoegsel wat vir die gespesifiseerde adres geskep is.
  • nss-myhostname en systemd-resolved verskaf sintese van DNS-rekords met adresse vir gashere met 'n spesiale naam "_outbound", waarvoor 'n plaaslike IP altyd uitgereik word, gekies in ooreenstemming met die verstekroetes wat vir uitgaande verbindings gebruik word.
  • In die .network-lêers, in die "[DHCPv4]"-afdeling, is die RoutesToNTP-instelling, wat by verstek aktief is, bygevoeg, wat die byvoeging van 'n aparte roete deur die huidige netwerkkoppelvlak vereis om toegang te verkry tot die NTP-bedieneradres wat hiervoor verkry is. koppelvlak met DHCP (soortgelyk aan DNS, die instelling laat jou toe om te waarborg dat verkeer na die NTP-bediener deur die koppelvlak waardeur hierdie adres ontvang is, gelei sal word).
  • Bygevoeg SocketBindAllow en SocketBindDeny instellings om toegang te beheer tot voetstukke wat aan die huidige diens gebind is.
  • Vir eenheidlêers is 'n voorwaardelike instelling genaamd ConditionFirmware geïmplementeer, wat jou toelaat om kontroles te skep wat fermwarefunksies evalueer, soos werk op UEFI- en device.tree-stelsels, asook om versoenbaarheid met sekere toestelboom-vermoëns na te gaan.
  • Het die ConditionOSRelease-opsie geïmplementeer om velde in die /etc/os-release-lêer na te gaan. Wanneer voorwaardes vir die kontrolering van veldwaardes gedefinieer word, is die operateurs “=”, “!=”, “<“, “<=”, ">=", ">" aanvaarbaar.
  • In die hostnamectl-nutsding word opdragte soos "get-xyz" en "set-xyz" bevry van die "get" en "set" voorvoegsels, byvoorbeeld, in plaas van "hostnamectl get-hostname" en "hostnameectl "set-hostname" jy kan die opdrag "hostnamectl hostname" " gebruik, die toewysing van 'n waarde waarin bepaal word deur 'n bykomende argument te spesifiseer ("hostnamectl hostname value"). Ondersteuning vir ouer opdragte is behou om versoenbaarheid te verseker.
  • Die systemd-detect-virt-hulpmiddel en die ConditionVirtualization-instelling verseker die korrekte identifikasie van Amazon EC2-omgewings.
  • Die LogLevelMax-instelling in eenheidlêers is nou nie net van toepassing op logboodskappe wat deur die diens gegenereer word nie, maar ook op PID 1-prosesboodskappe wat die diens noem.
  • Voorsien die vermoë om SBAT (UEFI Secure Boot Advanced Targeting)-data in systemd-boot EFI PE-lêers in te sluit.
  • /etc/crypttab implementeer nuwe opsies "koploos" en "wagwoord-echo" - die eerste laat jou toe om alle bewerkings wat verband hou met interaktiewe aansporing van wagwoorde en PIN's van die gebruiker oor te slaan, en die tweede laat jou toe om die metode vir die vertoon van wagwoordinvoer te konfigureer (wys niks, wys karakter vir karakter en vertoon sterretjies). Die "--echo" opsie is vir soortgelyke doeleindes by systemd-ask-wagwoord gevoeg.
  • systemd-cryptenroll, systemd-cryptsetup en systemd-homed het uitgebreide ondersteuning vir die ontsluiting van geënkripteerde LUKS2-partisies met FIDO2-tokens. Bygevoeg nuwe opsies "--fido2-met-gebruiker-teenwoordigheid", "--fido2-met-gebruiker-verifikasie" en "-fido2-met-kliënt-pen" om gebruiker fisiese teenwoordigheid verifikasie, verifikasie en die behoefte om in te voer beheer 'n PIN-kode.
  • Bygevoeg "--user", "--system", "--merge" en "--file" opsies by systemd-journal-gatewayd, soortgelyk aan die journalctl opsies.
  • Benewens direkte afhanklikhede tussen eenhede gespesifiseer deur die OnFailure- en Slice-parameters, is ondersteuning vir implisiete omgekeerde afhanklikhede OnFailureOf en SliceOf bygevoeg, wat nuttig kan wees, byvoorbeeld, vir die bepaling van alle eenhede wat in slice ingesluit is.
  • Bygevoeg nuwe tipes afhanklikhede tussen eenhede: OnSuccess en OnSuccessOf (die teenoorgestelde van OnFailure, geroep na suksesvolle voltooiing); PropagatesStopTo en StopPropagatedFrom (laat jou toe om 'n eenheid se stopgebeurtenis na 'n ander eenheid te versprei); Upholds en UpheldBy (alternatief vir Herbegin).
  • Die systemd-ask-wagwoord-nutsding het nou 'n "--emoji"-opsie om die voorkoms van die hangslotsimbool (🔐) in die wagwoordinvoerlyn te beheer.
  • Bygevoeg dokumentasie oor systemd bron boom struktuur.
  • Vir eenhede is 'n MemoryAvailable-eienskap bygevoeg, wat wys hoeveel geheue die eenheid oor het voordat die limiet bereik wat gestel is deur die MemoryMax, MemoryHigh of MemoryAvailable parameters.

Bron: opennet.ru

Voeg 'n opmerking