ProHoster > Blog > internet nuus > systemd stelselbestuurder vrystelling 253

systemd stelselbestuurder vrystelling 253

Na drie en 'n half maande van ontwikkeling, is die vrystelling van die stelselbestuurder systemd 253 aangebied.

Onder die veranderinge in die nuwe weergawe:

  • Die pakket bevat die 'ukify'-nutsding, wat ontwerp is om handtekeninge vir verenigde kernbeelde te bou, te verifieer en te genereer (UKI, Unified Kernel Image), wat 'n hanteerder kombineer vir die laai van die kern vanaf UEFI (UEFI-opstartstub), 'n Linux-kernbeeld en 'n stelselomgewing gelaai in geheue initrd, gebruik vir aanvanklike inisialisering op die stadium voordat die wortellêerstelsel gemonteer word. Die nut vervang die funksionaliteit wat voorheen deur die 'dracut -uefi'-opdrag verskaf is en vul dit aan met vermoëns om outomaties afwykings in PE-lêers te bereken, initrds saam te voeg, ingebedde kernbeelde te onderteken, gekombineerde beelde met sbsign te skep, heuristiek vir die bepaling van kern-uname, kontrolering van die beeld met spatskerm en die byvoeging van getekende PCR-beleide wat deur die systemd-measure-hulpmiddel gegenereer is.
  • Bygevoeg ondersteuning vir initrd-omgewings wat nie beperk word deur geheueplasing nie, waarin oorleggings gebruik word in plaas van tmpfs. Vir sulke omgewings, verwyder systemd nie alle lêers in die initrd nadat die wortellêerstelsel verander is nie.
  • Die "OpenFile"-parameter is by dienste gevoeg om arbitrêre lêers in die lêerstelsel oop te maak (of om aan Unix-vokkies te koppel) en die geassosieerde lêerbeskrywers na die beginproses deur te gee (byvoorbeeld, wanneer jy toegang tot 'n lêer moet organiseer vir 'n onbevoorregte diens sonder om die toegangsregte tot die lêer te verander).
  • In systemd-cryptenroll, wanneer nuwe sleutels geregistreer word, is dit moontlik om geënkripteerde partisies te ontsluit met FIDO2-tokens (--unlock-fido2-device) sonder om 'n wagwoord te vereis. 'n Gebruikersgespesifiseerde PIN-kode word saam met sout gestoor om brute-force-opsporing te bemoeilik.
  • Bygevoeg ReloadLimitIntervalSec en ReloadLimitBurst instellings, sowel as kern opdrag lyn opsies (systemd.reload_limit_interval_sec en /systemd.reload_limit_burst) om die intensiteit van agtergrond proses herbegin te beperk.
  • Vir eenhede is die "MemoryZSwapMax"-opsie geïmplementeer om die memory.zswap.max-eienskap op te stel, wat die maksimum zswap-grootte bepaal.
  • Vir eenhede is die "LogFilterPatterns"-opsie geïmplementeer, wat jou toelaat om gereelde uitdrukkings te stel om inligtinguitset na die log te filtreer (kan gebruik word om sekere uitvoer uit te sluit of net sekere data te stoor).
  • Omvang-eenhede ondersteun nou die "OOMPolicy"-instelling om die gedrag te stel wanneer gepoog word om te voorkom wanneer geheue min is (aanmeldingsessies is ingestel op OOMPolicy=continue sodat die OOM-moordenaar dit nie met geweld beëindig nie).
  • 'n Nuwe dienstipe is gedefinieer - "Type=kennisgewing-herlaai", wat die tipe "Type=kennisgewing" uitbrei met die vermoë om te wag vir die herbeginsein om verwerking te voltooi (SIGHUP). Die dienste systemd-networkd.service, systemd-udevd.service en systemd-logid is na die nuwe tipe oorgedra.
  • udev gebruik 'n nuwe naamskema vir netwerktoestelle, die verskil is dat vir USB-toestelle wat nie aan die PCI-bus gekoppel is nie, ID_NET_NAME_PATH nou ingestel is om meer voorspelbare name te verseker. Die '-='-operateur is geïmplementeer vir SYMLINK-veranderlikes, wat simboliese skakels ongekonfigureer laat as 'n reël vir die byvoeging daarvan voorheen gedefinieer is.
  • In systemd-boot is die saad-oordrag vir pseudo-ewekansige getalgenerators in die kern en vir die skyf-agterkant herwerk. Bygevoeg ondersteuning vir die laai van die kern nie net vanaf die ESP (EFI System Partition), byvoorbeeld, vanaf die firmware of direk vir QEMU. Ontleding van SMBIOS-parameters word verskaf om opstart in 'n virtualiseringsomgewing te bepaal. 'n Nuwe 'as-veilig'-modus is geïmplementeer waarin die sertifikaat vir UEFI Secure Boot slegs vanaf die ESP gelaai word as dit as veilig beskou word (loop in 'n virtuele masjien).
  • Die bootctl-nutsding implementeer die generering van stelseltokens op alle EFI-stelsels, behalwe vir virtualiseringsomgewings. Bygevoeg 'kernel-identify' en 'kernel-inspect'-opdragte om kernbeeldtipe en inligting oor opdragreëlopsies en kernweergawe te vertoon, 'ontkoppel' om die lêer te verwyder wat met die eerste tipe selflaairekords geassosieer word, 'skoonmaak' om alles te verwyder lêers vanaf "entry-token"-gids in ESP en XBOOTLDR, nie geassosieer met die eerste tipe selflaairekords nie. Verwerking van die KERNEL_INSTALL_CONF_ROOT veranderlike is verskaf.
  • Die 'systemctl list-dependencies'-opdrag ondersteun nou verwerking van die '--type' en '--state'-opsies, en die 'systemctl kexec'-opdrag voeg ondersteuning by vir omgewings gebaseer op die Xen-hipervisor.
  • In .network-lêers in die [DHCPv4]-afdeling is ondersteuning vir die SocketPriority en QuickAck, RouteMetric=high|medium|low opsies nou bygevoeg.
  • Systemd-repart bygevoeg opsies "--insluit-partisies", "--uitsluit-partisies" en "--uitstel-partisies" om partisies volgens UUID-tipe te filter, wat jou byvoorbeeld toelaat om beelde te bou waarin een partisie is gebou op grond van die inhoud van 'n ander partisie. Ook die opsie "--sektor-grootte" bygevoeg om die grootte van die sektor wat gebruik word wanneer die partisie geskep word, te spesifiseer. Bygevoeg ondersteuning vir erofs lêer generasie. Die Minimaliseer-instelling implementeer verwerking van die "beste" waarde om die minimum moontlike beeldgrootte te kies.
  • systemd-journal-remote laat die gebruik van MaxUse, KeepFree, MaxFileSize en MaxFiles instellings toe om skyfspasieverbruik te beperk.
  • systemd-cryptsetup voeg ondersteuning by vir die stuur van proaktiewe versoeke na FIDO2-tokens om hul teenwoordigheid voor verifikasie te bepaal.
  • Nuwe parameters tpm2-measure-bank en tpm2-measure-pcr is by crypttab gevoeg.
  • systemd-gpt-auto-generator implementeer die montering van ESP- en XBOOTLDR-partisies in die "noexec,nosuid,nodev"-modusse, en voeg ook rekeningkunde by vir die rootfstype- en rootflags-parameters wat deur die kernbevellyn gestuur word.
  • systemd-resolved bied die vermoë om resolver parameters op te stel deur die naambediener, domein, network.dns en network.search_domains opsies op die kernbevellyn te spesifiseer.
  • Die "systemd-analyze plot"-opdrag het nou die vermoë om in JSON-formaat uit te voer wanneer die "-json" vlag gespesifiseer word. Nuwe opsies "--table" en "-no-legend" is ook bygevoeg om uitset te beheer.
  • In 2023 beplan ons om ondersteuning vir cgroups v1 en verdeelde gidshiërargieë te beëindig (waar /usr afsonderlik van die wortel gemonteer is, of /bin en /usr/bin, /lib en /usr/lib geskei word).

Bron: opennet.ru

Voeg 'n opmerking