ProHoster > Blog > internet nuus > systemd stelselbestuurder vrystelling 257

systemd stelselbestuurder vrystelling 257

Na ses maande se ontwikkeling is die vrystelling van die stelselbestuurder systemd 257 aangebied Sleutelveranderinge: nuwe nutsprogramme systemd-sbsign en systemd-keyutil, ondersteuning vir MPTCP wanneer dit oor 'n sok geaktiveer is, aanvanklike ondersteuning vir die bou met die Musl C-biblioteek, die. updatectl-hulpmiddel vir die bestuur van die installering van opdaterings via systemd-sysupdate, die vermoë om dienste in aparte PID-naamruimtes te begin, beskerming teen toevallige uitvee van lêers wanneer "systemd-tmpfiles —purge" gebruik word.

Onder die veranderinge in die nuwe weergawe:

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd.
  • 'n Nuwe nutsprogram, systemd-keyutil, is bygevoeg wat verskeie bewerkings op private sleutels en X.509-sertifikate implementeer. Systemd-keyutil kan byvoorbeeld gebruik word om die vermoë te toets om private sleutels en sertifikate te laai, en publieke sleutels daaruit te onttrek in PEM-formaat.
  • In die ".socket"-eenhede wat gebruik word om die werking van die sok-aktiveringsmeganisme te verseker (prosesse begin wanneer 'n netwerkverbinding probeer word), word ondersteuning geïmplementeer vir MPTCP (Multipath TCP), 'n uitbreiding van die TCP-protokol vir die organisering van die werking van 'n TCP-verbinding met die gelyktydige aflewering van pakkies langs verskeie roetes deur verskillende netwerkkoppelvlakke wat aan verskillende gekoppel is. My IP adres.
  • Sluit veranderinge in wat nodig is om te bou met behulp van die standaard Musl C-biblioteek.
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • Die vermoëns van die systemd-sysupdate-komponent is uitgebrei, gebruik om opdaterings outomaties op te spoor, af te laai en te installeer met behulp van 'n atoommeganisme vir die vervanging van partisies, lêers of gidse (twee onafhanklike partisies/lêers/gidse word gebruik, waarvan een die huidige werk bevat hulpbron, en die ander installeer die volgende een) opdatering, waarna die afdelings/lêers/gidse omgeruil word). In die praktyk word systemd-sysupdate reeds in GNOME OS gebruik.

    Benewens die systemd-sysupdate-proses, is 'n diens met dieselfde naam bygevoeg wat D-Bus toelaat om gebruik te word om stelselopdaterings deur 'n onbevoorregte gebruiker te bestuur. Om die diens te bestuur, is 'n nuwe updatectl-nutsding ook ingesluit. "--aflyn" vlag bygevoeg by systemd-sysupdate om aflaai van metadata oor die netwerk te deaktiveer en slegs weergawes te gebruik wat reeds na die plaaslike stelsel afgelaai is. Bygevoeg ondersteuning vir uitvoer in JSON-formaat vir alle opdragte.

  • 'n Nuwe eiendom "PrivatePIDs" is geïmplementeer vir dienste, waarmee jy die bekendstelling van prosesse met PID 1 (begin proses) in 'n aparte proses identifiseerder ruimte (PID naamruimte) kan organiseer. In die omgewing wat vir die beginproses geskep is, sal slegs prosesse van die naamruimte wat daarvoor geskep is sigbaar wees.
  • Het ondersteuning vir hoofletter-onsensitiewe passings by udev-reëls gevoeg (bv. 'ATTR{foo}==i»abcd»'). Deur udev te gebruik, is dit moontlik om onbevoorregte plaaslike gebruikers toegang (“uaccess”) te gee tot die /dev/udmabuf-toestel, wat nodig is om met IPMI-kameras via libcamera te werk. udev bied erkenning van verskeie hardeware-kripto-beursies met 'n USB-koppelvlak en stel die ID_HARDWARE_WALLET-eienskap vir hulle in, wat jou toelaat om die "uaccess"-modus op hulle toe te pas vir toegang deur onbevoorregte gebruikers.
  • Nuwe velde RELEASE_TYPE, EXPERIMENT en EXPERIMENT_URL is by die /etc/os-release-lêer gevoeg. "RELEASE_TYPE" kan die waardes "eksperimenteel", "ontwikkeling", "stabiel" en "lts" neem om stabiele weergawes van ontwikkeling en eksperimentele bouwerk te skei. Die EXPERIMENT- en EXPERIMENT_URL-parameters is bedoel om die essensie van die eksperimentele bou te verduidelik.
  • Die run0-hulpprogram, ontwikkel as 'n plaasvervanger vir die sudo-program, het die opsie "--shell-prompt-prefix" bygevoeg, wat die voorvoegselstring vir die opdragdop-prompt spesifiseer. By verstek word die emoji "🦸" as 'n voorvoegsel vertoon om 'n verhoogde sessie visueel uit te lig.
  • In systemd-tmpfiles, om te verhoed dat die verkeerde lêers per ongeluk uitgevee word, is die "--purge" opsie nou slegs van toepassing op instellings in tmpfiles.d/ wat die "$" vlag eksplisiet gestel het. Die "--purge"-bewerking vereis ook nou dat ten minste een lêer uit die tmpfiles.d/-gids gespesifiseer word. Vir stringe met die 'L'-tipe is die '?'-vlag bygevoeg, wanneer gespesifiseer, sal 'n simboliese skakel slegs geskep word as die teikenlêer bestaan.
  • In die diensbestuurder en verwante nutsprogramme word die prosesopsporingskode steeds omgeskakel om PIDFD in plaas van PID te gebruik. 'n PIDFD word geassosieer met 'n spesifieke proses en verander nie, terwyl 'n PID met 'n ander proses geassosieer kan word nadat die huidige proses wat met daardie PID geassosieer word, beëindig is.
  • Vir dienste is dit nou moontlik om die waarde "debug" in die "RestartMode" parameter te spesifiseer, waarin die mislukte diens herbegin sal word met ontfoutingsmodus geaktiveer (die omgewingsveranderlike DEBUG_INVOCATION=1 is ingestel), en die LogLevelMax waarde sal wees tydelik verhoog na die ontfoutingsvlak.
  • Die PID 1-hanteerder het die vermoë om reëls vir die IPE (Integrity Policy Enforcement) LSM-module te laai, wat die integriteitsbeleid vir die hele stelsel definieer (watter bewerkings word toegelaat en hoe die egtheid van komponente geverifieer moet word).
  • Die "DeferReactivation"-opsie is by die ".timer"-eenheidlêers gevoeg, wat jou toelaat om die volgende timeraktivering oor te slaan as die diens nog nie sy uitvoering voltooi het sedert die laaste aktivering nie.
  • In die PrivateUsers-eenheidlêerparameter is dit nou moontlik om die "identiteit"-waarde te spesifiseer om kartering van gebruiker-ID's moontlik te maak wanneer 'n gebruikernaamruimte geskep word.
  • Bygevoeg ondersteuning vir die "ontkoppelde" waarde by die PrivateTmp eenheid lêer parameter, wat aparte tmpfs gevalle sal gebruik vir die /tmp/ en /var/tmp/ dopgehou.
  • Ondersteuning vir nuwe "privaat" en "streng" modusse is by die ProtectControlGroups-eenheidlêerparameter gevoeg, wanneer dit gestel is, word 'n nuwe cgroup-naamspasie vir die diens geskep en cgroupfs word gemonteer. Wanneer die "streng" opsie gestel is, word cgroupfs in leesalleen-modus gemonteer.
  • Die StateDirectory-, RuntimeDirectory-, CacheDirectory-, LogsDirectory- en ConfigurationDirectory-parameters bied die vermoë om die ':ro'-vlag te gebruik om toegang tot die ooreenstemmende gidse tot leesalleenmodus te beperk.
  • Bygevoeg ondersteuning vir die "firmware" waarde by die "systemd.machine_id" kern opdrag lyn parameter, waarin die stelsel identifiseerder (masjien ID) sal bereken word gebaseer op die UUID van SMBIOS/DeviceTree.
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • Die resolvectl-, timedatectl- en systemd-inhibit-hulpprogramme ondersteun nou interaktiewe magtiging deur Polkit te gebruik.
  • Die systemctl-nutsding het die vermoë bygevoeg om die "--nou" vlag in die "herenable" opdrag te gebruik.
  • Bygevoeg "--json"-opsie by die systemd-mount-nutsding vir uitvoer in JSON-formaat (byvoorbeeld, wanneer gespesifiseer saam met "--list-devices", sal 'n lys toestelle in JSON-formaat uitgevoer word).
  • Bygevoeg "-l" en "--vol" opsies by die "localectl" nut om afsny van lang lyne tydens uitset uit te skakel.
  • Die HibernateOnACPower-opsie is by sleep.conf gevoeg, wat jou toelaat om oorskakeling na slaapmodus te vertraag totdat die toestel van die stilstaande kragbron ontkoppel is.
  • In systemd-sysusers is ondersteuning vir die "!"-wysiger by die "u"-reëls gevoeg, waarmee u heeltemal geslote gebruikersrekeninge kan skep (voorheen is die opstel van 'n verkeerde wagwoord gebruik om 'n gebruiker te blokkeer, wat bv. het nie gelei tot blokkering tydens sleutelstawing in SSH nie).
  • Systemd-coredump voeg 'n "EnterNamespace"-opsie by wat toegang tot die monteerpuntspasie van enige gecrashte prosesse toelaat om hul ontfoutingsimbole te verkry. In die praktyk kan die opsie nuttig wees om terugspoor van kernlêers te organiseer vanaf toepassings wat in geïsoleerde houers loop.
  • systemd-logind sluit verwerking van die Ctrl-Alt-Shift-Esc-kombinasie in om die org.freedesktop.login1.SecureAttentionKey-sein na die gebruikersomgewingskomponente te stuur met 'n versoek om 'n veilige aanmelddialoog te vertoon. Het die "DesignatedMaintenanceTime"-instelling geïmplementeer om outomaties werk te skeduleer om op 'n gespesifiseerde tyd te voltooi. In analogie met ondersteuning vir DRM- en evdev-toestelle, is ondersteuning bygevoeg vir die konfigurasie van toegang vir onbevoorregte gebruikers tot hidraw-toestelle (speletjiebeheerders en joysticks).
  • systemd-machined ondersteun nou onbevoorregte kliëntaanmeldings. virtuele masjiene en houers. Toegang tot systemd-bewerkte funksionaliteit word verskaf via die Varlink API, benewens D-Bus.
  • 'n Nuwe afdeling "[IPv6AddressLabel]" is by die networkd.conf-konfigurasielêer gevoeg om etikette en voorvoegsels vir IPv6-adresse op te stel
  • Bygevoeg "--stdin" opsie by 'networkctl edit' opdrag om lêerinhoud van standaard stroom te kry. Bygevoeg ondersteuning vir die redigering en vertoon van .netdev-lêers deur 'n netwerkkoppelvlak te spesifiseer na die 'networkctl edit' en 'networkctl cat' opdragte. Bygevoeg opsie "--geen-vra-wagwoord" om interaktiewe magtiging te deaktiveer.
  • Het 'n "--sertifikaat-bron" opsie by die ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart en systemd-sbsign nutsprogramme gevoeg om 'n X.509-sertifikaat deur die OpenSSL-verskaffer te laai in plaas daarvan om direk vanaf 'n lêer.
  • systemd-boot voeg die vermoë by om die volumeknoppies te gebruik om op en af ​​te beweeg deur die opstartkieslys, wat nuttig kan wees op toestelle soos slimfone. Ondersteuning vir die installering van die UEFI Secure Boot-databasis in ESL(db/dbx/...)-formaat vir systemd-boot is by die bootctl-hulpprogram gevoeg.
  • Bygevoeg "--list-invocation" opsie by journalctl om 'n lys van eenheidsoproepe te wys en "--invocation" opsie ("-I") om logs te wys wat slegs met 'n spesifieke oproep geassosieer word.
  • systemd-nspawn voeg ondersteuning by vir onbevoorregte gebruik van FUSE (Lêerstelsel in gebruikersruimte) in houers. Wanneer die "--bind-gebruiker" opsie gebruik word, word die gebruiker se SSH sleutels wat benodig word vir toegang via SSH na die houer aangestuur.
  • libsystemd het 'n nuwe programmeringskoppelvlak "sd-json" bygevoeg wat die JSON-formaat gebruik, sowel as 'n koppelvlak "sd-varlink" wat IPC Varlink gebruik.
  • Die aanbevole basiskernweergawe is opgegradeer na vrystelling 5.4, wat in 2019 gevorm is. Volgende jaar beplan hulle om op te hou om ouer pitte te ondersteun en die 5.4-weergawe as die minimum ondersteunde basisweergawe te merk.
  • Ondersteuning vir cgroups v1 is opgeskort en is by verstek gedeaktiveer (om dit te aktiveer, moet jy SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 op die kernopdragreël spesifiseer, benewens om dit in die systemd-instellings te aktiveer). Die volgende weergawe van systemd 258 beplan om die cgroups v1-verwante kode heeltemal te verwyder. Systemd weergawe 258 is ook beplan om ondersteuning vir System V-diensskrifte te verwyder.

Bron: opennet.ru

Koop betroubare hosting vir werwe met DDoS-beskerming, VPS VDS-bedieners 🔥 Koop betroubare webwerfhosting met DDoS-beskerming, VPS VDS-bedieners | ProHoster