🥇የስርዓት አስተዳዳሪ መልቀቅ 243

ከአምስት ወራት እድገት በኋላ ቀርቧል የስርዓት አስተዳዳሪ መልቀቅ systemd 243. ከአዳዲስ ፈጠራዎች መካከል በሲስተሙ ውስጥ ላለው ዝቅተኛ ማህደረ ትውስታ ተቆጣጣሪው ወደ ፒአይዲ 1 ውህደት ፣ የአሃድ ትራፊክን ለማጣራት የራስዎን BPF ፕሮግራሞች ለማያያዝ ድጋፍ ፣ ለስርዓት-አውታረ መረብ ብዙ አዳዲስ አማራጮች ፣ የአውታረ መረብ የመተላለፊያ ይዘትን የመቆጣጠር ዘዴን እናስተውላለን። በይነገጾች፣ በነባሪ በ64-ቢት ሲስተሞች 22-ቢት ፒአይዲ ቁጥሮች ከ16-ቢት ይልቅ ማንቃት፣ ወደ የተዋሃደ የቡድኖች ተዋረድ ሽግግር፣ በስርዓት-ኔትወርክ-ጄነሬተር ውስጥ መካተት።

ዋና ለውጦች፡-

የማህደረ ትውስታ ፍጆታ ገደቡ ላይ የደረሱ ክፍሎችን እንዲያቋርጡ በማስገደድ ወደ ልዩ ሁኔታ ለማዘዋወር ከከርነል የመነጩ ምልክቶችን ማወቅ (ከማስታወሻ ውጭ ፣ OOM) ወደ PID 1 ተቆጣጣሪው ተጨምሯል። ወይም ማቆም;
ለአሃድ ፋይሎች፣ አዲስ ግቤቶች IPIngressFilterPath እና
IPEgressFilterPath፣ ከዚህ ክፍል ጋር በተያያዙ ሂደቶች የተፈጠሩ ገቢ እና ወጪ IP ፓኬቶችን ለማጣራት የBPF ፕሮግራሞችን በዘፈቀደ ተቆጣጣሪዎች እንዲያገናኙ የሚያስችልዎት። የታቀዱት ባህሪዎች ለስርዓት አገልግሎቶች አንድ ዓይነት ፋየርዎል እንዲፈጥሩ ያስችሉዎታል። ምሳሌ መፃፍ በ BPF ላይ የተመሠረተ ቀላል የአውታረ መረብ ማጣሪያ;
"ንጹህ" ትዕዛዝ መሸጎጫውን, የሩጫ ጊዜ ፋይሎችን, የሁኔታ መረጃን እና የምዝግብ ማስታወሻዎችን ለመሰረዝ ወደ systemctl መገልገያ ተጨምሯል;
systemd-networkd ለ MACsec, nlmon, IPVTAP እና Xfrm አውታረመረብ በይነገጾች ድጋፍን ይጨምራል;
systemd-networkd የDHCPv4 እና DHCPv6 ቁልልዎችን በ"[DHCPv4]" እና"[DHCPv6]" ክፍሎች በማዋቀር ፋይሉ ውስጥ የተለየ ውቅርን ይተገብራል። ከDHCP አገልጋይ በተቀበሉት መመዘኛዎች ውስጥ በተገለጹት የዲኤንኤስ አገልጋይ ላይ የተለየ መንገድ ለመጨመር RoutesToDNS አማራጭ ታክሏል (ስለዚህ ወደ ዲ ኤን ኤስ የሚወስደው ትራፊክ ከ DHCP በተቀበለው ዋና መንገድ በተመሳሳይ አገናኝ በኩል ይላካል)። ለ DHCPv4 አዲስ አማራጮች ተጨምረዋል፡ MaxAttempts - አድራሻ ለማግኘት ከፍተኛው የጥያቄዎች ብዛት፣ BlackList - የ DHCP አገልጋዮች ጥቁር ዝርዝር፣ መላክ - ክፍለ-ጊዜው ሲያልቅ የDHCP ልቀት መልዕክቶችን መላክን ማንቃት;
አዲስ ትዕዛዞች ወደ systemd-analyze መገልገያ ታክለዋል፡-
- "የጊዜ ማህተም በስርዓት የተተነተነ" - ጊዜን መተንተን እና መለወጥ;
- "የስርዓት-የመተንተን ጊዜዎችን" - የጊዜ ክፍተቶችን መተንተን እና መለወጥ;
- "የስርዓት-የመተንተን ሁኔታ" - መተንተን እና መሞከር ConditionXYZ አገላለጾችን;
- "Systemd-Alyze exit-status" - የመውጫ ኮዶችን ከቁጥሮች ወደ ስሞች መተንተን እና መለወጥ;
- "systemd-analyze unit-files" - ሁሉንም የፋይል ዱካዎች ለአሃዶች እና ዩኒት ተለዋጭ ስሞች ይዘረዝራል።
አማራጮች SuccessExitStatus፣RestartPreventExitStatus እና
RestartForceExitStatus አሁን የቁጥር መመለሻ ኮዶችን ብቻ ሳይሆን የጽሑፍ መለያቸውን (ለምሳሌ "DATAERR") ይደግፋል። "Stemd-analyze exit-status" የሚለውን ትዕዛዝ በመጠቀም ለመለያዎች የተመደቡትን የኮዶች ዝርዝር ማየት ይችላሉ;
ምናባዊ አውታረ መረብ መሳሪያዎችን ለመሰረዝ የ "ሰርዝ" ትዕዛዝ ወደ networkctl መገልገያ ተጨምሯል, እንዲሁም የመሣሪያ ስታቲስቲክስን ለማሳየት "- ስታቲስቲክስ" አማራጭ;
የፍጥነት መለኪያ እና የ SpeedMeterIntervalSec ቅንጅቶች ወደ networkd.conf በየጊዜው የአውታረ መረብ በይነገጾችን ፍሰት ለመለካት ተጨምረዋል። ከመለኪያ ውጤቶች የተገኙ ስታቲስቲክስ በ 'networkctl ሁኔታ' ትዕዛዝ ውጤት ውስጥ ሊታይ ይችላል;
ፋይሎችን ለማመንጨት አዲስ መገልገያ systemd-network-generator ታክሏል።
.network፣ .netdev እና .link በ IP ቅንብሮች ላይ ተመስርተው በሊኑክስ ከርነል ትዕዛዝ መስመር ሲጀመር በ Dracut settings ፎርማት አልፈዋል።
በ64-ቢት ሲስተሞች ላይ ያለው የ sysctl "kernel.pid_max" ዋጋ አሁን በነባሪነት ወደ 4194304 (22-ቢት ፒአይዲዎች ከ16-ቢት ይልቅ) ተቀናብሯል፣ ይህም PID ሲመደብ የመጋጨት እድልን ይቀንሳል፣ በተመሳሳይ ጊዜ የቁጥር ገደብ ይጨምራል። ሂደቶችን ማካሄድ, እና በደህንነት ላይ አዎንታዊ ተጽእኖ ይኖረዋል. ለውጡ ወደ ተኳኋኝነት ጉዳዮች ሊያመራ ይችላል ፣ ግን እንደዚህ ያሉ ጉዳዮች በተግባር ገና አልተገለፁም ።
በነባሪ፣ የግንባታ ደረጃ ወደ የተዋሃደ ተዋረድ cgroups-v2 ይቀየራል ("-Ddefault-hierarchy=unified") ከዚህ ቀደም ነባሪው ድቅል ሁነታ ነበር ("-Ddefault-hierarchy= hybrid");
የስርዓት ጥሪ ማጣሪያ (SystemCallFilter) ባህሪ ተለውጧል, የተከለከለ የስርዓት ጥሪ ከሆነ, አሁን ነጠላ ክሮች ማቋረጥ ወደ ያልተጠበቁ ችግሮች ሊያመራ ስለሚችል ከግል ክሮች ይልቅ አጠቃላይ ሂደቱን ያቋርጣል. ለውጦቹ የሚተገበሩት ሊኑክስ ከርነል 4.14+ እና libseccomp 2.4.0+ ካለዎት ብቻ ነው።
ያልተከፈቱ ፕሮግራሞች sysctl "net.ipv4.ping_group_range" ለቡድኖች በሙሉ (ለሁሉም ሂደቶች) በማዘጋጀት ICMP Echo (ping) ፓኬቶችን ለመላክ ችሎታ ተሰጥቷቸዋል.
የግንባታ ሂደቱን ለማፋጠን የሰው ማኑዋሎችን ማመንጨት በነባሪነት ቆሟል (ሙሉ ሰነዶችን ለመገንባት በኤችቲኤምኤል ቅርጸት ለመመሪያዎች "-Dman = True" ወይም "-Dhtml=true" የሚለውን አማራጭ መጠቀም ያስፈልግዎታል). ሰነዶቹን ለማየት ቀላል ለማድረግ, ሁለት ስክሪፕቶች ተካትተዋል: ግንባታ / ሰው / ሰው እና ግንባታ / ሰው / ኤችቲኤምኤል የፍላጎት መመሪያዎችን ለማምረት እና ለማየት;
የጎራ ስሞችን ከብሔራዊ ፊደላት ቁምፊዎች ለማስኬድ, libidn2 ቤተ-መጽሐፍት በነባሪነት ጥቅም ላይ ይውላል (libidn ለመመለስ, "-Dlibidn=true" አማራጭን ይጠቀሙ);
በስርጭት ውስጥ በስፋት ያልተሰራጨውን ተግባር ያቀረበው የ/usr/sbin/halt.local executable ፋይል ድጋፍ ተቋርጧል። ሲዘጋ የትእዛዞችን ጅምር ለማደራጀት በ / usr/lib/systemd/system-shutdown/ ውስጥ ስክሪፕቶችን መጠቀም ወይም በ final.target ላይ የሚወሰን አዲስ አሃድ መግለጽ ይመከራል።
በመጨረሻው የመዝጋት ደረጃ ፣ systemd አሁን በ sysctl "kernel.printk" ውስጥ የምዝግብ ማስታወሻ ደረጃን በራስ-ሰር ይጨምራል ፣ይህም በኋለኞቹ የመዝጊያ ደረጃዎች ውስጥ የተከሰቱትን የምዝግብ ማስታወሻዎች በማሳየት ችግሩን ይፈታል ፣ መደበኛ የሎግ ዳሞኖች ቀድሞውኑ ሲጠናቀቁ። ;
በጆርናልctl እና ሌሎች መገልገያዎች ላይ ምዝግብ ማስታወሻዎችን በሚያሳዩበት ጊዜ ማስጠንቀቂያዎች በቢጫ ይደምቃሉ, እና የኦዲት መዝገቦችን ከህዝቡ በእይታ ለማጉላት በሰማያዊ ይደምቃሉ;
በ$PATH አካባቢ ተለዋዋጭ፣ ወደ ቢን/ የሚወስደው መንገድ አሁን ወደ sbin ከሚወስደው መንገድ በፊት ይመጣል፣ ማለትም። በሁለቱም ዳይሬክቶሬቶች ውስጥ ተመሳሳይ ተመሳሳይ የሆኑ ተፈጻሚነት ያላቸው ፋይሎች ካሉ ከቢን / ፋይሉ ይፈጸማል;
systemd-logind በየክፍለ ጊዜ የስክሪን ብሩህነት በአስተማማኝ ሁኔታ ለመቀየር SetBrightness() ጥሪ ያቀርባል።
መሣሪያው እስኪጀምር ድረስ ለመጠበቅ የ "--wait-for-initialization" ባንዲራ ወደ "udevadm መረጃ" ትዕዛዝ ተጨምሯል;
በስርዓት ማስነሻ ጊዜ፣ PID 1 ተቆጣጣሪ አሁን ከመግለጫቸው ጋር በመስመር ምትክ የዩኒቶች ስሞችን ያሳያል። ወደ ቀድሞው ባህሪ ለመመለስ የStatusUnitFormat አማራጭን በ /etc/systemd/system.conf ወይም systemd.status_unit_format kernel አማራጭን መጠቀም ትችላለህ።
የKExecWatchdogSec አማራጭ ወደ /etc/systemd/system.conf ለክትትል PID 1 ታክሏል፣ ይህ ደግሞ kexecን ተጠቅሞ ዳግም የሚጀመርበትን ጊዜ ይገልጻል። የድሮ ቅንብር
ShutdownWatchdogSec ወደ RebootWatchdogSec ተቀይሯል እና በሚዘጋበት ጊዜ ወይም መደበኛ ዳግም በሚጀመርበት ጊዜ ለስራዎች የሚቆይበትን ጊዜ ይገልጻል።
ለአገልግሎቶች አዲስ አማራጭ ታክሏል። ማስፈጸሚያ, ይህም ከExecStartPre በፊት የሚፈጸሙ ትዕዛዞችን እንዲገልጹ ያስችልዎታል. በትእዛዙ በተመለሰው የስህተት ኮድ መሰረት ፣ ክፍሉን ለተጨማሪ አፈፃፀም ውሳኔ ይሰጣል - ኮድ 0 ከተመለሰ ፣ ክፍሉ ጅምር ይቀጥላል ፣ ከ 1 እስከ 254 ከሆነ ያለ ውድቀት ባንዲራ በፀጥታ ያበቃል ፣ 255 ከሆነ ያበቃል ውድቀት ባንዲራ;
መረጃን ከ sys/fs/pstore/ ለማውጣት እና ለተጨማሪ ትንተና ወደ /var/lib/pstore ለማስቀመጥ አዲስ አገልግሎት systemd-pstore.service ታክሏል።
ከአውታረ መረብ በይነገጾች ጋር በተዛመደ የNTP መለኪያዎችን ለ systemd-timesyncd ለማዋቀር ወደ timedatectl መገልገያ አዲስ ትዕዛዞች ተጨምረዋል።
የ"localectl list-locales" ትዕዛዝ ከUTF-8 ውጪ ያሉ አካባቢዎችን አያሳይም።
የተለዋዋጭ ምደባ ስህተቶች በ sysctl.d/ ፋይሎች ላይ የተለዋዋጭ ስም በ "-" ቁምፊ የሚጀምር ከሆነ ችላ መባሉን ያረጋግጣል።
አገልግሎት systemd- የዘፈቀደ-ዘር.አገልግሎት አሁን የሊኑክስ ከርነል pseudorandom ቁጥር ጄኔሬተር ኢንትሮፒ ገንዳን የማስጀመር ሙሉ ኃላፊነት አለበት። በትክክል የተጀመረ /dev/urandom የሚያስፈልጋቸው አገልግሎቶች systemd-random-seed.service በኋላ መጀመር አለባቸው;
የስርዓተ-ቡት ማስነሻ ጫኝ የመደገፍ አማራጭ ችሎታን ይሰጣል የዘር ፋይል በ EFI ስርዓት ክፍልፍል (ESP) ውስጥ በዘፈቀደ ቅደም ተከተል;
አዲስ ትዕዛዞች በ bootctl መገልገያ ላይ ተጨምረዋል፡ "bootctl random-seed" በ ESP ውስጥ የዘር ፋይል ለማመንጨት እና "bootctl is-installed" የስርዓተ-ቡት ማስነሻ ጫኝ መጫኑን ለማረጋገጥ። bootctl ስለ ማስነሻ ግቤቶች የተሳሳተ ውቅር ማስጠንቀቂያ ለማሳየት ተስተካክሏል (ለምሳሌ የከርነል ምስሉ ሲሰረዝ ነገር ግን የሚጫንበት ግቤት ይቀራል)።
ስርዓቱ ወደ እንቅልፍ ሁነታ ሲገባ የመለዋወጫ ክፍልፋይ በራስ ሰር ምርጫን ያቀርባል። ክፋዩ የሚመረጠው ለእሱ በተዋቀረው ቅድሚያ ላይ በመመስረት ነው, እና ተመሳሳይ በሆኑ ቅድሚያዎች ላይ, የነፃ ቦታ መጠን;
ኢንክሪፕት የተደረገውን ክፋይ ለመድረስ የይለፍ ቃል ከመጠየቁ በፊት የምስጠራ ቁልፉ ያለው መሳሪያ ለምን ያህል ጊዜ እንደሚቆይ ለማዘጋጀት ወደ /etc/crypttab የተጨመረ የቁልፍ ፋይል ጊዜ ማብቂያ አማራጭ;
ለBFQ መርሐግብር የ I/O ክብደት ለማዘጋጀት የIOWeight አማራጭ ታክሏል፤
systemd-የተፈታ የተጨመረ 'ጥብቅ' ሁነታ ለ DNS-over-TLS እና መሸጎጫ ብቻ አዎንታዊ የዲ ኤን ኤስ ምላሾችን ("Cache no-negative" in resolved.conf);
ለVXLAN፣ systemd-networkd የVXLAN ፕሮቶኮል ቅጥያዎችን ለማንቃት GenericProtocolExtension አማራጭን አክሏል። ለVXLAN እና GENEVE፣ ለሚወጡ እሽጎች የመከፋፈል ክልከላ ባንዲራ ለማዘጋጀት የIPDoNotFragment አማራጭ ተጨምሯል።
በስርዓተ-ኔትዎርክ ውስጥ፣ በ"[መንገድ]" ክፍል ውስጥ የ FastOpenNoCookie አማራጭ ከግል መንገዶች ጋር በተያያዘ የ TCP ግንኙነቶችን (TFO - TCP Fast Open, RFC 7413) በፍጥነት ለመክፈት የሚያስችል ዘዴን ለማስቻል እና እንዲሁም የ TTLPropagate አማራጭ ታይቷል TTL LSP (መለያ የተቀየረ መንገድ) ለማዋቀር። የ"አይነት" አማራጭ ለአካባቢያዊ፣ ብሮድካስት፣ ማንኛውም ቀረጻ፣ ባለብዙ ካሴት፣ ለማንኛውም እና ለ xresolve ማዞሪያ ሁነታዎች ድጋፍ ይሰጣል።
Systemd-networkd ለአንድ የተወሰነ የአውታረ መረብ መሳሪያ ነባሪ መንገድን በራስ ሰር ለማዋቀር በ"[Network]" ክፍል ውስጥ የDefaultRouteOnDevice አማራጭን ይሰጣል።
Systemd-networkd ProxyARP እና አክሏል።
ProxyARPWifi የተኪ ኤአርፒ ባህሪን ለማቀናበር፣ MulticastRouter የማዞሪያ መለኪያዎችን በብዝሃካስት ሁነታ ለማቀናበር፣ MulticastIGMPVersion የ IGMP (የኢንተርኔት ቡድን አስተዳደር ፕሮቶኮል) የብዝሃ-ካስት ስሪት ለመቀየር;
Systemd-networkd የአካባቢ እና የርቀት አይፒ አድራሻዎችን እንዲሁም የአውታረ መረብ ወደብ ቁጥርን ለማዋቀር ለFooOverUDP ዋሻዎች የአካባቢ፣ የአቻ እና የፔርፖርት አማራጮችን አክሏል። ለ TUN ዋሻዎች፣ የ GSO (አጠቃላይ ክፍል Offload) ድጋፍን ለማዋቀር የVnetHeader አማራጭ ተጨምሯል።
በ systemd-networkd ውስጥ በ .network እና .link ፋይሎች ውስጥ በ [ተዛማጅ] ክፍል ውስጥ የንብረት አማራጭ ታይቷል, ይህም መሳሪያዎችን በ udev ውስጥ ባላቸው ልዩ ባህሪያት እንዲለዩ ያስችልዎታል;
በስርዓተ-ኔትወርክ ውስጥ፣ የዋሻው መጨረሻ ለ loopback መሣሪያ “lo” መመደብን የሚቆጣጠር AssignToLoopback አማራጭ ለዋሻዎች ተጨምሯል።
systemd-networkd በ sysctl disable_ipv6 በኩል ከታገደ የ IPv6 ቁልል በራስ-ሰር ያንቀሳቅሰዋል - IPv6 ነቅቷል IPv6 መቼቶች (ስታቲክ ወይም DHCPv6) ለአውታረመረብ በይነገጽ ከተገለጹ, አለበለዚያ አስቀድሞ የተቀመጠው የ sysctl እሴት አይለወጥም;
በአውታረ መረብ ፋይሎች ውስጥ፣ የCriticalConnection ቅንብር በKeepConfiguration አማራጭ ተተክቷል፣ይህም ሲስተድ-አውታረመረብ ያለበትን ሁኔታዎችን ("አዎ", "ስታቲክ", "dhcp-on-stop", "dhcp") የሚገልጽ ተጨማሪ ዘዴዎችን ይሰጣል. በሚነሳበት ጊዜ ያሉትን ግንኙነቶች አይንኩ;
ተጋላጭነት ተስተካክሏል። CVE-2019-15718, ወደ D-Bus በይነገጽ የመዳረሻ መቆጣጠሪያ እጥረት በስርዓተ-ተፈታ. ጉዳዩ ያልተፈቀደ ተጠቃሚ ለአስተዳዳሪዎች ብቻ የሚገኙ ተግባራትን እንዲያከናውን ያስችለዋል፣ ለምሳሌ የዲ ኤን ኤስ ቅንብሮችን መለወጥ እና የዲ ኤን ኤስ መጠይቆችን ወደ አጭበርባሪ አገልጋይ መምራት ፣
ተጋላጭነት ተስተካክሏል። CVE-2019-9619pam_systemd ላልተግባቡ ክፍለ ጊዜዎች አለማንቃት ጋር የተያያዘ፣ ይህም የነቃ ክፍለ ጊዜን ማጭበርበር ያስችላል።

ምንጭ: opennet.ru

የስርዓት አስተዳዳሪ መልቀቅ 243

አስተያየት ያክሉ ምላሽ መሰረዝ