ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > የስርዓት አስተዳዳሪ መልቀቅ 248

የስርዓት አስተዳዳሪ መልቀቅ 248

ከአራት ወራት እድገት በኋላ የስርዓት አስተዳዳሪ systemd 248 መልቀቅ ቀርቧል አዲሱ ልቀት የስርዓት ማውጫዎችን ለማስፋት ምስሎችን ፣የ/ወዘተ/veritytab ውቅር ፋይልን ፣የስርዓትd-cryptenroll utilityን ፣ TPM2 ቺፖችን እና FIDO2ን በመጠቀም LUKS2ን ለመክፈት ድጋፍ ይሰጣል። ቶከኖች፣ አሃዶችን በገለልተኛ የአይፒሲ መለያ ቦታ ውስጥ ማስኬድ፣ BATMAN ለሜሽ ኔትወርኮች ፕሮቶኮል፣ nftables backend ለ systemd-nspawn። Systemd-oomd ተረጋግቷል።

ዋና ለውጦች፡-

  • የ/usr/ እና /opt/ directories ተዋረድን ለማራዘም እና ተጨማሪ ፋይሎችን በስራ ሰዓት ለመጨመር የሚያገለግል የስርዓት ቅጥያ ምስሎች ጽንሰ-ሀሳብ ተተግብሯል፣ ምንም እንኳን የተገለጹት ማውጫዎች ተነባቢ-ብቻ ቢሰቀሉም። የስርዓት ቅጥያ ምስል ሲሰቀል፣ ይዘቱ ተደራቢFSን በመጠቀም በ/usr/ እና /opt/ ተዋረድ ላይ ተሸፍኗል።

    የስርዓት ቅጥያዎችን ምስሎችን ለማገናኘት፣ ለማላቀቅ፣ ለማየት እና ለማዘመን አዲስ መገልገያ፣ systemd-sysext ቀርቧል። በሚነሳበት ጊዜ አስቀድመው የተጫኑ ምስሎችን በራስ-ሰር ለማገናኘት የsystemd-sysext.አገልግሎት አገልግሎት ታክሏል። የሚደገፉ የስርዓት ቅጥያዎችን ደረጃ ለማወቅ "SYSEXT_LEVEL=" መለኪያ ወደ os-lease ፋይል ታክሏል።

  • ለአሃዶች፣ የExtensionImages ቅንብር ተተግብሯል፣ ይህም የስርዓት ቅጥያ ምስሎችን ከ FS የስም ቦታ ተዋረድ ጋር ለማገናኘት ሊያገለግል ይችላል።
  • የዲኤም-ቨርቲ ሞጁሉን በመጠቀም የመረጃ ማረጋገጫን በብሎክ ደረጃ ለማዋቀር /etc/veritytab ውቅር ፋይል ታክሏል። የፋይል ቅርጸቱ ከ /etc/crypttab - “section_name device_for_data device_for_hashes check_hash_root አማራጮች” ጋር ተመሳሳይ ነው። ታክሏል systemd.verity.root_options የከርነል ትዕዛዝ መስመር አማራጭ ለስር መሳሪያው dm-verity ባህሪን ለማዋቀር።
  • systemd-cryptsetup የPKCS#11 token URI እና ኢንክሪፕትድ የተደረገ ቁልፍን ከLUKS2 ሜታዳታ ራስጌ በJSON ቅርጸት የማውጣት ችሎታን ይጨምራል፣ ይህም ኢንክሪፕት የተደረገ መሳሪያን ስለመክፈት መረጃ ውጫዊ ፋይሎችን ሳያካትት በራሱ ውስጥ እንዲካተት ያስችላል።
  • systemd-cryptsetup TPM2 ቺፖችን እና FIDO2 ቶከኖችን በመጠቀም LUKS2 ኢንክሪፕትድ የተደረገ ክፍልፋዮችን ለመክፈት ድጋፍ ይሰጣል፣ ከዚህ ቀደም ከሚደገፉት PKCS#11 ቶከኖች በተጨማሪ። libfido2 ን መጫን በ dlopen () በኩል ይከናወናል ፣ ማለትም። ተገኝነት እንደ ጠንካራ ባለገመድ ጥገኝነት ሳይሆን በበረራ ላይ ነው።
  • ከኢንክሪፕሽን እና ዲክሪፕት ጋር የተገናኘ I/O የተመሳሰለ ሂደትን ለማስቻል አዲስ አማራጮች "የማይፃፍ-የስራ ወረፋ" እና "ማንበብ-የስራ ወረፋ" ወደ /etc/crypttab ለ systemd-cryptsetup ታክለዋል።
  • ሲስተድ-ሪፓርት መገልገያ TPM2 ቺፖችን በመጠቀም ኢንክሪፕትድ የተደረጉ ክፍሎችን የማግበር ችሎታን አክሏል ፣ለምሳሌ ፣ በመጀመሪያ ቡት ላይ ኢንክሪፕት የተደረገ / var ክፍልፍል ለመፍጠር።
  • TPM2፣ FIDO2 እና PKCS#11 ቶከኖችን ከLUKS ክፍልፋዮች ጋር ለማሰር የስርዓትd-cryptenroll መገልገያ ታክሏል፣እንዲሁም ቶከኖችን ለመንቀል እና ለማየት፣የመለዋወጫ ቁልፎችን ለማሰር እና ለመዳረሻ የይለፍ ቃል ለማዘጋጀት።
  • በገለልተኛ የአይፒሲ ቦታ ላይ ሂደቶችን በራሳቸው የተለየ መለያ እና የመልእክት ወረፋ ለማስኬድ የዩኒት ፋይሉን እንዲያዋቅሩ የሚያስችል የPrivateIPC መለኪያ ታክሏል። አንድን አሃድ አስቀድሞ ከተፈጠረ የአይፒሲ መለያ ቦታ ጋር ለማገናኘት የIPCNnamespacePath አማራጭ ቀርቧል።
  • የ noexec ባንዲራ በተወሰኑ የፋይል ስርዓቱ ክፍሎች ላይ እንዲተገበር ለመፍቀድ የExecPaths እና NoExecPaths ቅንብሮች ታክለዋል።
  • systemd-networkd እያንዳንዱ መስቀለኛ መንገድ በአጎራባች ኖዶች የሚገናኝባቸው ያልተማከለ አውታረ መረቦች እንዲፈጠሩ ለሚያስችለው BATMAN (የተሻለ አቀራረብ ወደ ሞባይል አድሆክ አውታረ መረብ ግንኙነት) ድጋፍን ይጨምራል። ለማዋቀር፣ በኔትዴቭ ውስጥ ያለው [BatmanAdvanced] ክፍል፣ የ BatmanAdvanced parameter in .network ፋይሎች እና አዲስ የመሳሪያ አይነት “batadv” ቀርቧል።
  • በስርዓተ-ኦምድ ስርዓት ውስጥ ለዝቅተኛ ማህደረ ትውስታ የቅድመ ምላሽ ዘዴ ትግበራ ተረጋግቷል. አንድን ክፍል ከመነካቱ በፊት ሃብት የሚለቀቅበትን የጥበቃ ጊዜ ለማዋቀር የDefaultMemoryPressureDurationSec አማራጩን ታክሏል። Systemd-oomd የ PSI (Pressure Stall Information) የከርነል ንኡስ ስርዓትን ይጠቀማል እና በሃብት እጥረት ምክንያት መዘግየቶችን ፈልጎ እንዲያገኙ እና ስርዓቱ ገና ወሳኝ በሆነበት እና በሌለበት ደረጃ ሃብትን የሚጨምሩ ሂደቶችን በመምረጥ እንዲያቋርጡ ያስችልዎታል። መሸጎጫውን በከፍተኛ ሁኔታ መቁረጥ እና ውሂቡን ወደ ስዋፕ ክፋይ ማዛወር ይጀምሩ።
  • ታክሏል የከርነል ትዕዛዝ መስመር መለኪያ "root=tmpfs", ይህም Tmpfs ን በመጠቀም ራም ውስጥ ባለው ጊዜያዊ ማከማቻ ውስጥ የስር ክፋይን ለመጫን ያስችልዎታል.
  • የቁልፍ ፋይሉን የሚገልጸው /etc/crypttab መለኪያ አሁን ወደ AF_UNIX እና SOCK_STREAM ሶኬት አይነቶች ሊያመለክት ይችላል። በዚህ ጊዜ ቁልፉ ወደ ሶኬት ሲገናኙ መሰጠት አለበት, ለምሳሌ, በተለዋዋጭ ቁልፎችን የሚሰጡ አገልግሎቶችን ለመፍጠር ሊያገለግል ይችላል.
  • በስርዓት አስተዳዳሪው እና በስርዓተ-አስተናጋጅ ስም የተሰየመው የመመለሻ አስተናጋጅ ስም አሁን በሁለት መንገዶች ሊዋቀር ይችላል፡ በDEFAULT_HOSTNAME በ os-lease እና በ$SYSTEMD_DEFAULT_HOSTNAME አካባቢ ተለዋዋጭ። systemd-hostnamed በተጨማሪም በአስተናጋጅ ስም ውስጥ "localhost" ይይዛል እና የአስተናጋጅ ስሙን እንዲሁም "HardwareVendor" እና "HardwareModel" ንብረቶችን በ DBus በኩል ወደ ውጭ የመላክ ችሎታን ይጨምራል።
  • የተጋለጠ የአካባቢ ተለዋዋጮች ያለው ብሎክ አሁን በአዲሱ ManagerEnvironment አማራጭ በ system.conf ወይም user.conf ሊዋቀር ይችላል፣ እና በከርነል ትዕዛዝ መስመር እና በዩኒት ፋይል ቅንጅቶች ብቻ አይደለም።
  • በማጠናቀር ጊዜ የደህንነት አውድ በመፈተሽ እና በመተግበር መካከል ያለውን መዘግየት ለመቀነስ ከexecve () ይልቅ ሂደቶችን ለመጀመር የ fexecve () ስርዓት ጥሪን መጠቀም ይቻላል።
  • ለአሃድ ፋይሎች፣ የ TPM2 መሳሪያዎች እና የግለሰብ ሲፒዩ መኖራቸውን ለመፈተሽ አዲስ ሁኔታዊ ኦፕሬሽኖች ConditionSecurity=tpm2 እና ConditionCPUFeature ታክለዋል (ለምሳሌ፡ ConditionCPUFeature=rdrand ፕሮሰሰሩ የRDRAND ስራን መደገፉን ለማረጋገጥ መጠቀም ይቻላል)።
  • ላሉ ከርነሎች፣ ለሴኮምፕ ማጣሪያዎች የስርዓት ጥሪ ሰንጠረዦችን በራስ ሰር ማመንጨት ተተግብሯል።
  • አገልግሎቶቹን ዳግም ሳይጀምር አዲስ ማሰሪያ ማያያዣዎችን አሁን ባሉት የአገልግሎቶች ተራራ የስም ቦታዎች የመተካት ችሎታ ታክሏል። መተካት የሚከናወነው በትእዛዞች 'systemctl bind ...' እና 'systemctl mount-image …'
  • በStandardOutput እና StandardError ቅንጅቶች ውስጥ ዱካዎችን ለመጥቀስ ድጋፍ ታክሏል በቅፅ “truncate: » ከመጠቀምዎ በፊት ለማጽዳት.
  • ከተወሰነ ተጠቃሚ ክፍለ ጊዜ ጋር በአካባቢያዊ መያዣ ወደ ኤስዲ-አውቶብስ ግንኙነት የመፍጠር ችሎታ ታክሏል። ለምሳሌ "systemctl -user -M lennart@ start quux"።
  • የሚከተሉት መለኪያዎች በ systemd.link ፋይሎች ውስጥ በ [አገናኝ] ክፍል ውስጥ ይተገበራሉ፡
    • ዝሙት - ሁሉንም የአውታረ መረብ እሽጎች ለማስኬድ መሳሪያውን ወደ "ዝሙት" ሁነታ እንዲቀይሩ ይፈቅድልዎታል, ለአሁኑ ስርዓት ያልተገለጹትን ጨምሮ;
    • የTX እና RX ወረፋዎችን ቁጥር ለማዘጋጀት TransmitQueues እና ReceiveQueues;
    • የTX ወረፋ መጠን ለማዘጋጀት TransmitQueueLength; GenericSegmentOffloadMaxBytes እና GenericSegmentOffloadMaxSegment ለ GRO (አጠቃላይ ከስራ ውጪ የሚቀበል) ቴክኖሎጂ አጠቃቀም ገደቦችን ለማዘጋጀት።
  • አዲስ ቅንብሮች ወደ systemd.network ፋይሎች ታክለዋል፡-
    • [Network] RouteTable የማዞሪያ ጠረጴዛ ለመምረጥ;
    • [RoutingPolicyRule] ለመዘዋወር አይነት ይተይቡ ("ጥቁር ጉድጓድ፣ "የማይደረስበት"፣ "ክልክል");
    • [IPv6AcceptRA] RouteDenyList እና RouteAllowList ለተፈቀዱ እና የተከለከሉ የመንገድ ማስታወቂያዎች ዝርዝሮች;
    • [DHCPv6] በDHCP የተሰጠውን አድራሻ ችላ ለማለት አድራሻዎችን ይጠቀሙ።
    • [DHCPv6PrefixDelegation] ጊዜያዊ አድራሻን አስተዳድር;
    • የበይነገጽ እንቅስቃሴን በተመለከተ ፖሊሲውን ለመወሰን ActivationPolicy (ሁልጊዜ ወደላይ ወይም ወደ ታች ሁኔታን አቆይ ወይም ተጠቃሚው በ"ip link set dev" ትዕዛዝ ግዛቶችን እንዲቀይር ፍቀድ)።
  • የVLAN ፓኬት ሂደትን ለማዋቀር [VLAN] ፕሮቶኮል፣ IngressQOSMaps፣ EgressQOSMaps እና [MACVLAN] BroadcastMulticastQueueLength አማራጮች ወደ systemd.netdev ፋይሎች ታክለዋል።
  • ሊተገበር የሚችለውን ባንዲራ ከ/dev/sgx ፋይሎች ጋር ሲጠቀሙ ግጭት ስለሚፈጠር /dev/ directory በ noexec ሁነታ መጫን አቁሟል። የድሮውን ባህሪ ለመመለስ የ NoExecPaths=/dev መቼት መጠቀም ይችላሉ።
  • የ/dev/vsock ፋይል ፈቃዶች ወደ 0o666 ተለውጠዋል፣ እና /dev/vhost-vsock እና/dev/vhost-net ፋይሎች ወደ kvm ቡድን ተወስደዋል።
  • የእንቅልፍ ሁነታን በትክክል በሚደግፉ የዩኤስቢ የጣት አሻራ አንባቢ የሃርድዌር መታወቂያ ዳታቤዝ ተዘርግቷል።
  • ለዲኤንኤስኤስኢሲ ጥያቄዎች በጠንካራ ፈቺ በኩል ምላሾችን ለመስጠት systemd-የተፈታ ተጨማሪ ድጋፍ። የአካባቢ ደንበኞች የDNSSEC ማረጋገጫን በራሳቸው ማከናወን ይችላሉ፣ የውጭ ደንበኞች ግን ሳይለወጡ ወደ ወላጅ ዲ ኤን ኤስ አገልጋይ ተኪ ናቸው።
  • የ CacheFromLocalhost አማራጩን ወደ resolved.conf ታክሏል፣ ሲዋቀር systemd-resolved በ 127.0.0.1 ወደ ዲ ኤን ኤስ አገልጋይ ለሚደረገው ጥሪ እንኳን መሸጎጫ ይጠቀማል (በነባሪ፣ ድርብ መሸጎጥን ለማስቀረት እንደዚህ ያሉ ጥያቄዎችን መሸጎጥ ተሰናክሏል)።
  • systemd-resolved ለ RFC-5001 NSID ዎች በአካባቢያዊ ዲ ኤን ኤስ ፈላጊ ውስጥ ድጋፍን ይጨምራል ፣ ይህም ደንበኞች ከአካባቢው ፈላጊ እና ከሌላ ዲ ኤን ኤስ አገልጋይ ጋር ያለውን ግንኙነት እንዲለዩ ያስችላቸዋል።
  • የ resolvectl መገልገያ ስለ የውሂብ ምንጭ (አካባቢያዊ መሸጎጫ ፣ የአውታረ መረብ ጥያቄ ፣ የአካባቢ ፕሮሰሰር ምላሽ) እና መረጃን በሚያስተላልፉበት ጊዜ ምስጠራን የማሳየት ችሎታን ይተገበራል። አማራጮቹ --cache, --synthesize, --network, --zone, --trust-anchor እና --validate የስም አወሳሰን ሂደትን ለመቆጣጠር ቀርበዋል።
  • systemd-nspawn አሁን ካለው የiptables ድጋፍ በተጨማሪ nftablesን በመጠቀም ፋየርዎልን ለማዋቀር ድጋፍን ይጨምራል። በsystemd-networkd ውስጥ ያለው የIPMasquerade ማዋቀር በ nftables ላይ የተመሰረተ የጀርባ ማቀፊያን የመጠቀም ችሎታን ጨምሯል።
  • systemd-localed የጎደሉ አካባቢዎችን ለመፍጠር locale-gen ለመጥራት ተጨማሪ ድጋፍ።
  • አማራጮች --pager/-no-pager/-json= የፔጂንግ ሁነታን ለማንቃት/ለማሰናከል እና በJSON ቅርጸት ወደተለያዩ መገልገያዎች ተጨምረዋል። በ SYSTEMD_COLORS አካባቢ ተለዋዋጭ ("16" ወይም "256") በተርሚናል ውስጥ ጥቅም ላይ የሚውሉትን የቀለሞች ብዛት የማዘጋጀት ችሎታ ታክሏል።
  • ግንባታው በተለየ የማውጫ ተዋረዶች (የተከፋፈለ/እና/usr) እና የቡድን v1 ድጋፍ ተቋርጧል።
  • በጊት የሚገኘው ዋና ቅርንጫፍ ከ'ማስተር' ወደ 'ዋና' ተቀይሯል።

ምንጭ: opennet.ru

አስተያየት ያክሉ