ProHoster > Blog > internet xəbərləri > systemd sistem meneceri buraxılışı 250

systemd sistem meneceri buraxılışı 250

Beş aylıq inkişafdan sonra sistem meneceri systemd 250-nin buraxılışı təqdim edildi. Yeni buraxılış etimadnamələri şifrələnmiş formada saxlamaq imkanı təqdim etdi, rəqəmsal imzadan istifadə edərək avtomatik aşkarlanan GPT bölmələrinin yoxlanılması həyata keçirildi, gecikmələrin səbəbləri haqqında təkmilləşdirilmiş məlumatlar. başlanğıc xidmətləri və müəyyən fayl sistemlərinə və şəbəkə interfeyslərinə xidmət girişini məhdudlaşdırmaq üçün əlavə seçimlər, dm-integrity modulundan istifadə edərək bölmə bütövlüyünün monitorinqi üçün dəstək verilir və sd-boot avtomatik yeniləmə dəstəyi əlavə olunur.

Əsas dəyişikliklər:

  • SSL açarları və giriş parolları kimi həssas materialları təhlükəsiz saxlamaq üçün faydalı ola biləcək şifrələnmiş və təsdiqlənmiş etimadnamələr üçün əlavə dəstək. Etibarnamələrin şifrəsinin açılması yalnız zəruri hallarda və yerli quraşdırma və ya avadanlıqla əlaqədar olaraq həyata keçirilir. Məlumatlar simmetrik şifrələmə alqoritmlərindən istifadə etməklə avtomatik olaraq şifrələnir, onların açarı fayl sistemində, TPM2 çipində və ya kombinasiya sxemindən istifadə etməklə yerləşdirilə bilər. Xidmət işə salındıqda, etimadnamələr avtomatik olaraq deşifrə edilir və normal formada xidmət üçün əlçatan olur. Şifrələnmiş etimadnamələri ilə işləmək üçün "systemd-creds" yardım proqramı əlavə edilib və xidmətlər üçün LoadCredentialEncrypted və SetCredentialEncrypted parametrləri təklif olunub.
  • sd-stub, EFI mikroproqramına Linux nüvəsini yükləməyə imkan verən EFI icraedici faylı indi LINUX_EFI_INITRD_MEDIA_GUID EFI protokolundan istifadə edərək nüvənin yüklənməsini dəstəkləyir. Həmçinin sd-stub-a etimadnamələri və sysext fayllarını cpio arxivinə paketləmək və bu arxivi initrd ilə birlikdə nüvəyə köçürmək imkanı da əlavə olunur (əlavə fayllar /.extra/ kataloqunda yerləşdirilir). Bu xüsusiyyət sistem mətnləri və şifrələnmiş autentifikasiya məlumatları ilə tamamlanan yoxlanıla bilən dəyişməz initrd mühitindən istifadə etməyə imkan verir.
  • Kəşf edilə bilən arakəsmələrin spesifikasiyası GPT (GUID Partition Cədvəlləri) istifadə edərək sistem arakəsmələrinin müəyyən edilməsi, quraşdırılması və aktivləşdirilməsi üçün alətlər təqdim etməklə əhəmiyyətli dərəcədə genişləndirilmişdir. Əvvəlki buraxılışlarla müqayisədə spesifikasiya indi UEFI-dən istifadə etməyən platformalar da daxil olmaqla əksər arxitekturalar üçün kök bölməni və /usr bölməsini dəstəkləyir.

    Kəşf edilə bilən arakəsmələr, həmçinin tam təsdiqlənmiş disk şəkillərinin yaradılmasını asanlaşdıraraq, PKCS#7 rəqəmsal imzalarından istifadə edərək dm-verity modulu tərəfindən bütövlüyü təsdiqlənən bölmələrə dəstək əlavə edir. Doğrulama dəstəyi sistemd-nspawn, systemd-sysext, systemd-dissect, RootImage xidmətləri, systemd-tmpfiles və systemd-sysusers daxil olmaqla disk şəkillərini manipulyasiya edən müxtəlif utilitlərə inteqrasiya olunub.

  • Başlamaq və ya dayandırmaq üçün uzun müddət tələb edən bölmələr üçün, cizgi tərəqqi panelini göstərməklə yanaşı, hazırda xidmətdə dəqiq nə baş verdiyini və sistem menecerinin hansı xidmətdə olduğunu anlamağa imkan verən status məlumatını göstərmək mümkündür. hazırda tamamlanmasını gözləyir.
  • DefaultOOMScoreAdjust parametri /etc/systemd/system.conf və /etc/systemd/user.conf-a əlavə edildi ki, bu da sistem və istifadəçilər üçün sistemin başladığı proseslərə tətbiq olunan aşağı yaddaş üçün OOM öldürücü həddini tənzimləməyə imkan verir. Varsayılan olaraq, sistem xidmətlərinin çəkisi istifadəçi xidmətlərindən daha yüksəkdir, yəni. Kifayət qədər yaddaş olmadıqda, istifadəçi xidmətlərinin dayandırılması ehtimalı sistem xidmətlərindən daha yüksəkdir.
  • Xidmətlərin müəyyən növ fayl sistemlərinə girişini məhdudlaşdırmağa imkan verən RestrictFileSystems parametri əlavə edildi. Mövcud fayl sistemlərinin növlərinə baxmaq üçün “sistem-analiz fayl sistemləri” əmrindən istifadə edə bilərsiniz. Analoji olaraq, müəyyən şəbəkə interfeyslərinə girişi məhdudlaşdırmağa imkan verən RestrictNetworkInterfaces seçimi tətbiq edilmişdir. Tətbiq bir qrup proseslərin nüvə obyektlərinə çıxışını məhdudlaşdıran BPF LSM moduluna əsaslanır.
  • Yeni /etc/integritytab konfiqurasiya faylı və dm-integritysetup yardım proqramı əlavə edildi, məsələn, şifrələnmiş məlumatların dəyişməzliyini təmin etmək üçün sektor səviyyəsində məlumatların bütövlüyünə nəzarət etmək üçün dm-integrity modulunu konfiqurasiya edir (Authenticated Encryption, məlumat blokunun dairəvi şəkildə dəyişdirilməyib). /etc/integritytab faylının formatı /etc/crypttab və /etc/veritytab fayllarına bənzəyir, ancaq dm-kript və dm-verity əvəzinə dm-integrity istifadə olunur.
  • Yeni vahid fayl systemd-boot-update.service əlavə edildi, aktivləşdirildikdə və sd-boot bootloader quraşdırıldıqda, systemd yükləyici kodunu həmişə yeni saxlayaraq SD-boot yükləyicisinin versiyasını avtomatik yeniləyəcək. sd-boot özü indi defolt olaraq UEFI Secure Boot üçün sertifikatın ləğvi ilə bağlı problemləri həll edən SBAT (UEFI Secure Boot Advanced Targeting) mexanizminin dəstəyi ilə qurulub. Bundan əlavə, sd-boot Windows ilə yükləmə bölmələrinin adlarını düzgün yaratmaq və Windows versiyasını göstərmək üçün Microsoft Windows açılış parametrlərini təhlil etmək imkanı verir.

    sd-boot həm də qurma zamanı rəng sxemini təyin etmək imkanı verir. Yükləmə prosesi zamanı "r" düyməsini basaraq ekran həllini dəyişdirmək üçün dəstək əlavə edildi. Firmware konfiqurasiya interfeysinə keçmək üçün "f" isti düyməsi əlavə edildi. Son yükləmə zamanı seçilmiş menyu elementinə uyğun sistemi avtomatik yükləmək üçün rejim əlavə edildi. ESP (EFI Sistem Bölməsi) bölməsində /EFI/systemd/drivers/ kataloqunda yerləşən EFI sürücülərini avtomatik yükləmək imkanı əlavə edildi.

  • Yenidən yükləmə, söndürmə, dayandırma və qışlama əməliyyatlarına bənzər şəkildə systemd-logind-də işlənən və zavod parametrlərinə sıfırlamanı həyata keçirmək üçün işləyicilər yaratmaq üçün istifadə olunan yeni vahid faylı factory-reset.target daxil edilmişdir.
  • Systemd tərəfindən həll edilən proses indi 127.0.0.54-ə əlavə olaraq 127.0.0.53-də əlavə dinləmə yuvası yaradır. 127.0.0.54-ə gələn sorğular həmişə yuxarı axın DNS serverinə yönləndirilir və yerli olaraq işlənmir.
  • Libgcrypt əvəzinə OpenSSL kitabxanası ilə systemd-importd və systemd-resolved qurmaq imkanı təmin edilmişdir.
  • Loongson prosessorlarında istifadə edilən LoongArch arxitekturasına ilkin dəstək əlavə edildi.
  • systemd-gpt-auto-generator LUKS2 alt sistemi tərəfindən şifrələnmiş sistem tərəfindən müəyyən edilmiş dəyişdirmə bölmələrini avtomatik konfiqurasiya etmək imkanı verir.
  • systemd-nspawn, systemd-dissect və oxşar yardım proqramlarında istifadə edilən GPT təsvirin təhlili kodu digər arxitekturalar üçün şəkillərin deşifrə edilməsi qabiliyyətini həyata keçirir, bu da systemd-nspawn-dan digər arxitekturaların emulyatorlarında şəkilləri işə salmaq üçün istifadə etməyə imkan verir.
  • Disk şəkillərini yoxlayarkən, systemd-dissect indi bölmənin məqsədi haqqında, məsələn, UEFI vasitəsilə yükləmə və ya konteynerdə işləmək üçün uyğunluq kimi məlumatları göstərir.
  • “SYSEXT_SCOPE” sahəsi system-extension.d/ fayllarına əlavə edilib, sistem təsvirinin əhatə dairəsini – “initrd”, “sistem” və ya “portativ”i göstərməyə imkan verir.
  • Dəstəklənən vahid fayl prefikslərini müəyyən etmək üçün portativ şəkillərdə istifadə oluna bilən “PORTABLE_PREFIXES” sahəsi os-release faylına əlavə edilmişdir.
  • systemd-logind yeni parametrləri təqdim edir HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress və HandleHibernateKeyLongPress, bunlardan müəyyən düymələr 5 saniyədən çox basıldıqda nə baş verdiyini müəyyən etmək üçün istifadə edilə bilər (məsələn, Dayandırma düyməsini tez bir zamanda gözləmə rejiminə keçmək üçün konfiqurasiya edilə bilər) , və basılı tutulduqda yuxuya gedəcək).
  • Bölmələr üçün StartupAllowedCPUs və StartupAllowedMemoryNodes parametrləri həyata keçirilib ki, onlar Başlanğıc prefiksi olmayan oxşar parametrlərdən yalnız yükləmə və söndürmə mərhələsində tətbiq olunmaqla fərqlənir ki, bu da yükləmə zamanı digər resurs məhdudiyyətlərini təyin etməyə imkan verir.
  • PSI mexanizmi sistemdə yaddaş, CPU və I/O-da ağır yük aşkar edərsə, [Vəziyyət|Assert][Yaddaş|CPU|IO]Bölmənin aktivləşdirilməsinin atlanmasına və ya uğursuz olmasına imkan verən təzyiq yoxlamaları əlavə edildi.
  • Defolt maksimum inode limiti /dev bölməsi üçün 64k-dan 1M-ə, /tmp bölməsi üçün isə 400k-dan 1M-ə qədər artırılıb.
  • Xidmətlər üçün ExecSearchPath parametri təklif edilmişdir ki, bu da ExecStart kimi parametrlər vasitəsilə işə salınan icra olunan faylların axtarışı yolunu dəyişməyə imkan verir.
  • Vahidin icra müddətini məhdudlaşdıran RuntimeMaxSec fasiləsinə təsadüfi kənarlaşmalar daxil etməyə imkan verən RuntimeRandomizedExtraSec parametri əlavə edildi.
  • RuntimeDirectory, StateDirectory, CacheDirectory və LogsDirectory parametrlərinin sintaksisi genişləndirilib, burada iki nöqtə ilə ayrılmış əlavə dəyəri göstərərək, indi bir neçə yol boyunca girişi təşkil etmək üçün verilmiş kataloqa simvolik keçidin yaradılmasını təşkil edə bilərsiniz.
  • Xidmətlər üçün TTY cihazında sətir və sütunların sayını təyin etmək üçün TTYRows və TTYColumns parametrləri təklif olunur.
  • Xidmətin sonunu təyin etmək üçün məntiqi dəyişməyə imkan verən ExitType parametri əlavə edildi. Varsayılan olaraq, systemd yalnız əsas prosesin ölümünü izləyir, lakin ExitType=cgroup təyin edilərsə, sistem meneceri qrupdakı sonuncu prosesin tamamlanmasını gözləyəcək.
  • systemd-cryptsetup-un TPM2/FIDO2/PKCS11 dəstəyinin tətbiqi indi həm də cryptsetup plagini kimi qurulub və normal kriptosetup əmrindən şifrələnmiş bölmənin kilidini açmaq üçün istifadə etməyə imkan verir.
  • Systemd-cryptsetup/systemd-cryptsetup-da TPM2 işləyicisi ECC olmayan çiplərlə uyğunluğu yaxşılaşdırmaq üçün ECC açarlarına əlavə olaraq RSA əsas açarlarına dəstək əlavə edir.
  • Token-timeout seçimi /etc/crypttab-a əlavə edilmişdir ki, bu da sizə PKCS#11/FIDO2 token bağlantısını gözləmək üçün maksimum vaxtı müəyyən etməyə imkan verir, bundan sonra sizdən parol və ya bərpa açarını daxil etməyiniz xahiş olunacaq.
  • systemd-timesyncd SaveIntervalSec parametrini tətbiq edir ki, bu da cari sistem vaxtını vaxtaşırı diskdə saxlamağa, məsələn, RTC olmayan sistemlərdə monoton saat tətbiq etməyə imkan verir.
  • Systemd-analyze yardım proqramına seçimlər əlavə edildi: verilmiş şəkil və ya kök qovluq daxilində vahid faylları yoxlamaq üçün “--image” və “--root”, səhv olduqda asılı vahidləri nəzərə almaq üçün “--recursive-errors” aşkar edilir, diskdə ayrıca saxlanılan vahid faylları yoxlamaq üçün “--offline”, JSON formatında çıxış üçün “-json”, əhəmiyyətsiz mesajları söndürmək üçün “-sakit”, portativ profilə bağlamaq üçün “-profil”. Həmçinin ELF formatında əsas faylları təhlil etmək üçün inspect-elf əmri və bu adın fayl adına uyğun olub-olmamasından asılı olmayaraq verilmiş vahid adı ilə vahid faylları yoxlamaq imkanı əlavə edilmişdir.
  • systemd-networkd Controller Area Network (CAN) avtobusuna dəstəyi genişləndirdi. CAN rejimlərini idarə etmək üçün əlavə parametrlər: Loopback, OneShot, PresumeAck və ClassicDataLengthCode. Sinxronizasiya bölməsinə TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 və DataSyncJump.W.C-nin sinxronizasiya bölməsinə faylları əlavə edildi CAN interfeysi.
  • Systemd-networkd sizə IPv4 ünvanlarını konfiqurasiya edərkən istifadə olunan ünvan etiketini konfiqurasiya etməyə imkan verən DHCPv4 müştərisi üçün Etiket seçimi əlavə etdi.
  • "ethtool" üçün systemd-udevd, bufer ölçüsünü aparat tərəfindən dəstəklənən maksimum dəyərə təyin edən xüsusi "maksimum" dəyərlər üçün dəstəyi həyata keçirir.
  • Systemd-udevd üçün .link fayllarında siz indi şəbəkə adapterlərini birləşdirmək və aparat işləyicilərini birləşdirmək (boşaltma) üçün müxtəlif parametrləri konfiqurasiya edə bilərsiniz.
  • systemd-networkd standart olaraq yeni .şəbəkə faylları təklif edir: 80-container-vb.network “--şəbəkə-körpüsü” və ya “--şəbəkə zonası” seçimləri ilə systemd-nspawn-u işlədərkən yaradılmış şəbəkə körpülərini müəyyən etmək üçün; 80-6rd-tunnel.network 6RD seçimi ilə DHCP cavabı alarkən avtomatik olaraq yaradılan tunelləri müəyyən etmək üçün.
  • Systemd-networkd və systemd-udevd, InfiniBand interfeysləri üzərindən IP yönləndirmə dəstəyi əlavə etdi, bunun üçün systemd.netdev fayllarına “[IPoIB]” bölməsi əlavə edildi və “ipoib” dəyərinin işlənməsi Kind-də həyata keçirildi. qəbulu.
  • systemd-networkd [WireGuard] və [WireGuardPeer] bölmələrində RouteTable və RouteMetric parametrləri vasitəsilə konfiqurasiya edilə bilən AllowedIPs parametrində göstərilən ünvanlar üçün avtomatik marşrut konfiqurasiyasını təmin edir.
  • systemd-networkd batadv və körpü interfeysləri üçün dəyişməyən MAC ünvanlarının avtomatik yaradılmasını təmin edir. Bu davranışı aradan qaldırmaq üçün siz .netdev fayllarında MACAddress=none təyin edə bilərsiniz.
  • WoL “SecureOn” rejimində işləyərkən parolu müəyyən etmək üçün “[Link]” bölməsindəki .link fayllarına WakeOnLanPassword parametri əlavə edilmişdir.
  • CAKE (Ümumi Tətbiqlərin İdarə Edilməsi Mexanizmi) parametrlərini müəyyən etmək üçün .şəbəkə fayllarının “[CAKE]” bölməsinə AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO və UseRawPacketSize parametrləri əlavə edildi. .
  • .şəbəkə fayllarının "[Şəbəkə]" bölməsinə IgnoreCarrierLoss parametri əlavə edildi, bu, operator siqnalının itməsinə reaksiya verməzdən əvvəl nə qədər gözləməyinizi müəyyən etməyə imkan verir.
  • Systemd-nspawn, homectl, machinectl və systemd-run "--setenv" parametrinin sintaksisini genişləndirdi - əgər yalnız dəyişən adı göstərilsə ("=" olmadan), dəyər uyğun mühit dəyişəndən alınacaq (üçün). məsələn, "--setenv=FOO" təyin edərkən dəyər $FOO mühit dəyişənindən götürüləcək və konteynerdə müəyyən edilmiş eyni adlı mühit dəyişənində istifadə olunacaq).
  • systemd-nspawn konteyner yaratarkən sync()/fsync()/fdatasync() sistem çağırışlarını söndürmək üçün "--suppress-sync" seçimi əlavə etdi (sürət prioritet olduqda və uğursuzluq halında qurma artefaktlarının qorunması üçün faydalıdır) vacibdir, çünki onlar istənilən vaxt yenidən yaradıla bilər).
  • Müxtəlif növ siqnal analizatorlarını (multimetrlər, protokol analizatorları, osiloskoplar və s.) özündə birləşdirən yeni hwdb verilənlər bazası əlavə edilmişdir. Hwdb-də kameralar haqqında məlumat kameranın növü (adi və ya infraqırmızı) və obyektivlərin yerləşdirilməsi (ön və ya arxa) haqqında məlumat olan sahə ilə genişləndirilib.
  • Xen-də istifadə olunan netfront cihazları üçün dəyişməyən şəbəkə interfeysi adlarının yaradılması aktivləşdirildi.
  • Libdw/libelf kitabxanalarına əsaslanan systemd-coredump yardım proqramı tərəfindən əsas faylların təhlili indi sandbox mühitində təcrid olunmuş ayrıca prosesdə həyata keçirilir.
  • systemd-importd $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC mühit dəyişənləri üçün dəstək əlavə etdi, onların köməyi ilə Btrfs alt bölmələrinin yaradılmasını söndürə, həmçinin kvotaları və disk sinxronizasiyasını konfiqurasiya edə bilərsiniz.
  • Systemd-journald-da, kopyalama-yazma rejimini dəstəkləyən fayl sistemlərində, COW rejimi arxivləşdirilmiş jurnallar üçün yenidən aktivləşdirilir və Btrfs istifadə edərək onları sıxışdırmağa imkan verir.
  • systemd-journald mesajı jurnala yerləşdirməzdən əvvəl mərhələdə həyata keçirilən bir mesajda eyni sahələrin təkmilləşdirməsini həyata keçirir.
  • Planlaşdırılmış bağlanmanı göstərmək üçün bağlama əmrinə "--show" seçimi əlavə edildi.

Mənbə: opennet.ru

Добавить комментарий