ProHoster > блог > Навіны інтэрнэту > Выпуск сістэмнага мэнэджэра systemd 246

Выпуск сістэмнага мэнэджэра systemd 246

Пасля пяці месяцаў распрацоўкі прадстаўлены рэліз сістэмнага мэнэджэра Systemd 246. У новым выпуску рэалізавана падтрымка замарозкі unit-ов, магчымасць верыфікацыі выявы каранёвага дыска па лічбавым подпісе, падтрымка сціску часопіса і core-дампаў з выкарыстаннем алгарытму ZSTD, магчымасць разблакіроўкі пераносных хатніх каталогаў пры дапамозе токенаў FIDO2, падтрымка разблакіроўкі частак Microsoft BitLocker праз / crypttab, выканана перайменаванне BlackList у DenyList.

Асноўныя змены:

  • Дададзена падтрымка кантролера рэсурсаў freezer на базе cgroups v2, пры дапамозе якога можна спыніць працу працэсаў і часова вызваліць некаторыя рэсурсы (CPU, увод/выснова і патэнцыйна нават памяць) для выканання іншых задач. Кіраванне замарозкай і размарозкай unit-ов ажыццяўляецца пры дапамозе новай каманды "systemctl freeze" ці праз D-Bus.
  • Дададзена падтрымка верыфікацыі выявы каранёвага дыска па лічбавым подпісе. Праверка вырабляецца пры дапамозе новых налад у сэрвісных юнітах: RootHash (каранёвы хэш для верыфікацыі дыскавай выявы, паказанага праз опцыю RootImage) і RootHashSignature (лічбавы подпіс у фармаце PKCS#7 для каранёвага хэша).
  • У апрацоўшчыку PID 1 рэалізаваная магчымасць аўтаматычнай загрузкі прадкампіляваных правіл AppArmor (/etc/apparmor/earlypolicy) на пачатковым этапе загрузкі.
  • Дададзеныя новыя налады unit-файлаў: ConditionPathIsEncrypted і AssertPathIsEncrypted для праверкі размяшчэння паказанага шляху на блокавай прыладзе, у якім выкарыстоўваецца шыфраванне (dm-crypt/LUKS), ConditionEnvironment і AssertEnvironment для праверкі зменных асяроддзі.
  • Для юнітаў *.mount рэалізавана налада ReadWriteOnly, якая забараняе мантаваць падзел у рэжыме толькі для чытання, калі не атрымалася прымантаваць яго для чытання і запісы. У /etc/fstab дадзены рэжым наладжваецца пры дапамозе опцыі "x-systemd.rw-only".
  • Для юнітаў *.socket дададзена налада PassPacketInfo, улучальная даданне ядром дадатковых метададзеных для кожнага пакета, чытэльнага з сокета (уключае рэжымы IP_PKTINFO, IPV6_RECVPKTINFO і NETLINK_PKTINFO для сокета).
  • Для сэрвісаў (юніты *.service) прапанаваны налады CoredumpFilter (вызначае секцыі памяці, якія варта ўключаць у core-дампы) і
    TimeoutStartFailureMode/TimeoutStopFailureMode (вызначае паводзіны (SIGTERM, SIGABRT або SIGKILL) пры надыходзе таймаўту пры запуску або прыпынку сэрвісу).

  • У большасці опцый дададзена падтрымка ўказання шаснаццатковых значэнняў, зададзеных пры дапамозе прэфікса "0x".
  • У розных параметрах каманднага радка і файлах канфігурацыі, злучаных з наладай ключоў ці сертыфікатаў, рэалізаваная магчымасць указання шляху да unix-сокетаў (AF_UNIX) для перадачы ключоў і сертыфікатаў праз звароты да IPC-сэрвісаў, калі непажадана размяшчаць сертыфікаты на незашыфраваных дыскавых сховішчах.
  • Дададзена падтрымка шасці новых спецыфікатараў, якія можна выкарыстоўваць у unit-ах , tmpfiles.d/, sysusers.d/ і іншых канфігурацыйных файлах: %a для падстаноўкі бягучай архітэктуры, %o/%w/%B/%W для падстаноўкі палёў з ідэнтыфікатарамі з /etc/os-release і %l для падстаноўкі кароткага імя хаста.
  • У unit-файлах спынена падтрымка сінтаксісу ".include", які быў аб'яўлены састарэлым 6 гадоў таму.
  • У наладах StandardError і StandardOutput спынена падтрымка значэнняў "syslog" і "syslog-console", якія будуць аўтаматычна сканвертаваны ў "journal" і "journal+console".
  • Для аўтаматычна ствараных кропак мантавання на аснове tmpfs (/tmp, /run, /dev/shm і да т.п.) забяспечана выстаўленне лімітаў на памер і лік inode, які адпавядае 50% ад памеру АЗП для /tmp і /dev/shm, і 10% ад аператыўнай памяці для ўсіх астатніх.
  • Дададзены новыя параметры каманднага радка ядра: systemd.hostname для выстаўлення імя хаста на пачатковай стадыі загрузкі, udev.blockdev_read_only для абмежавання ўсіх злучаных з фізічнымі назапашвальнікамі блокавых прылад рэжымам толькі для чытання (для выбарачнай адмены можна выкарыстаць каманду «blockdev —setrw») .swap для адключэння аўтаматычнай актывацыі часткі падпампоўкі, systemd.clock-usec для ўсталёўкі сістэмных гадзін у мікрасекундах, systemd.condition-needs-update і systemd.condition-first-boot для перавызначэння праверак ConditionNeedsUpdate і ConditionFirstBoot.
  • Па змаўчанні забяспечана ўсталёўка sysctl fs.suid_dumpable у значэнне 2 («suidsafe»), якое дазваляе захаванне core-дампаў для працэсаў са сцягам suid.
  • У БД абсталявання з ChromiumOS запазычаны файл /usr/lib/udev/hwdb.d/60-autosuspend.hwdb, які ўключае звесткі аб PCI і USB-прыладах, якія падтрымліваюць аўтаматычны пераход у спячы рэжым.
  • У networkd.conf дададзена налада ManageForeignRoutes, пры ўключэнні якой systemd-networkd пачне кіраваць усімі маршрутамі, настроенымі іншымі ўтылітамі.
  • У файлы .network дададзена секцыя "[SR-IOV]" для налады сеткавых прылад з падтрымкай SR-IOV (Single Root I/O Virtualization).
  • У systemd-networkd у секцыю "[Network]" дададзена налада IPv4AcceptLocal для дазволу прыёму на сеткавым інтэрфейсе пакетаў, якія прыйшлі з лакальным зыходным адрасам.
  • У systemd-networkd дададзена магчымасць налады дысцыплін прыярытызацыі трафіку HTB праз секцыі [HierarchyTokenBucket] і
    [HierarchyTokenBucketClass], "pfifo" праз [PFIFO], "GRED" праз [GenericRandomEarlyDetection], "SFB" праз [StochasticFairBlue], "cake"
    праз [CAKE], "PIE" праз [PIE], "DRR" праз [DeficitRoundRobinScheduler] і
    [DeficitRoundRobinSchedulerClass], "BFIFO" праз [BFIFO],
    "PFIFOHeadDrop" праз [PFIFOHeadDrop], "PFIFOFast" праз [PFIFOFast], "HHF"
    праз [HeavyHitterFilter], "ETS" праз [EnhancedTransmissionSelection],
    "QFQ" праз [QuickFairQueueing] і [QuickFairQueueingClass].

  • У systemd-networkd у секцыю [DHCPv4] дададзена настройка UseGateway для адключэння прымянення інфармацыі аб шлюзе, атрыманай праз DHCP.
  • У systemd-networkd у секцыі [DHCPv4] і [DHCPServer] дададзена налада SendVendorOption для ўсталёўкі і апрацоўкі дадатковых опцый вытворцы.
  • У systemd-networkd у секцыі [DHCPServer] рэалізаваны новы набор опцый EmitPOP3/POP3, EmitSMTP/SMTP і EmitLPR/LPR для дадання інфармацыі аб серверах POP3, SMTP і LPR.
  • У systemd-networkd у файлах .netdev у секцыі [Bridge] з'явілася налада VLANProtocol для выбару выкарыстоўванага пратаколу VLAN.
  • У systemd-networkd у файлах .network у секцыі [Link] рэалізавана налада Group для кіравання групай лінкоў.
  • Налады BlackList перайменаваны ў DenyList (для забеспячэння зваротнай сумяшчальнасці апрацоўка старога імя захавана).
  • У systemd-networkd дададзена вялікая порцыя налад, звязаных з IPv6 і DHCPv6.
  • У networkctl дададзена каманда «forcerenew» для прымусовага абнаўлення ўсіх прывязак адрасоў (lease).
  • У systemd-resolved у наладзе DNS з'явілася магчымасць указання нумара порта і імя хаста для верыфікацыі сертыфіката DNS-over-TLS. У рэалізацыі DNS-over-TLS дададзена падтрымка праверкі SNI.
  • У systemd-resolved дададзена магчымасць налады перанакіравання аднакампанентных DNS-імёнаў (single-label, з аднаго імя хаста).
  • У systemd-journald забяспечана падтрымка прымянення алгарытму zstd для сціску вялікіх палёў у часопісах. Праведзена работа па абароне ад узнікнення калізій у хэш-табліцах, якія прымяняюцца ў часопісах.
  • У journalctl пры вывадзе паведамленняў лога дададзены кліканыя URL са спасылкамі на дакументацыю.
  • У journald.conf дададзена настройка Audit для кіравання ўключэннем аўдыту ў працэсе ініцыялізацыі systemd-journald.
  • У systemd-coredump дададзена магчымасць сціску core-дампаў пры дапамозе алгарытму zstd.
  • У systemd-repart дададзена налада UUID для прызначэння UUID створанаму падзелу.
  • У сэрвісе systemd-homed, які забяспечвае кіраванне пераноснымі хатнімі каталогамі, дададзена магчымасць разблакіроўкі хатніх каталогаў пры дапамозе токенаў FIDO2. У бэкенд шыфравання частак LUKS дададзена падтрымка аўтаматычнага вяртання пустых блокаў файлавай сістэмы пры завяршэнні сеансу. Дададзена абарона ад падвойнага шыфравання дадзеных, калі вызначана, што для часткі /home у сістэме ўжо ўжываецца шыфраванне.
  • У /etc/crypttab дададзеныя налады: "keyfile-erase" для выдалення ключа пасля выкарыстання і "try-empty-password" для спробы разблакіроўкі часткі з пустым паролем да запыту пароля ў карыстача (карысна для ўсталёўкі зашыфраваных выяў з прызначэннем пароля пасля першай загрузкі , а не падчас усталёўкі).
  • У systemd-cryptsetup падчас загрузкі рэалізаваная падтрымка разблакіроўкі частак Microsoft BitLocker пры дапамозе /etc/crypttab. Таксама дададзена магчымасць чытання
    ключоў для аўтаматычнай разблакіроўкі падзелаў з файлаў /etc/cryptsetup-keys.d/ .key і /run/cryptsetup-keys.d/ .key.

  • Дададзены генератар systemd-xdg-autostart-generator для стварэння unit-файлаў з файлаў аўтазапуску. Desktop.
  • У "bootctl" дададзена каманда "reboot-to-firmware".
  • У systemd-firstboot дададзены опцыі: «—image» для ўказання дыскавай выявы для загрузкі, «kernel-command-line» для ініцыялізацыі файла /etc/kernel/cmdline, «root-password-hashed» для задання хэша пароля root і "--delete-root-password" для выдалення пароля root.

Крыніца: opennet.ru

Дадаць каментар