Пасля трох з паловай месяцаў распрацоўкі прадстаўлены рэліз сістэмнага мэнэджара systemd 253.
Сярод змен у новым выпуску:
- У склад уключана ўтыліта 'ukify', прызначаная для зборкі, праверкі і фармаванні подпісаў для ўніфікаваных выяў ядра (UKI, Unified Kernel Image), якія аб'ядноўваюць апрацоўшчык для загрузкі ядра з UEFI (UEFI boot stub), выява ядра Linux і загружанае ў памяць сістэмнае асяроддзе initrd, якое ўжываецца для пачатковай ініцыялізацыі на стадыі да мантавання каранёвай ФС. Утыліта замяняе сабой функцыянальнасць, раней якая прадстаўляецца камандай 'dracut —uefi', і дапаўняе яе магчымасцямі для аўтаматычнага разліку зрушэнняў у PE-файлах, аб'яднанні initrd, подпісы ўбудаваных выяў ядра, стварэнні камбінаваных выяў c sbsign, эўрыстыкай для вызначэння uname ядра, праверкай малюнка застаўкай і даданнем падпісаных PCR-палітык, згенераваных утылітай systemd-measure.
- Дададзена падтрымка initrd-акружэнняў не абмежаваных размяшчэннем у памяці, у якіх замест tmpfs выкарыстоўваецца overlayfs. Для падобных акружэнняў systemd не выконвае выдаленне ўсіх файлаў у initrd пасля пераключэння каранёвай ФС.
- У сэрвісы дададзены параметр «OpenFile» для адкрыцця адвольных файлаў у ФС (ці падлучэнні да Unix-сокетаў) і перадачы злучаных з імі файлавых дэскрыптараў у які запускаецца працэс (напрыклад, калі трэба арганізаваць доступ да файла для непрывілеяванага сэрвісу без змены правоў доступу на файл) .
- У systemd-cryptenroll пры рэгістрацыі новых ключоў рэалізавана магчымасць разблакіроўкі зашыфраваных частак пры дапамозе токенаў FIDO2 (—unlock-fido2-device) без неабходнасці ўводу пароля. Забяспечана захоўвання з соллю зададзенага карыстальнікам PIN-кода для ўскладнення вызначэння метадам перабору.
- Дададзеныя налады ReloadLimitIntervalSec і ReloadLimitBurst, а таксама опцыі каманднага радка ядра (systemd.reload_limit_interval_sec і /systemd.reload_limit_burst) для абмежавання інтэнсіўнасці перазапуску фонавых працэсаў.
- Для unit-ов рэалізавана опцыя "MemoryZSwapMax" для налады ўласцівасці memory.zswap.max, вызначальнага максімальны памер zswap.
- Для unit-ов рэалізавана опцыя "LogFilterPatterns", якая дазваляе задаць рэгулярныя выразы для фільтрацыі інфармацыі, якая выводзіцца ў лог (можа выкарыстоўвацца для выключэння пэўнага вываду або захавання толькі пэўных дадзеных).
- У scope-юнітах рэалізаваная падтрымка налады "OOMPolicy" для задання паводзін пры спробе выцяснення пры недахопе памяці (для сеансаў уваходу выстаўлена значэнне OOMPolicy=continue, каб OOM killer іх прымусова не завяршаў).
- Вызначаны новы тып сэрвісаў - "Type=notify-reload", які пашырае тып "Type=notify" магчымасцю чакання завяршэння апрацоўкі сігналу перазапуску (SIGHUP). На новы тып перакладзены сэрвісы systemd-networkd.service, systemd-udevd.service і systemd-logind.
- У udev задзейнічана новая схема назвы сеткавых прылад, адрозненні якой у тым, што для не прывязаных да шыны PCI USB-прылад зараз выстаўляецца ID_NET_NAME_PATH для забеспячэння большай прадказальнасці імёнаў. Для зменных SYMLINK рэалізаваны аператар '-=', які пакідае сімвалічныя спасылкі не настроенымі, калі да гэтага было вызначана правіла іх дадання.
- У systemd-boot перароблена перадача затраўкі для генератараў псеўдавыпадковых лікаў у ядры і для дыскавага бэкенда. Дададзена падтрымка загрузкі ядра не толькі з часткі ESP (EFI System Partition), напрыклад, з прашыўкі ці напроста для QEMU. Забяспечаны разбор параметраў SMBIOS для вызначэння запуску ў асяроддзі віртуалізацыі. Рэалізаваны новы рэжым 'if-safe' пры якім сертыфікат для UEFI Secure Boot загружаецца з ESP толькі, калі лічыцца бяспечным (запускаецца ў віртуальнай машыне).
- Ва ўтыліце bootctl рэалізавана генерацыя сістэмных токенаў на ўсіх сістэмах EFI, акрамя асяроддзяў віртуалізацыі. Дададзеныя каманды 'kernel-identify' і 'kernel-inspect' для адлюстравання тыпу выявы ядра і інфармацыі аб опцыях каманднага радка і версіі ядра, "unlink" для выдалення файла, звязанага з першым тыпам загрузных запісаў, "cleanup" для выдалення ўсіх файлаў з каталога "entry-token" у ESP і XBOOTLDR, не звязаных з першым тыпам загрузных запісаў. Забяспечана апрацоўка зменнай KERNEL_INSTALL_CONF_ROOT.
- У камандзе 'systemctl list-dependencies' забяспечана апрацоўка опцый "-type" і "-state", а ў камандзе 'systemctl kexec' дададзеная падтрымка акружэнняў на базе гіпервізара Xen.
- У файлах .network у секцыі [DHCPv4] з'явілася падтрымка опцый SocketPriority і QuickAck, RouteMetric=high|medium|low.
- У systemd-repart дададзеныя опцыі «—include-partitions», «—exclude-partitions» і «—defer-partitions» для фільтрацыі частак па тыпе UUID, што, напрыклад, дазваляе збіраць выявы ў якіх адна частка пабудаваны на аснове змесціва іншай часткі . Таксама дададзена опцыя «—sector-size» для ўказання памеру сектара, які выкарыстоўваецца пры стварэнні часткі. Дададзена падтрымка генерацыі ФС erofs. У наладзе Minimize рэалізаваная апрацоўка значэння «best» для выбару мінімальна магчымага памеру выявы.
- У systemd-journal-remote дазволена выкарыстанне налад MaxUse, KeepFree, MaxFileSize і MaxFiles для абмежавання спажывання дыскавай прасторы.
- У systemd-cryptsetup дададзеная падтрымка адпраўкі папераджальных запытаў да токенаў FIDO2 для вызначэння іх наяўнасці да аўтэнтыфікацыі.
- У crypttab дададзены новыя параметры tpm2-measure-bank і tpm2-measure-pcr.
- У systemd-gpt-auto-generator рэалізавана мантаванне частак ESP і XBOOTLDR у рэжымах "noexec, nosuid, nodev", а таксама дададзены ўлік перададзеных праз камандны радок ядра параметраў rootfstype і rootflags.
- У systemd-resolved прадстаўлена магчымасць налады параметраў рэзалвера праз указанне опцый nameserver, domain, network.dns і network.search_domains у камандным радку ядра.
- У камандзе "systemd-analyze plot" з'явілася магчымасць вываду ў фармаце JSON пры ўказанні сцяга "-json". Для кіравання высновай таксама дададзены новыя опцыі "-table" і "-no-legend".
- У 2023 годзе плануецца спыніць падтрымку cgroups v1 і паасобных іерархій каталогаў (калі /usr манціруецца асобна ад кораня або падзелены каталогі /bin і /usr/bin, /lib і /usr/lib).
Крыніца: opennet.ru