systemd системен мениджър версия 250

След пет месеца разработка беше представена новата версия на системния мениджър systemd 250, която въведе възможността за съхраняване на идентификационни данни в криптирана форма, въведена проверка на автоматично открити GPT дялове с помощта на цифров подпис, подобрена информация за причините за закъснения при стартиране на услуги и добавени опции за ограничаване на достъпа на услуги до определени файлови системи и мрежови интерфейси, осигурена е поддръжка за наблюдение на целостта на дяла с помощта на модула dm-integrity и е добавена поддръжка за автоматично актуализиране на sd-boot.

Основни промени:

• Добавена е поддръжка за криптирани и удостоверени идентификационни данни, които могат да бъдат полезни за сигурно съхраняване на чувствителни материали като SSL ключове и пароли за достъп. Дешифрирането на идентификационните данни се извършва само когато е необходимо и във връзка с локалната инсталация или оборудване. Данните се криптират автоматично с помощта на симетрични алгоритми за криптиране, ключът за които може да се намира във файловата система, в TPM2 чипа или чрез комбинирана схема. Когато услугата стартира, идентификационните данни се дешифрират автоматично и стават достъпни за услугата в нормалната си форма. За работа с криптирани идентификационни данни е добавена помощната програма „systemd-creds“ и са предложени настройките LoadCredentialEncrypted и SetCredentialEncrypted за услуги.
• sd-stub, изпълнимият файл на EFI, който позволява на фърмуера на EFI да зарежда ядрото на Linux, сега поддържа зареждане на ядрото с помощта на EFI протокола LINUX_EFI_INITRD_MEDIA_GUID. Също така към sd-stub е добавена възможността за пакетиране на идентификационни данни и sysext файлове в cpio архив и прехвърляне на този архив към ядрото заедно с initrd (допълнителните файлове се поставят в директорията /.extra/). Тази функция ви позволява да използвате проверима неизменна initrd среда, допълнена от sysexts и криптирани данни за удостоверяване.
• Спецификацията за откриваеми дялове е значително разширена, предоставяйки инструменти за идентифициране, монтиране и активиране на системни дялове с помощта на GPT (GUID Partition Tables). В сравнение с предишни издания, спецификацията вече поддържа основния дял и /usr дяла за повечето архитектури, включително платформи, които не използват UEFI.

  Discoverable Partitions също така добавя поддръжка за дялове, чиято цялост се проверява от модула dm-verity с помощта на цифрови подписи PKCS#7, което улеснява създаването на напълно удостоверени дискови изображения. Поддръжката за проверка е интегрирана в различни помощни програми, които манипулират дискови изображения, включително systemd-nspawn, systemd-sysext, systemd-dissect, RootImage услуги, systemd-tmpfiles и systemd-sysusers.

• За единици, които отнемат много време за стартиране или спиране, в допълнение към показването на анимирана лента за напредък, е възможно да се покаже информация за състоянието, която ви позволява да разберете какво точно се случва с услугата в момента и коя услуга е системният мениджър в момента чака за завършване.
• Добавен е параметърът DefaultOOMScoreAdjust към /etc/systemd/system.conf и /etc/systemd/user.conf, който ви позволява да коригирате прага на OOM-killer за ниска памет, приложим към процеси, които systemd стартира за системата и потребителите. По подразбиране теглото на системните услуги е по-високо от това на потребителските услуги, т.е. Когато няма достатъчно памет, вероятността от прекъсване на потребителските услуги е по-висока от тази на системните.
• Добавена е настройката RestrictFileSystems, която ви позволява да ограничите достъпа на услугите до определени типове файлови системи. За да видите наличните типове файлови системи, можете да използвате командата “systemd-analyze filesystems”. По аналогия е внедрена опцията RestrictNetworkInterfaces, която ви позволява да ограничите достъпа до определени мрежови интерфейси. Реализацията се основава на модула BPF LSM, който ограничава достъпа на група процеси до обекти на ядрото.
• Добавен е нов конфигурационен файл /etc/integritytab и помощна програма systemd-integritysetup, които конфигурират модула dm-integrity за контрол на целостта на данните на ниво сектор, например, за да се гарантира неизменността на криптираните данни (Authenticated Encryption, гарантира, че блокът от данни има не е модифицирано по заобиколен начин) . Форматът на файла /etc/integritytab е подобен на файловете /etc/crypttab и /etc/veritytab, с изключение на това, че се използва dm-integrity вместо dm-crypt и dm-verity.
• Добавен е нов модулен файл systemd-boot-update.service, когато се активира и е инсталиран bootloader sd-boot, systemd автоматично ще актуализира версията на sd-boot bootloader, поддържайки кода на bootloader винаги актуален. Самият sd-boot вече е изграден по подразбиране с поддръжка на механизма SBAT (UEFI Secure Boot Advanced Targeting), който решава проблеми с анулирането на сертификат за UEFI Secure Boot. В допълнение, sd-boot предоставя възможност за анализиране на настройките за зареждане на Microsoft Windows, за да генерира правилно имената на дяловете за зареждане с Windows и да покаже версията на Windows.

  sd-boot също така предоставя възможност за дефиниране на цветова схема по време на изграждане. По време на процеса на зареждане е добавена поддръжка за промяна на разделителната способност на екрана чрез натискане на клавиша „r“. Добавена е клавишна комбинация „f“ за преминаване към интерфейса за конфигурация на фърмуера. Добавен е режим за автоматично зареждане на системата, съответстващ на елемента от менюто, избран по време на последното зареждане. Добавена е възможност за автоматично зареждане на EFI драйвери, намиращи се в директорията /EFI/systemd/drivers/ в секцията ESP (EFI System Partition).

• Включен е нов модулен файл factory-reset.target, който се обработва в systemd-logind по подобен начин на операциите за рестартиране, изключване, спиране и хибернация и се използва за създаване на манипулатори за извършване на фабрично нулиране.
• Процесът, разрешен от systemd, сега създава допълнителен сокет за слушане на 127.0.0.54 в допълнение към 127.0.0.53. Заявките, пристигащи на 127.0.0.54, винаги се пренасочват към възходящ DNS сървър и не се обработват локално.
• Осигурена възможност за изграждане на systemd-importd и systemd-resolved с библиотеката OpenSSL вместо libgcrypt.
• Добавена е първоначална поддръжка за архитектурата LoongArch, използвана в процесорите Loongson.
• systemd-gpt-auto-generator предоставя възможност за автоматично конфигуриране на дефинирани от системата суап дялове, криптирани от подсистемата LUKS2.
• Кодът за парсиране на GPT изображения, използван в systemd-nspawn, systemd-dissect и подобни помощни програми, реализира способността за декодиране на изображения за други архитектури, позволявайки на systemd-nspawn да се използва за изпълнение на изображения на емулатори на други архитектури.
• Когато проверява дискови изображения, systemd-dissect вече показва информация за предназначението на дяла, като например годност за зареждане чрез UEFI или работа в контейнер.
• Полето “SYSEXT_SCOPE” е добавено към файловете system-extension.d/, което ви позволява да посочите обхвата на системния образ - “initrd”, “system” или “portable”.
• Полето „PORTABLE_PREFIXES“ е добавено към файла за OS-release, което може да се използва в преносими изображения за определяне на поддържаните префикси на файловете на модула.
• systemd-logind въвежда нови настройки HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress и HandleHibernateKeyLongPress, които могат да се използват, за да се определи какво се случва, когато определени клавиши се задържат натиснати за повече от 5 секунди (например бързото натискане на клавиша Suspend може да бъде конфигурирано да премине в режим на готовност , и когато се задържи, ще заспи) .
• За единици са внедрени настройките StartupAllowedCPUs и StartupAllowedMemoryNodes, които се различават от подобни настройки без префикса Startup по това, че се прилагат само на етапа на зареждане и изключване, което ви позволява да зададете други ограничения на ресурсите по време на зареждане.
• Добавени [Condition|Assert][Memory|CPU|IO]Проверки на налягането, които позволяват активирането на модула да бъде пропуснато или неуспешно, ако PSI механизмът открие голямо натоварване на паметта, CPU и I/O в системата.
• Максималният лимит на inode по подразбиране е увеличен за дяла /dev от 64k ​​на 1M, а за дяла /tmp от 400k на 1M.
• Предложена е настройка ExecSearchPath за услуги, която прави възможно промяната на пътя за търсене на изпълними файлове, стартирани чрез настройки като ExecStart.
• Добавена е настройката RuntimeRandomizedExtraSec, която ви позволява да въвеждате произволни отклонения в времето за изчакване на RuntimeMaxSec, което ограничава времето за изпълнение на единица.
• Синтаксисът на настройките RuntimeDirectory, StateDirectory, CacheDirectory и LogsDirectory е разширен, в който чрез посочване на допълнителна стойност, разделена с двоеточие, вече можете да организирате създаването на символна връзка към дадена директория за организиране на достъпа по няколко пътя.
• За услуги се предлагат настройки на TTYRows и TTYColumns за задаване на броя на редовете и колоните в TTY устройството.
• Добавена е настройката ExitType, която ви позволява да промените логиката за определяне на края на услугата. По подразбиране systemd следи само смъртта на основния процес, но ако е зададен ExitType=cgroup, системният мениджър ще изчака последния процес в cgroup да завърши.
• Изпълнението на systemd-cryptsetup на поддръжката на TPM2/FIDO2/PKCS11 вече също е изградено като плъгин за cryptsetup, което позволява нормалната команда cryptsetup да се използва за отключване на шифрован дял.
• TPM2 манипулаторът в systemd-cryptsetup/systemd-cryptsetup добавя поддръжка за RSA първични ключове в допълнение към ECC ключовете за подобряване на съвместимостта с не-ECC чипове.
• Опцията за изтичане на токена е добавена към /etc/crypttab, която ви позволява да дефинирате максималното време за изчакване на връзка с токен PKCS#11/FIDO2, след което ще бъдете подканени да въведете парола или ключ за възстановяване.
• systemd-timesyncd имплементира настройката SaveIntervalSec, която ви позволява периодично да запазвате текущото системно време на диск, например, за да реализирате монотонен часовник на системи без RTC.
• Добавени са опции към помощната програма systemd-analyze: „--image“ и „--root“ за проверка на файлове на единици в дадено изображение или основна директория, „--recursive-errors“ за вземане под внимание на зависимите единици при грешка се открива, „--offline“ за проверка на отделни файлове на единица, записани на диск, „—json“ за извеждане във формат JSON, „—quiet“ за деактивиране на маловажни съобщения, „—profile“ за свързване към преносим профил. Също така е добавена командата inspect-elf за анализиране на основни файлове във формат ELF и възможност за проверка на файлове на единици с дадено име на единица, независимо дали това име съвпада с името на файла.
• systemd-networkd разшири поддръжката за шината на контролерната мрежа (CAN). Добавени настройки за управление на CAN режими: Loopback, OneShot, PresumeAck и ClassicDataLengthCode. Добавени са опции TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment1, DataPhaseBufferSegment2 и DataSyncJumpWidth към секцията [CAN] на .network файлове за контрол на битовата синхронизация на CAN интерфейса .
• Systemd-networkd добави опция за етикет за DHCPv4 клиента, която ви позволява да конфигурирате адресния етикет, използван при конфигуриране на IPv4 адреси.
• systemd-udevd за "ethtool" реализира поддръжка за специални "max" стойности, които задават размера на буфера на максималната стойност, поддържана от хардуера.
• В .link файловете за systemd-udevd вече можете да конфигурирате различни параметри за комбиниране на мрежови адаптери и свързващи хардуерни манипулатори (разтоварване).
• systemd-networkd предлага нови .network файлове по подразбиране: 80-container-vb.network за дефиниране на мрежови мостове, създадени при изпълнение на systemd-nspawn с опциите „--network-bridge“ или „--network-zone“; 80-6rd-tunnel.network за дефиниране на тунели, които се създават автоматично при получаване на DHCP отговор с опцията 6RD.
• Systemd-networkd и systemd-udevd са добавили поддръжка за IP пренасочване през InfiniBand интерфейси, за които секцията „[IPoIB]“ е добавена към файловете systemd.netdev и обработката на стойността „ipoib“ е внедрена в Kind настройка.
• systemd-networkd осигурява автоматично конфигуриране на маршрут за адреси, посочени в параметъра AllowedIPs, който може да бъде конфигуриран чрез параметрите RouteTable и RouteMetric в секциите [WireGuard] и [WireGuardPeer].
• systemd-networkd осигурява автоматично генериране на непроменящи се MAC адреси за batadv и мостовите интерфейси. За да деактивирате това поведение, можете да посочите MACAddress=none в .netdev файлове.
• Добавена е настройка WakeOnLanPassword към .link файлове в раздела „[Link]“, за да се определи паролата, когато WoL работи в режим „SecureOn“.
• Добавени са настройките AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO и ​​UseRawPacketSize към раздела „[CAKE]“ на .network файлове, за да се определят параметрите на CAKE (Common Applications Kept Enhanced) механизъм за управление на мрежова опашка .
• Добавена е настройка IgnoreCarrierLoss към раздела "[Network]" на .network файлове, което ви позволява да определите колко време да изчакате, преди да реагирате на загуба на носещ сигнал.
• Systemd-nspawn, homectl, machinectl и systemd-run са разширили синтаксиса на параметъра "--setenv" - ако е указано само името на променливата (без "="), стойността ще бъде взета от съответната променлива на средата (за например, когато се посочи "--setenv=FOO", стойността ще бъде взета от променливата на средата $FOO и ще се използва в променливата на средата със същото име, зададена в контейнера).
• systemd-nspawn добави опция "--suppress-sync" за деактивиране на системните извиквания на sync()/fsync()/fdatasync() при създаване на контейнер (полезно, когато скоростта е приоритет и запазването на артефактите на компилация в случай на повреда не е важно, тъй като те могат да бъдат създадени отново по всяко време).
• Добавена е нова hwdb база данни, която включва различни видове сигнални анализатори (мултиметри, протоколни анализатори, осцилоскопи и др.). Информацията за камерите в hwdb е разширена с поле с информация за вида на камерата (обикновена или инфрачервена) и разположението на обектива (предна или задна).
• Активирано генериране на непроменящи се имена на мрежови интерфейси за netfront устройства, използвани в Xen.
• Анализът на основните файлове от помощната програма systemd-coredump, базирана на библиотеките libdw/libelf, вече се извършва в отделен процес, изолиран в среда на пясъчник.
• systemd-importd добави поддръжка за променливите на средата $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, с които можете да деактивирате генерирането на Btrfs подразделения, както и да конфигурирате квоти и дискова синхронизация.
• В systemd-journald, на файлови системи, които поддържат режим копиране при запис, режимът COW е активиран отново за архивирани журнали, което им позволява да бъдат компресирани с помощта на Btrfs.
• systemd-journald реализира дедупликация на идентични полета в едно съобщение, което се извършва на етапа преди поставяне на съобщението в дневника.
• Добавена е опция „--show“ към командата за изключване, за да се покаже планираното изключване.

Източник: opennet.ru