systemd 245 се предлага с реализация на преносима домашна директория

След три месеца разработка представени издание на системния мениджър системен 245. В новата версия са добавени нови компоненти systemd-homed и systemd-repart, включена е поддръжка за преносими потребителски профили във формат JSON, предоставена е възможност за дефиниране на пространства от имена в systemd-journald и е добавена поддръжка за механизма „pidfd“ . Изцяло преработен уебсайт на проекта, който събира по-голямата част от наличната документация и предлага ново лого.

Основната промени:

• Добавена услуга systemd-homed, който осигурява управление на преносими домашни директории, доставяни под формата на монтиран файл с изображение, данните в който са криптирани. Systemd-homed ви позволява да създавате самостоятелни среди за потребителски данни, които могат да се прехвърлят между различни системи, без да се притеснявате за синхронизирането на идентификаторите и поверителността. Потребителските идентификационни данни са свързани по-скоро с домашната директория, отколкото със системните настройки – използва се профил във формата вместо /etc/passwd, /etc/group и /etc/shadow JSON. За повече подробности вж последно съобщение systemd-homed.
• Добавен придружаващ компонент, базиран на systemd "userdb” (“systemd-userdb”), който превежда UNIX/glibc NSS акаунти в JSON записи и предоставя унифициран Varlink API за заявки и повторение на записи. JSON профилът, свързан с домашната директория, определя параметрите, необходими за работата на потребителя, включително потребителско име, хеш парола, ключове за криптиране, квоти и осигурени ресурси. Профилът може да бъде удостоверен с цифров подпис, съхранен на външен Yubikey токен. За управление на профили се предлага помощната програма „userdbctl“. Поддръжката на JSON профили е добавена към различни системни компоненти, включително systemd-logind и pam-systemd, което позволява на потребителите на преносими директории да се удостоверяват, да влизат, да задават променливи на средата, да създават сесия, да задават ограничения и т.н. В бъдеще се очаква sssd рамката да може да генерира JSON профили с потребителски настройки, съхранени в LDAP.
• Добавена е нова помощна програма „systemd-repart“, предназначена за преразпределяне на таблици с дялове на диск във формат GPT. Структурата на дяловете се дефинира в декларативна форма чрез файлове, които описват кои дялове трябва или могат да съществуват. При всяко зареждане действителната таблица на дяловете се сравнява с тези файлове, след което се добавят липсващите дялове или, ако относителният или абсолютният размер, дефиниран в настройките, не съвпада, размерът на съществуващите се увеличава. Разрешени са само постепенни промени, т.е. изтриването и намаляването на размера не е възможно, дяловете могат само да се добавят и увеличават.
  Помощната програма е проектирана да се стартира от initrd и автоматично открива диска, на който се намира основният дял, което не изисква допълнителна конфигурация, с изключение на файлове с дефиницията на промените.

  На практика systemd-repart може да бъде полезен за изображения на операционна система, които първоначално могат да бъдат изпратени в минимална форма и след първото зареждане могат да бъдат разширени до размера на съществуващото блоково устройство или допълнени с допълнителни дялове (например root дялът може да се разшири, за да покрие целия диск или след първото зареждане да се създаде суап дял или /home). Друга употреба биха били конфигурации с два въртящи се дяла - само първият дял може да бъде доставен първоначално, а вторият ще бъде създаден при първото зареждане.

• Вече е възможно да стартирате множество екземпляри на systemd-journald, всеки от които поддържа регистрационни файлове в собственото си пространство от имена. В допълнение към основния systemd-journald.service, директорията .service предлага шаблон за създаване на допълнителни екземпляри, обвързани с техните пространства от имена с помощта на директивата „LogNamespace“. Всяко пространство от имена на регистрационни файлове се обслужва от отделен фонов процес със собствен набор от настройки и ограничения. Предложената функция може да бъде полезна за балансиране на натоварването с голям обем регистрационни файлове или за подобряване на изолацията на приложението. Добавена е опция „--namespace“ към journalctl за ограничаване на заявката само до определеното пространство от имена.
• Systemd-udevd и други системни компоненти са добавили поддръжка за механизъм за присвояване на алтернативни имена на мрежови интерфейси, което позволява едновременното използване на множество имена за един интерфейс. Името може да бъде до 128 знака (преди това името на мрежовия интерфейс беше ограничено до 16 знака). По подразбиране systemd-udevd вече присвоява на всеки мрежов интерфейс всички вариантни имена, генерирани от поддържаните схеми за именуване. Това поведение може да се промени чрез новите настройки на AlternativeName и AlternativeNamesPolicy в .link файлове. systemd-nspawn реализира генерирането на алтернативни имена с пълното име на контейнер за veth връзки, създадени от страната на хоста.
• API sd-event.h добавя поддръжка за подсистемата на ядрото на Linux "pidfd", за да се справи със ситуацията на повторно използване на PID (pidfd е свързан с конкретен процес и не се променя, докато PID може да бъде свързан с друг процес след текущия процес свързан с него излиза от този PID). Всички компоненти на systemd с изключение на PID 1 са преобразувани да използват pidfds, ако подсистемата се поддържа от текущото ядро.
• systemd-logind предоставя проверки за достъп за операцията за промяна на виртуален терминал чрез PolicyKit. По подразбиране разрешенията за промяна на активния терминал се дават само на потребители, които са инициирали сесия на локалния виртуален терминал поне веднъж.
• За да улесни създаването на initrd изображения със systemd, манипулаторът на PID 1 вече открива дали initrd се използва и в този случай автоматично зарежда initrd.target вместо default.target. С този подход initrd и основните системни изображения могат да се различават само в присъствието на файла /etc/initrd-release.
• Добавен е нов параметър на командния ред на ядрото - "systemd.cpu_affinity", еквивалентен на опцията CPUAffinity в /etc/systemd/system.conf и ви позволява да конфигурирате маската за афинитет на процесора за PID 1 и други процеси.
• Разрешено презареждане на SELinux база данни заедно с рестартиране на PID 1 чрез команди като "systemctl daemon-reload".
• Настройката „systemd.show-status=error“ е добавена към манипулатора на PID 1, когато е зададена, на конзолата се показват само съобщения за грешки и значителни закъснения по време на зареждане.
• systemd-sysusers добави поддръжка за създаване на потребители с име на основна група, което е различно от потребителското име.
• systemd-growfs въвежда поддръжка за разширяване на XFS дялове чрез опцията за монтиране на x-systemd.growfs в /etc/fstab, в допълнение към поддържаното преди това разширяване на дялове с Ext4 и Btrfs.
• Добавена е опция x-initrd.attach към /etc/crypttab за дефиниране на шифрован дял, който вече е отключен на етап initrd.
• systemd-cryptsetup добави поддръжка (опция pkcs11-uri в /etc/crypttab) за отключване на криптирани дялове с помощта на PKCS#11 смарт карти, например за прикачване на криптиране на дял към YubiKeys.
• Нови опции за монтиране "x-systemd.required-by" и "x-systemd.wanted-by" са добавени към /etc/fstab за изрично конфигуриране на единици, които дефинират операции за монтиране, които да бъдат извиквани вместо local-fs.target и дистанционно -fs .target.
• Добавена е нова опция за пясъчник на услугата - ProtectClock, която ограничава записа в системния часовник (достъпът е блокиран на ниво /dev/rtc, системни повиквания и CAP_SYS_TIME/CAP_WAKE_ALARM разрешения).
• По спецификация Откриваеми дялове и systemd-gpt-auto-generator добави откриване на дялове
  /var и /var/tmp.

• В „systemctl list-unit-files“, когато се показва списък с единици, се появи нова колона, която отразява състоянието на активиране, предложено в предварително зададените от производителя за този тип единици.
• Към „systemctl“ е добавена опция „—with-dependencies“, когато се инсталират, команди като „systemctl status“ и „systemctl cat“ ще показват не само всички съответстващи единици, но и единиците, от които зависят.
• В systemd-networkd конфигурацията на qdisc е добавила възможност за конфигуриране на параметрите TBF (Token Bucket Filter), SFQ (Stochastic Fairness Queuing), CoDel (Controlled-Delay Active Queue Management) и FQ (Fair Queue).
• systemd-networkd добави поддръжка за IFB мрежови устройства (Междинен функционален блок).
• Systemd-networkd внедрява параметъра MultiPathRoute в секцията [Route], за да конфигурира многопътеви маршрути.
• В systemd-networkd за DHCPv4 клиента е добавена опцията SendDecline, когато е посочена, след получаване на DHCP отговор с адрес се извършва проверка на дублиран адрес и ако се установи конфликт на адрес, издаденият адрес се отхвърля. Опцията RouteMTUBytes също е добавена към клиента DHCPv4, което ви позволява да определите размера на MTU за маршрути, генерирани от обвързвания на IP адреси (лизинг).
• Настройката PrefixRoute в секцията [Address] на .network файлове е отхвърлена. Тя беше заменена от настройката „AddPrefixRoute“, която има обратното значение.
• В .network файловете е добавена поддръжка за новата стойност „_dhcp“ към настройката на Gateway в раздела „[Route]“, когато е зададена, се избира статичен маршрут въз основа на шлюза, конфигуриран чрез DHCP.
• Настройките са се появили в .network файловете в секцията „[RoutingPolicyRule]“.
  Потребител и SuppressPrefixLength за указване на маршрутизиране на източник въз основа на UID диапазони и размер на префикса.

• В networkctl командата „статус“ предоставя възможност за показване на регистрационни файлове във връзка с всеки мрежов интерфейс.
• systemd-networkd-wait-online добавя поддръжка за задаване на максималното време за изчакване интерфейсът да започне да функционира и да изчака интерфейсът да падне.
• Спряна обработка на .link и .network файлове с празна или коментирана секция „[Съвпадение]“.
• Във файловете .link и .network, в секцията „[Match]“, е добавена настройка „PermanentMACAddress“ за проверка на постоянния MAC адрес на устройствата в случай на използване на генериран случаен MAC.
• Разделът „[TrafficControlQueueingDiscipline]“ в .network файлове е преименуван на „[NetworkEmulator]“, а префиксът „NetworkEmulator“ е премахнат от имената на свързаните настройки.
• systemd-resolved за DNS-over-TLS добавя поддръжка за SNI проверка.

Източник: opennet.ru