systemd системен мениджър версия 242

[: ru]

След два месеца разработка представени издание на системния мениджър системен 242. Сред иновациите можем да отбележим поддръжка за L2TP тунели, възможност за контролиране на поведението на systemd-logind при рестартиране чрез променливи на средата, поддръжка за разширени дялове за зареждане на XBOOTLDR за монтиране / зареждане, възможност за зареждане с root дял в overlayfs, както и голям брой нови настройки за различни видове единици.

Основни промени:

• systemd-networkd осигурява поддръжка за L2TP тунели;
• sd-boot и bootctl осигуряват поддръжка за дялове XBOOTLDR (Extended Boot Loader), проектирани да бъдат монтирани на /boot, в допълнение към ESP дялове, монтирани на /efi или /boot/efi. Ядрата, настройките, initrd и EFI изображенията вече могат да се зареждат от ESP и XBOOTLDR дялове. Тази промяна ви позволява да използвате sd-boot bootloader в по-консервативни сценарии, когато самият bootloader се намира в ESP, а заредените ядра и свързаните с тях метаданни са поставени в отделен раздел;
• Добавена е възможност за зареждане с опцията „systemd.volatile=overlay“, предадена на ядрото, което ви позволява да поставите основния дял в overlayfs и да организирате работа върху изображение само за четене на основната директория с промени, записани в отделна директория в tmpfs (промените в тази конфигурация се губят след рестартиране) . По аналогия, systemd-nspawn добави опцията „--volatile=overlay“, за да използва подобна функционалност в контейнери;
• systemd-nspawn добави опцията „--oci-bundle“, за да позволи използването на пакети за изпълнение, за да осигури изолирано стартиране на контейнери, които отговарят на спецификацията на Open Container Initiative (OCI). За използване в командния ред и модулите nspawn се предлага поддръжка за различни опции, описани в OCI спецификацията, например опциите „--inaccessible“ и „Iaccessible“ могат да се използват за изключване на части от файловата система и „ --console” са добавени опции за конфигуриране на стандартни изходни потоци и „-pipe”;
• Добавена е възможност за контролиране на поведението на systemd-logind чрез променливи на средата: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
  $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU и
  $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. Използвайки тези променливи, можете да свържете свои собствени манипулатори на процеса на рестартиране (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu и
  /run/systemd/reboot-to-boot-loader-entry) или ги деактивирайте напълно (ако стойността е зададена на false);

• Добавени са опции „-boot-load-menu=“ и
  „—boot-loader-entry=“, което ви позволява да изберете конкретен елемент от менюто за зареждане или режим на зареждане след рестартиране;

• Добавена е нова команда за изолиране на пясъчна среда „RestrictSUIDSGID=“, която използва seccomp, за да забрани създаването на файлове с SUID/SGID флагове;
• Гарантирано е, че ограниченията „NoNewPrivileges“ и „RestrictSUIDSGID“ се прилагат по подразбиране в услуги с режим на генериране на динамичен потребителски идентификатор („DynamicUser“ е активиран);
• Настройката по подразбиране MACAddressPolicy=persistent в .link файловете е променена, за да обхване повече устройства. Интерфейсите на мрежовите мостове, тунелите (tun, tap) и агрегираните връзки (bond) не се идентифицират, освен чрез името на мрежовия интерфейс, така че това име сега се използва като основа за обвързване на MAC и IPv4 адреси. Освен това е добавена настройката „MACAddressPolicy=random“, която може да се използва за свързване на MAC и IPv4 адреси към устройства в произволен ред;
• ".device" модулните файлове, генерирани чрез systemd-fstab-generator, вече не включват съответните ".mount" модули като зависимости в секцията "Wants=". Простото включване на устройство вече не стартира автоматично единица за монтиране, но такива единици все още могат да бъдат стартирани по други причини, като например като част от local-fs.target или като зависимост от други единици, които зависят от local-fs.target ;
• Добавена е поддръжка за маски („*“ и т.н.) към командите „networkctl list/status/lldp“ за филтриране на определени групи мрежови интерфейси по част от името им;
• Променливата на средата $PIDFILE вече е зададена с помощта на абсолютния път, конфигуриран в услугите чрез параметъра "PIDFile=;".
• Обществените сървъри на Cloudflare (1.1.1.1) са добавени към броя на използваните резервни DNS сървъри, ако основният DNS не е изрично дефиниран. За да предефинирате списъка с резервни DNS сървъри, можете да използвате опцията „-Ddns-servers=“;
• При откриване на наличието на контролер на USB устройство автоматично се стартира нов манипулатор usb-gadget.target (когато системата работи на USB периферно устройство);
• За модулни файлове е внедрена настройката “CPUQuotaPeriodSec=”, която определя периода от време, спрямо който се измерва времевата квота на процесора, зададена чрез настройката “CPUQuota=”;
• За модулни файлове е внедрена настройката „ProtectHostname=“, която забранява на услугите да променят информацията за името на хоста, дори ако имат съответните разрешения;
• За модулни файлове е внедрена настройката „NetworkNamespacePath=“, която ви позволява да обвържете пространство от имена към услуги или модули на сокет, като посочите пътя до файла с пространство от имена в псевдо-FS /proc;
• Добавена е възможност за деактивиране на заместване на променливи на средата за процеси, стартирани с помощта на настройката „ExecStart=“, чрез добавяне на знак „:“ преди командата за стартиране;
• За таймери (.timer единици) нови флагове “OnClockChange=” и
  “OnTimezoneChange=”, с който можете да контролирате извикването на модула при промяна на системното време или часовата зона;

• Добавени са нови настройки “ConditionMemory=” и “ConditionCPUs=”, които определят условията за извикване на единица в зависимост от размера на паметта и броя на процесорните ядра (например ресурсоемка услуга може да бъде стартирана само ако необходимото количество RAM е налична);
• Добавена е нова единица time-set.target, която приема локално зададеното системно време, без да използва съгласуване с външни сървъри за време, използвайки единицата time-sync.target. Новата единица може да се използва от услуги, които се нуждаят от точността на несинхронизираните локални часовници;
• Опцията „--show-transaction“ е добавена към „systemctl start“ и подобни команди, когато е посочена, се показва обобщение на всички задачи, добавени към опашката поради заявената операция;
• systemd-networkd прилага дефиницията на ново „поробено“ състояние, използвано вместо „влошено“ или „носител“ за мрежови интерфейси, които са част от агрегатни връзки или мрежови мостове. За първични интерфейси, в случай на проблеми с една от композитните връзки, е добавено състояние 'degraded-carrier';
• Добавена е опция „IgnoreCarrierLoss=“ към .network единици за запазване на мрежовите настройки в случай на загуба на връзка;
• Чрез настройката „RequiredForOnline=“ в единици .network вече можете да зададете минималното приемливо състояние на връзката, необходимо за прехвърляне на мрежовия интерфейс към „онлайн“ и задействане на манипулатора systemd-networkd-wait-online;
• Добавена е опцията „--any“ към systemd-networkd-wait-online, за да изчака готовността на който и да е от посочените мрежови интерфейси вместо всички, както и опцията „--operational-state=“ за определяне на състоянието на връзката, показваща готовност;
• Добавени са настройки „UseAutonomousPrefix=“ и „UseOnLinkPrefix=“ към .network единици, които могат да се използват за игнориране на префикси при получаване
  съобщение от IPv6 рутер (RA, Router Advertisement);

• В единиците .network са добавени настройките „MulticastFlood=“, „NeighborSuppression=“ и „Learning=“ за промяна на работните параметри на мрежовия мост, както и настройката „TripleSampling=“ за промяна на режима TRIPLE-SAMPLING на CAN виртуални интерфейси;
• Настройките „PrivateKeyFile=“ и „PresharedKeyFile=“ са добавени към .netdev единици, с които можете да посочите частни и споделени (PSK) ключове за WireGuard VPN интерфейси;
• Добавени са опции same-cpu-crypt и submit-from-crypt-cpus към /etc/crypttab, които контролират поведението на планировчика при мигриране на работа, свързана с криптиране, между CPU ядра;
• systemd-tmpfiles осигурява обработка на заключващи файлове преди извършване на операции в директории с временни файлове, което ви позволява да деактивирате работата по почистване на остарели файлове за времетраенето на определени действия (например, когато разопаковате tar архив в /tmp, много стари файлове може да бъдат отворени, които не могат да бъдат изтрити преди края на действието с тях);
• Командата “systemd-analyze cat-config” предоставя възможност за анализ на конфигурация, разделена на няколко файла, например потребителски и системни предварително зададени настройки, съдържанието на tmpfiles.d и sysusers.d, udev правила и др.
• Добавена е опция „--cursor-file=" към „journalctl“ за указване на файл за зареждане и запазване на позиционния курсор;
• Добавена е дефиниция на ACRN хипервизор и подсистема WSL (Windows подсистема за Linux) към systemd-detect-virt за последващо разклоняване с помощта на условния оператор „ConditionVirtualization“;
• По време на инсталиране на systemd (при изпълнение на "ninja install"), създаването на символни връзки към файловете systemd-networkd.service, systemd-networkd.socket,
  systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
  systemd-networkd-wait-online.service и systemd-timesyncd.service. За да създадете тези файлове, сега трябва да изпълните командата “systemctl preset-all”.

източникopennet.ru

[EN]

След два месеца разработка представени издание на системния мениджър системен 242. Сред иновациите можем да отбележим поддръжка за L2TP тунели, възможност за контролиране на поведението на systemd-logind при рестартиране чрез променливи на средата, поддръжка за разширени дялове за зареждане на XBOOTLDR за монтиране / зареждане, възможност за зареждане с root дял в overlayfs, както и голям брой нови настройки за различни видове единици.

Основни промени:

• systemd-networkd осигурява поддръжка за L2TP тунели;
• sd-boot и bootctl осигуряват поддръжка за дялове XBOOTLDR (Extended Boot Loader), проектирани да бъдат монтирани на /boot, в допълнение към ESP дялове, монтирани на /efi или /boot/efi. Ядрата, настройките, initrd и EFI изображенията вече могат да се зареждат от ESP и XBOOTLDR дялове. Тази промяна ви позволява да използвате sd-boot bootloader в по-консервативни сценарии, когато самият bootloader се намира в ESP, а заредените ядра и свързаните с тях метаданни са поставени в отделен раздел;
• Добавена е възможност за зареждане с опцията „systemd.volatile=overlay“, предадена на ядрото, което ви позволява да поставите основния дял в overlayfs и да организирате работа върху изображение само за четене на основната директория с промени, записани в отделна директория в tmpfs (промените в тази конфигурация се губят след рестартиране) . По аналогия, systemd-nspawn добави опцията „--volatile=overlay“, за да използва подобна функционалност в контейнери;
• systemd-nspawn добави опцията „--oci-bundle“, за да позволи използването на пакети за изпълнение, за да осигури изолирано стартиране на контейнери, които отговарят на спецификацията на Open Container Initiative (OCI). За използване в командния ред и модулите nspawn се предлага поддръжка за различни опции, описани в OCI спецификацията, например опциите „--inaccessible“ и „Iaccessible“ могат да се използват за изключване на части от файловата система и „ --console” са добавени опции за конфигуриране на стандартни изходни потоци и „-pipe”;
• Добавена е възможност за контролиране на поведението на systemd-logind чрез променливи на средата: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
  $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU и
  $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. Използвайки тези променливи, можете да свържете свои собствени манипулатори на процеса на рестартиране (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu и
  /run/systemd/reboot-to-boot-loader-entry) или ги деактивирайте напълно (ако стойността е зададена на false);

• Добавени са опции „-boot-load-menu=“ и
  „—boot-loader-entry=“, което ви позволява да изберете конкретен елемент от менюто за зареждане или режим на зареждане след рестартиране;

• Добавена е нова команда за изолиране на пясъчна среда „RestrictSUIDSGID=“, която използва seccomp, за да забрани създаването на файлове с SUID/SGID флагове;
• Гарантирано е, че ограниченията „NoNewPrivileges“ и „RestrictSUIDSGID“ се прилагат по подразбиране в услуги с режим на генериране на динамичен потребителски идентификатор („DynamicUser“ е активиран);
• Настройката по подразбиране MACAddressPolicy=persistent в .link файловете е променена, за да обхване повече устройства. Интерфейсите на мрежовите мостове, тунелите (tun, tap) и агрегираните връзки (bond) не се идентифицират, освен чрез името на мрежовия интерфейс, така че това име сега се използва като основа за обвързване на MAC и IPv4 адреси. Освен това е добавена настройката „MACAddressPolicy=random“, която може да се използва за свързване на MAC и IPv4 адреси към устройства в произволен ред;
• ".device" модулните файлове, генерирани чрез systemd-fstab-generator, вече не включват съответните ".mount" модули като зависимости в секцията "Wants=". Простото включване на устройство вече не стартира автоматично единица за монтиране, но такива единици все още могат да бъдат стартирани по други причини, като например като част от local-fs.target или като зависимост от други единици, които зависят от local-fs.target ;
• Добавена е поддръжка за маски („*“ и т.н.) към командите „networkctl list/status/lldp“ за филтриране на определени групи мрежови интерфейси по част от името им;
• Променливата на средата $PIDFILE вече е зададена с помощта на абсолютния път, конфигуриран в услугите чрез параметъра "PIDFile=;".
• Обществените сървъри на Cloudflare (1.1.1.1) са добавени към броя на използваните резервни DNS сървъри, ако основният DNS не е изрично дефиниран. За да предефинирате списъка с резервни DNS сървъри, можете да използвате опцията „-Ddns-servers=“;
• При откриване на наличието на контролер на USB устройство автоматично се стартира нов манипулатор usb-gadget.target (когато системата работи на USB периферно устройство);
• За модулни файлове е внедрена настройката “CPUQuotaPeriodSec=”, която определя периода от време, спрямо който се измерва времевата квота на процесора, зададена чрез настройката “CPUQuota=”;
• За модулни файлове е внедрена настройката „ProtectHostname=“, която забранява на услугите да променят информацията за името на хоста, дори ако имат съответните разрешения;
• За модулни файлове е внедрена настройката „NetworkNamespacePath=“, която ви позволява да обвържете пространство от имена към услуги или модули на сокет, като посочите пътя до файла с пространство от имена в псевдо-FS /proc;
• Добавена е възможност за деактивиране на заместване на променливи на средата за процеси, стартирани с помощта на настройката „ExecStart=“, чрез добавяне на знак „:“ преди командата за стартиране;
• За таймери (.timer единици) нови флагове “OnClockChange=” и
  “OnTimezoneChange=”, с който можете да контролирате извикването на модула при промяна на системното време или часовата зона;

• Добавени са нови настройки “ConditionMemory=” и “ConditionCPUs=”, които определят условията за извикване на единица в зависимост от размера на паметта и броя на процесорните ядра (например ресурсоемка услуга може да бъде стартирана само ако необходимото количество RAM е налична);
• Добавена е нова единица time-set.target, която приема локално зададеното системно време, без да използва съгласуване с външни сървъри за време, използвайки единицата time-sync.target. Новата единица може да се използва от услуги, които се нуждаят от точността на несинхронизираните локални часовници;
• Опцията „--show-transaction“ е добавена към „systemctl start“ и подобни команди, когато е посочена, се показва обобщение на всички задачи, добавени към опашката поради заявената операция;
• systemd-networkd прилага дефиницията на ново „поробено“ състояние, използвано вместо „влошено“ или „носител“ за мрежови интерфейси, които са част от агрегатни връзки или мрежови мостове. За първични интерфейси, в случай на проблеми с една от композитните връзки, е добавено състояние 'degraded-carrier';
• Добавена е опция „IgnoreCarrierLoss=“ към .network единици за запазване на мрежовите настройки в случай на загуба на връзка;
• Чрез настройката „RequiredForOnline=“ в единици .network вече можете да зададете минималното приемливо състояние на връзката, необходимо за прехвърляне на мрежовия интерфейс към „онлайн“ и задействане на манипулатора systemd-networkd-wait-online;
• Добавена е опцията „--any“ към systemd-networkd-wait-online, за да изчака готовността на който и да е от посочените мрежови интерфейси вместо всички, както и опцията „--operational-state=“ за определяне на състоянието на връзката, показваща готовност;
• Добавени са настройки „UseAutonomousPrefix=“ и „UseOnLinkPrefix=“ към .network единици, които могат да се използват за игнориране на префикси при получаване
  съобщение от IPv6 рутер (RA, Router Advertisement);

• В единиците .network са добавени настройките „MulticastFlood=“, „NeighborSuppression=“ и „Learning=“ за промяна на работните параметри на мрежовия мост, както и настройката „TripleSampling=“ за промяна на режима TRIPLE-SAMPLING на CAN виртуални интерфейси;
• Настройките „PrivateKeyFile=“ и „PresharedKeyFile=“ са добавени към .netdev единици, с които можете да посочите частни и споделени (PSK) ключове за WireGuard VPN интерфейси;
• Добавени са опции same-cpu-crypt и submit-from-crypt-cpus към /etc/crypttab, които контролират поведението на планировчика при мигриране на работа, свързана с криптиране, между CPU ядра;
• systemd-tmpfiles осигурява обработка на заключващи файлове преди извършване на операции в директории с временни файлове, което ви позволява да деактивирате работата по почистване на остарели файлове за времетраенето на определени действия (например, когато разопаковате tar архив в /tmp, много стари файлове може да бъдат отворени, които не могат да бъдат изтрити преди края на действието с тях);
• Командата “systemd-analyze cat-config” предоставя възможност за анализ на конфигурация, разделена на няколко файла, например потребителски и системни предварително зададени настройки, съдържанието на tmpfiles.d и sysusers.d, udev правила и др.
• Добавена е опция „--cursor-file=" към „journalctl“ за указване на файл за зареждане и запазване на позиционния курсор;
• Добавена е дефиниция на ACRN хипервизор и подсистема WSL (Windows подсистема за Linux) към systemd-detect-virt за последващо разклоняване с помощта на условния оператор „ConditionVirtualization“;
• По време на инсталиране на systemd (при изпълнение на "ninja install"), създаването на символни връзки към файловете systemd-networkd.service, systemd-networkd.socket,
  systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
  systemd-networkd-wait-online.service и systemd-timesyncd.service. За да създадете тези файлове, сега трябва да изпълните командата “systemctl preset-all”.

Източник: opennet.ru

[:]