systemd системен мениджър версия 243

След пет месеца разработка представени издание на системния мениджър системен 243. Сред нововъведенията можем да отбележим интегрирането в PID 1 на манипулатор за ниска памет в системата, поддръжка за прикачване на вашите собствени BPF програми за филтриране на трафик на единици, множество нови опции за systemd-networkd, режим за наблюдение на честотната лента на мрежата интерфейси, позволяващи по подразбиране на 64-битови системи 22-битови PID числа вместо 16-битови, преход към унифицирана йерархия на cgroups, включване в systemd-network-generator.

Основни промени:

• Разпознаването на генерирани от ядрото сигнали за недостиг на памет (Out-Of-Memory, OOM) е добавено към манипулатора PID 1 за прехвърляне на единици, които са достигнали лимита за потребление на памет, в специално състояние с опционална възможност да ги принудите да прекратят или спрете;
• За модулни файлове, нови параметри IPIngressFilterPath и
  IPEgressFilterPath, който ви позволява да свържете BPF програми с произволни манипулатори за филтриране на входящи и изходящи IP пакети, генерирани от процеси, свързани с това устройство. Предложените функции ви позволяват да създадете вид защитна стена за systemd услуги. Пример за писане прост мрежов филтър, базиран на BPF;

• Командата “clean” е добавена към помощната програма systemctl за изтриване на кеша, файловете за изпълнение, информацията за състоянието и директориите с журнали;
• systemd-networkd добавя поддръжка за мрежови интерфейси MACsec, nlmon, IPVTAP и Xfrm;
• systemd-networkd прилага отделна конфигурация на стекове DHCPv4 и DHCPv6 чрез секциите „[DHCPv4]“ и „[DHCPv6]“ в конфигурационния файл. Добавена е опцията RoutesToDNS за добавяне на отделен маршрут към DNS сървъра, посочен в параметрите, получени от DHCP сървъра (така че трафикът към DNS да се изпраща през същата връзка като основния маршрут, получен от DHCP). Добавени са нови опции за DHCPv4: MaxAttempts - максимален брой заявки за получаване на адрес, BlackList - черен списък на DHCP сървъри, SendRelease - разрешаване на изпращане на DHCP RELEASE съобщения, когато сесията приключи;
• Нови команди са добавени към помощната програма systemd-analyze:
  • “systemd-analyze timestamp” - времеви разбор и преобразуване;
  • “systemd-analyze timespan” - анализ и преобразуване на времеви периоди;
  • “systemd-analyze условие” - анализиране и тестване на ConditionXYZ изрази;
  • “systemd-analyze exit-status” - анализиране и конвертиране на изходни кодове от числа в имена и обратно;
  • "systemd-analyze unit-files" - Изброява всички файлови пътища за единици и псевдоними на единици.
• Опции SuccessExitStatus, RestartPreventExitStatus и
  RestartForceExitStatus вече поддържа не само цифрови кодове за връщане, но и техните текстови идентификатори (например „DATAERR“). Можете да видите списъка с кодове, присвоени на идентификатори, като използвате командата „sytemd-analyze exit-status“;

• Командата „delete“ е добавена към помощната програма networkctl за изтриване на виртуални мрежови устройства, както и опцията „—stats“ за показване на статистика на устройството;
• Настройките SpeedMeter и SpeedMeterIntervalSec са добавени към networkd.conf за периодично измерване на пропускателната способност на мрежовите интерфейси. Статистиката, получена от резултатите от измерването, може да се види в изхода на командата 'networkctl status';
• Добавена е нова помощна програма systemd-network-generator за генериране на файлове
  .network, .netdev и .link въз основа на IP настройки, предадени при стартиране чрез командния ред на ядрото на Linux във формат за настройки на Dracut;

• Стойността на sysctl "kernel.pid_max" на 64-битови системи вече е зададена по подразбиране на 4194304 (22-битови PID вместо 16 бита), което намалява вероятността от сблъсъци при присвояване на PID, увеличава ограничението за броя едновременно изпълнявани процеси и има положително въздействие върху сигурността. Промяната може потенциално да доведе до проблеми със съвместимостта, но такива проблеми все още не са докладвани на практика;
• По подразбиране етапът на изграждане превключва към унифицираната йерархия cgroups-v2 (“-Ddefault-hierarchy=unified”). Преди това по подразбиране беше хибриден режим (“-Ddefault-hierarchy=hybrid”);
• Поведението на филтъра за системно извикване (SystemCallFilter) е променено, което в случай на забранено системно извикване вече прекратява целия процес, а не отделни нишки, тъй като прекратяването на отделни нишки може да доведе до непредвидими проблеми. Промените се прилагат само ако имате ядро ​​на Linux 4.14+ и libseccomp 2.4.0+;
• На непривилегированите програми се дава възможност да изпращат ICMP Echo (ping) пакети чрез настройка на sysctl "net.ipv4.ping_group_range" за целия диапазон от групи (за всички процеси);
• За да се ускори процеса на изграждане, генерирането на ръководства за man е спряно по подразбиране (за да създадете пълна документация, трябва да използвате опцията „-Dman=true“ или „-Dhtml=true“ за ръководства в html формат). За да се улесни разглеждането на документацията, са включени два скрипта: build/man/man и build/man/html за генериране и предварителен преглед на ръководствата, които представляват интерес;
• За обработка на имена на домейни със знаци от национални азбуки, библиотеката libidn2 се използва по подразбиране (за да върнете libidn, използвайте опцията „-Dlibidn=true“);
• Поддръжката за изпълнимия файл /usr/sbin/halt.local, който предоставяше функционалност, която не беше широко разпространена в дистрибуциите, беше преустановена. За да организирате стартирането на команди при изключване, се препоръчва да използвате скриптове в /usr/lib/systemd/system-shutdown/ или да дефинирате нова единица, която зависи от final.target;
• На последния етап на изключване, systemd вече автоматично увеличава нивото на журнал в sysctl „kernel.printk“, което решава проблема с показването в журнала на събития, настъпили в по-късните етапи на изключване, когато обикновените демони за регистриране вече са завършили ;
• В journalctl и други помощни програми, показващи регистрационни файлове, предупрежденията са маркирани в жълто, а одитните записи са маркирани в синьо, за да ги подчертаете визуално от тълпата;
• В променливата на средата $PATH пътят до bin/ сега идва преди пътя до sbin/, т.е. ако има еднакви имена на изпълними файлове в двете директории, файлът от bin/ ще бъде изпълнен;
• systemd-logind осигурява извикване SetBrightness() за безопасна промяна на яркостта на екрана за всяка сесия;
• Флагът „--wait-for-initialization“ е добавен към командата „udevadm info“, за да изчака устройството да се инициализира;
• По време на зареждане на системата манипулаторът на PID 1 вече показва имената на единиците вместо ред с тяхното описание. За да се върнете към миналото поведение, можете да използвате опцията StatusUnitFormat в /etc/systemd/system.conf или опцията на ядрото systemd.status_unit_format;
• Добавена е опция KExecWatchdogSec към /etc/systemd/system.conf за наблюдателен идентификатор PID 1, който указва времето за изчакване за рестартиране с помощта на kexec. Стара обстановка
  ShutdownWatchdogSec е преименуван на RebootWatchdogSec и дефинира таймаут за задания по време на изключване или нормално рестартиране;

• Добавена е нова опция за услуги ExecCondition, което ви позволява да зададете команди, които ще бъдат изпълнени преди ExecStartPre. Въз основа на кода за грешка, върнат от командата, се взема решение за по-нататъшно изпълнение на модула - ако се върне код 0, стартирането на модула продължава, ако от 1 до 254 тихо завършва без флаг за неуспех, ако 255 завършва с флаг за повреда;
• Добавена е нова услуга systemd-pstore.service за извличане на данни от sys/fs/pstore/ и от записване в /var/lib/pstore за допълнителен анализ;
• Добавени са нови команди към помощната програма timedatectl за конфигуриране на NTP параметри за systemd-timesyncd във връзка с мрежовите интерфейси;
• Командата "localectl list-locales" вече не показва локали, различни от UTF-8;
• Гарантира, че грешките при присвояване на променливи във файловете sysctl.d/ се игнорират, ако името на променливата започва със знака „-“;
• Обслужване systemd-random-seed.service сега е изцяло отговорен за инициализиране на ентропийния пул на генератора на псевдослучайни числа на ядрото на Linux. Услуги, които изискват правилно инициализиран /dev/urandom, трябва да се стартират след systemd-random-seed.service;
• Зареждащото устройство systemd-boot предоставя опционална възможност за поддръжка семенен файл с произволна последователност в EFI System Partition (ESP);
• Добавени са нови команди към помощната програма bootctl: „bootctl random-seed“ за генериране на начален файл в ESP и „bootctl is-installed“ за проверка на инсталацията на зареждащия зареждащ systemd-boot. bootctl също е коригиран да показва предупреждения за неправилна конфигурация на записи за зареждане (например, когато изображението на ядрото е изтрито, но записът за зареждането му е оставен);
• Осигурява автоматичен избор на суап дял, когато системата премине в режим на заспиване. Разделът се избира в зависимост от конфигурирания за него приоритет и в случай на еднакви приоритети, количеството свободно пространство;
• Добавена е опция за време за изчакване на ключов файл към /etc/crypttab, за да се зададе колко дълго устройството с ключа за шифроване ще чака, преди да поиска парола за достъп до шифрования дял;
• Добавена е опция IOWeight за задаване на I/O тегло за BFQ планировчика;
• systemd-resolved добави "строг" режим за DNS-over-TLS и внедри възможността за кеширане само на положителни DNS отговори ("Cache no-negative" в resolved.conf);
• За VXLAN systemd-networkd е добавил опция GenericProtocolExtension, за да активира разширенията на протокола VXLAN. За VXLAN и GENEVE е добавена опцията IPDoNotFragment за задаване на флага за забрана на фрагментация за изходящи пакети;
• В systemd-networkd, в секцията “[Route]” се появи опцията FastOpenNoCookie, която активира механизма за бързо отваряне на TCP връзки (TFO - TCP Fast Open, RFC 7413) по отношение на отделни маршрути, както и опцията TTLPropagate за конфигуриране на TTL LSP (път с превключване на етикети). Опцията „Тип“ осигурява поддръжка за локални, излъчвани, произволни, мултикаст, всякакви и xresolve режими на маршрутизиране;
• Systemd-networkd предлага опция DefaultRouteOnDevice в секцията „[Network]“ за автоматично конфигуриране на маршрут по подразбиране за дадено мрежово устройство;
• Systemd-networkd добави ProxyARP и
  ProxyARPWifi за настройка на прокси ARP поведение, MulticastRouter за задаване на параметри за маршрутизиране в мултикаст режим, MulticastIGMPVersion за промяна на версията на IGMP (Internet Group Management Protocol) за мултикаст;

• Systemd-networkd добави опции Local, Peer и PeerPort за FooOverUDP тунели за конфигуриране на локалните и отдалечените IP адреси, както и номера на мрежовия порт. За TUN тунели е добавена опцията VnetHeader за конфигуриране на поддръжката на GSO (Generic Segment Offload);
• В systemd-networkd във файловете .network и .link в секцията [Match] се появи опция Property, която ви позволява да идентифицирате устройствата по техните специфични свойства в udev;
• В systemd-networkd е добавена опция AssignToLoopback за тунели, която контролира дали краят на тунела е присвоен на устройството за обратна връзка „lo“;
• systemd-networkd автоматично активира IPv6 стека, ако е блокиран чрез sysctl disable_ipv6 - IPv6 се активира, ако IPv6 настройките (статични или DHCPv6) са дефинирани за мрежовия интерфейс, в противен случай вече зададената sysctl стойност не се променя;
• В .network файловете настройката CriticalConnection е заменена от опцията KeepConfiguration, която предоставя повече средства за дефиниране на ситуации („да“, „статични“, „dhcp-on-stop“, „dhcp“), в които systemd-networkd трябва не докосвайте съществуващите връзки при стартиране;
• Уязвимостта е коригирана CVE-2019 15718-, причинено от липсата на контрол на достъпа до интерфейса на D-Bus systemd-решено. Проблемът позволява на непривилегирован потребител да извършва операции, които са достъпни само за администратори, като например промяна на DNS настройките и насочване на DNS заявки към фалшив сървър;
• Уязвимостта е коригирана CVE-2019 9619-свързани с неактивиране на pam_systemd за неинтерактивни сесии, което позволява подправяне на активната сесия.

Източник: opennet.ru