systemd системен мениджър версия 246

След пет месеца разработка представени издание на системния мениджър системен 246. Новата версия включва поддръжка за замразяване на единици, възможност за проверка на изображението на основния диск с помощта на цифров подпис, поддръжка за компресиране на журнали и изхвърляния на ядрото с помощта на алгоритъма ZSTD, възможност за отключване на преносими домашни директории с помощта на токени FIDO2, поддръжка за отключване на Microsoft BitLocker дялове чрез /etc/ crypttab, BlackList е преименуван на DenyList.

Основната промени:

• Добавена е поддръжка за контролера на ресурсите на фризера, базиран на cgroups v2, с който можете да спирате процеси и временно да освобождавате някои ресурси (CPU, I/O и потенциално дори памет), за да изпълнявате други задачи. Замразяването и размразяването на модулите се контролира с помощта на новата команда „systemctl freeze“ или чрез D-Bus.
• Добавена е поддръжка за проверка на основното дисково изображение с помощта на цифров подпис. Проверката се извършва с помощта на нови настройки в обслужващи единици: RootHash (основен хеш за проверка на изображението на диска, зададен чрез опцията RootImage) и RootHashSignature (цифров подпис във формат PKCS#7 за основния хеш).
• Манипулаторът PID 1 реализира възможността за автоматично зареждане на предварително компилирани правила на AppArmor (/etc/apparmor/earlypolicy) в началния етап на зареждане.
• Добавени са нови настройки на единичен файл: ConditionPathIsEncrypted и AssertPathIsEncrypted за проверка на разположението на посочения път на блоково устройство, което използва криптиране (dm-crypt/LUKS), ConditionEnvironment и AssertEnvironment за проверка на променливите на средата (например тези, зададени от PAM или при поставяне на контейнери).
• За *.mount единици е внедрена настройката ReadWriteOnly, която забранява монтирането на дял в режим само за четене, ако не е възможно да се монтира за четене и запис. В /etc/fstab този режим е конфигуриран с помощта на опцията “x-systemd.rw-only”.
• За *.socket единици е добавена настройката PassPacketInfo, която позволява на ядрото да добавя допълнителни метаданни за всеки пакет, прочетен от сокета (разрешава режимите IP_PKTINFO, IPV6_RECVPKTINFO и NETLINK_PKTINFO за сокета).
• За услуги (*.service единици) се предлагат настройки на CoredumpFilter (дефинира секции от паметта, които трябва да бъдат включени в дъмповете на ядрото) и
  TimeoutStartFailureMode/TimeoutStopFailureMode (дефинира поведението (SIGTERM, SIGABRT или SIGKILL), когато настъпи таймаут при стартиране или спиране на услуга).

• Повечето опции вече поддържат шестнадесетични стойности, посочени с помощта на префикса "0x".
• В различни параметри на командния ред и конфигурационни файлове, свързани с настройка на ключове или сертификати, вече е възможно да се укаже пътят до unix сокети (AF_UNIX) за прехвърляне на ключове и сертификати чрез извиквания към IPC услуги, когато не е желателно да се поставят сертификати върху некриптирани дисково съхранение.
• Добавена е поддръжка за шест нови спецификатора, които могат да се използват в единици, tmpfiles.d/, sysusers.d/ и други конфигурационни файлове: %a за заместване на текущата архитектура, %o/%w/%B/%W за заместване на полета с идентификатори от /etc/os-release и %l за заместване на кратко име на хост.
• Единичните файлове вече не поддържат синтаксиса „.include“, който беше остарял преди 6 години.
• Настройките StandardError и StandardOutput вече не поддържат стойностите „syslog“ и „syslog-console“, които ще бъдат автоматично преобразувани в „journal“ и „journal+console“.
• За автоматично създадени базирани на tmpfs точки на монтиране (/tmp, /run, /dev/shm и т.н.) се предоставят ограничения за размера и броя на inodes, съответстващи на 50% от размера на RAM за /tmp и /dev/ shm и 10% RAM за всички останали.
• Добавени са нови опции на командния ред на ядрото: systemd.hostname за задаване на името на хоста в началния етап на зареждане, udev.blockdev_read_only за ограничаване на всички блокиращи устройства, свързани с физически устройства, до режим само за четене (можете да използвате командата "blockdev --setrw" за селективно отмяна), systemd .swap за деактивиране на автоматичното активиране на суап дяла, systemd.clock-usec за задаване на системния часовник в микросекунди, systemd.condition-needs-update и systemd.condition-first-boot за отмяна на ConditionNeedsUpdate и ConditionFirstBoot чекове.
• По подразбиране sysctl fs.suid_dumpable е настроен на 2 („suidsafe“), което позволява запазване на основни дъмпове за процеси с флаг suid.
• Файлът /usr/lib/udev/hwdb.d/60-autosuspend.hwdb е заимстван в хардуерната база данни от ChromiumOS, която включва информация за PCI и USB устройства, които поддържат автоматичен режим на заспиване.
• Към networkd.conf е добавена настройка ManageForeignRoutes, когато е активирана, systemd-networkd ще започне да управлява всички маршрути, конфигурирани от други помощни програми.
• Добавен е раздел „[SR-IOV]“ към .network файлове за конфигуриране на мрежови устройства, които поддържат SR-IOV (Single Root I/O Virtualization).
• В systemd-networkd настройката IPv4AcceptLocal е добавена към секцията „[Network]“, за да позволи на пакетите, пристигащи с адрес на локален източник, да бъдат получени в мрежовия интерфейс.
• systemd-networkd добави възможност за конфигуриране на дисциплини за приоритизиране на трафика на HTB чрез [HierarchyTokenBucket] и
  [HierarchyTokenBucketClass], "pfifo" чрез [PFIFO], "GRED" чрез [GenericRandomEarlyDetection], "SFB" чрез [StochasticFairBlue], "cake"
  чрез [CAKE], "PIE" чрез [PIE], "DRR" чрез [DeficitRoundRobinScheduler] и
  [DeficitRoundRobinSchedulerClass], "BFIFO" чрез [BFIFO],
  „PFIFOHeadDrop“ чрез [PFIFOHeadDrop], „PFIFOFast“ чрез [PFIFOFast], „HHF“
  чрез [HeavyHitterFilter], "ETS" чрез [EnhancedTransmissionSelection],
  „QFQ“ чрез [QuickFairQueueing] и [QuickFairQueueingClass].

• В systemd-networkd настройката UseGateway е добавена към секцията [DHCPv4], за да деактивирате използването на информация за шлюза, получена чрез DHCP.
• В systemd-networkd, в секциите [DHCPv4] и [DHCPServer], е добавена настройка SendVendorOption за инсталиране и обработка на допълнителни опции на доставчика.
• systemd-networkd внедрява нов набор от опции EmitPOP3/POP3, EmitSMTP/SMTP и EmitLPR/LPR в секцията [DHCPServer], за да добави информация за POP3, SMTP и LPR сървъри.
• В systemd-networkd, във файловете .netdev в секцията [Bridge], е добавена настройка на VLANProtocol за избор на VLAN протокол, който да се използва.
• В systemd-networkd, в .network файлове в секцията [Link], настройката Group е внедрена за управление на група от връзки.
• Настройките на BlackList са преименувани на DenyList (запазвайки старото управление на имената за обратна съвместимост).
• Systemd-networkd добави голяма част от настройките, свързани с IPv6 и DHCPv6.
• Добавена е команда „forcerenew“ към networkctl, за да се принудят всички обвързвания на адреси да бъдат актуализирани (лизинг).
• В systemd-resolved, в конфигурацията на DNS, стана възможно да се посочи номер на порт и име на хост за проверка на сертификат DNS-over-TLS. Реализацията на DNS-over-TLS добави поддръжка за SNI проверка.
• Systemd-resolved вече има способността да конфигурира пренасочване на DNS имена с един етикет (един етикет, от едно име на хост).
• systemd-journald осигурява поддръжка за използване на алгоритъма zstd за компресиране на големи полета в журнали. Извършена е работа за защита срещу сблъсъци в хеш-таблици, използвани в дневници.
• URL адреси с възможност за кликване с връзки към документация са добавени към journalctl при показване на съобщения в журнала.
• Добавена е настройка за одит към journald.conf, за да се контролира дали одитът е активиран по време на инициализацията на systemd-journald.
• Systemd-coredump вече има способността да компресира основни дъмпове с помощта на алгоритъма zstd.
• Добавена е настройка на UUID към systemd-repart за присвояване на UUID на създадения дял.
• Услугата systemd-homed, която предоставя управление на преносими домашни директории, добави възможност за отключване на домашни директории с помощта на токени FIDO2. Добавена е поддръжка към бекенда за криптиране на дялове LUKS за автоматично връщане на празни блокове на файловата система, когато сесията приключи. Добавена е защита срещу двойно криптиране на данни, ако се установи, че /home дялът на системата вече е криптиран.
• Добавени са настройки към /etc/crypttab: “keyfile-erase” за изтриване на ключ след употреба и “try-empty-password” за опит за отключване на дял с празна парола, преди да поиска от потребителя парола (полезно за инсталиране на криптирани изображения с парола, зададена след първото зареждане, а не по време на инсталацията).
• systemd-cryptsetup добавя поддръжка за отключване на Microsoft BitLocker дялове по време на зареждане с помощта на /etc/crypttab. Добавена е и възможност за четене
  ключове за автоматично отключване на дялове от файловете /etc/cryptsetup-keys.d/ .key и /run/cryptsetup-keys.d/ .ключ.

• Добавен systemd-xdg-autostart-generator за създаване на модулни файлове от .desktop файлове за автоматично стартиране.
• Добавена е команда "reboot-to-firmware" към "bootctl".
• Добавени опции към systemd-firstboot: "--image" за указване на образа на диска за зареждане, "--kernel-command-line" за инициализиране на файла /etc/kernel/cmdline, "--root-password-hashed" за посочете хеша на паролата за root и "--delete-root-password", за да изтриете паролата за root.

Източник: opennet.ru