🥇systemd системен мениджър версия 249

След три месеца разработка е представена версията на системния мениджър systemd 249. Новата версия предоставя възможност за дефиниране на потребители/групи във формат JSON, стабилизира журналния протокол, опростява организацията на зареждане на последователни дискови дялове, добавя възможност за свързване на BPF програми с услуги и прилагане на потребители за картографиране на идентификатори в монтирани дялове, предлага се голяма част от нови мрежови настройки и възможности за стартиране на контейнери.

Основни промени:

Журналният протокол е документиран и може да се използва в клиенти вместо протокола syslog за локално доставяне на регистрационни записи. Протоколът Journal е внедрен от дълго време и вече се използва в някои клиентски библиотеки, но официалната му поддръжка беше обявена едва сега.
Userdb и nss-systemd осигуряват поддръжка за четене на допълнителни потребителски дефиниции, разположени в директориите /etc/userdb/, /run/userdb/, /run/host/userdb/ и /usr/lib/userdb/, посочени във формат JSON. Отбелязва се, че тази функция ще предостави допълнителен механизъм за създаване на потребители в системата, осигурявайки й пълна интеграция с NSS и /etc/shadow. Поддръжката на JSON за потребителски/групови записи също ще позволи различни настройки за управление на ресурси и други настройки да бъдат прикачени към потребители, които pam_systemd и systemd-logind разпознават.
nss-systemd осигурява синтез на потребителски/групови записи в /etc/shadow, използвайки хеширани пароли от systemd-homed.
Въведен е механизъм, който опростява организацията на актуализациите с помощта на дискови дялове, които се заменят един друг (единият дял е активен, а вторият е резервен - актуализацията се копира в резервния дял, след което става активен). Ако има два root или /usr дяла в образа на диска и udev не е открил наличието на параметъра 'root=' или обработва дискови изображения, посочени чрез опцията "--image" в systemd-nspawn и systemd -dissect помощни програми, зареждащият дял може да бъде изчислен чрез сравняване на GPT етикети (ако приемем, че GPT етикетът споменава номера на версията на съдържанието на дяла и systemd ще избере дяла с по-новите промени).
Към сервизните файлове е добавена настройка на BPFProgram, с която можете да организирате зареждането на BPF програми в ядрото и да ги управлявате с обвързване към конкретни системни услуги.
Systemd-fstab-generator и systemd-repart добавят възможност за зареждане от дискове, които имат само /usr дял и без root дял (основният дял ще бъде генериран от systemd-repart по време на първото зареждане).
В systemd-nspawn опцията „--private-user-chown“ е заменена от по-генеричната опция „--private-user-ownership“, която може да приема стойности „chown“ като еквивалент на „-- private-user-chown", "off" за деактивиране на старата настройка, "map" за картографиране на потребителски идентификатори на монтирани файлови системи и "auto" за избор на "map", ако необходимата функционалност присъства в ядрото (5.12+) или се върнете към рекурсивно извикване на "chown" в противен случай. Използвайки картографиране, можете да картографирате файловете на един потребител на монтиран чужд дял към друг потребител в текущата система, което улеснява споделянето на файлове между различни потребители. В механизма за преносима домашна директория systemd-homed картографирането ще позволи на потребителите да преместват своите домашни директории на външен носител и да ги използват на различни компютри, които нямат същото оформление на потребителски идентификатор.
В systemd-nspawn опцията „--private-user“ вече може да използва стойността „identity“ за директно отразяване на потребителски идентификатори при настройване на потребителско пространство от имена, т.е. UID 0 и UID 1 в контейнера ще бъдат отразени в UID 0 и UID 1 от страната на хоста, за да се намалят векторите на атаки (контейнерът ще получи само възможности за процес в своето пространство от имена).
Опцията „--bind-user“ е добавена към systemd-nspawn за препращане на потребителски акаунт, съществуващ в хост средата, към контейнера (домашната директория се монтира в контейнера, добавя се запис за потребител/група и съпоставяне на UID се извършва между контейнера и хост средата).
Добавена е поддръжка за заявяване на зададени пароли към systemd-ask-password и systemd-sysusers (passwd.hashed-password. и passwd.plaintext-password. ), използвайки механизма, въведен в systemd 247, за сигурно прехвърляне на чувствителни данни, използвайки междинни файлове в отделна директория. По подразбиране идентификационните данни се приемат от процеса с PID1, който ги получава, например, от мениджъра за управление на контейнери, което ви позволява да конфигурирате потребителската парола при първо зареждане.
systemd-firstboot добавя поддръжка за използване на защитен механизъм за прехвърляне на чувствителни данни за запитване към различни системни параметри, които могат да се използват за инициализиране на системните настройки при първо зареждане на изображение на контейнер, което няма необходимите настройки в директорията /etc.
Процесът PID 1 гарантира, че името и описанието на модула се показват по време на зареждане. Можете да промените изхода чрез параметъра „StatusUnitFormat=combined“ в system.conf или опцията на командния ред на ядрото „systemd.status-unit-format=combined“
Опцията „--image“ е добавена към помощните програми systemd-machine-id-setup и systemd-repart за прехвърляне на файл с идентификатор на машина към изображение на диск или за увеличаване на размера на изображение на диск.
Добавен е параметър MakeDirectories към конфигурационния файл на дяла, използван от помощната програма systemd-repart, който може да се използва за създаване на произволни директории в създадената файлова система, преди да бъде отразен в таблицата на дяловете (например за създаване на директории за точки на монтиране в основния дял, за да можете веднага да монтирате дяла в режим само за четене). За контролиране на GPT флаговете в създадените секции са добавени съответните параметри Flags, ReadOnly и NoAuto. Параметърът CopyBlocks има стойност „автоматично“, за да изберете автоматично текущия дял за зареждане като източник при копиране на блокове (например, когато трябва да прехвърлите собствения си основен дял на нов носител).
GPT прилага флага „grow-file-system“, който е подобен на опцията за монтиране на x-systemd.growfs и осигурява автоматично разширяване на размера на FS до границите на блоковото устройство, ако размерът на FS е по-малък от дяла. Флагът е приложим за файлови системи Ext3, XFS и Btrfs и може да се приложи към автоматично открити дялове. Флагът е активиран по подразбиране за записваеми дялове, създадени автоматично чрез systemd-repart. Опцията GrowFileSystem е добавена за конфигуриране на флага в systemd-repart.
Файлът /etc/os-release осигурява поддръжка за нови променливи IMAGE_VERSION и IMAGE_ID за определяне на версията и ID на атомарно актуализираните изображения. Спецификаторите %M и %A се предлагат за заместване на определени стойности в различни команди.
Параметърът „--extension“ е добавен към помощната програма portablectl за активиране на преносими системни разширения на изображения (например чрез тях можете да разпространявате изображения с допълнителни услуги, интегрирани в основния дял).
Помощната програма systemd-coredump осигурява извличане на информация за идентификатор на ELF компилация при генериране на дъмп на ядрото на процес, което може да бъде полезно за определяне на кой пакет принадлежи неуспешен процес, ако информацията за името и версията на deb или rpm пакетите е била изградена в ELF файловете.
Нова хардуерна база за FireWire (IEEE 1394) устройства е добавена към udev.
В udev са добавени три промени в схемата за избор на име на мрежов интерфейс „net_id“, които нарушават обратната съвместимост: неправилните знаци в имената на интерфейса вече се заменят с „_“; Имената на PCI hotplug слота за s390 системи се обработват в шестнадесетична форма; Разрешено е използването на до 65535 вградени PCI устройства (преди това номера над 16383 бяха блокирани).
systemd-resolved добавя домейна „home.arpa“ към списъка с NTA (Negative Trust Anchors), който се препоръчва за локални домашни мрежи, но не се използва в DNSSEC.
Параметърът CPUAffinity осигурява анализ на спецификаторите „%“.
Към .network файловете е добавен параметър ManageForeignRoutingPolicyRules, който може да се използва за изключване на systemd-networkd от обработката на политики за маршрутизиране на трети страни.
Параметърът RequiredFamilyForOnline е добавен към файловете „.network“, за да се определи наличието на IPv4 или IPv6 адрес като знак, че мрежовият интерфейс е в състояние „онлайн“. Networkctl предоставя показване на състоянието „онлайн“ за всяка връзка.
Добавен параметър OutgoingInterface към .network файлове за дефиниране на изходящи интерфейси при конфигуриране на мрежови мостове.
Груповият параметър е добавен към „.network“ файловете, което ви позволява да конфигурирате Multipath група за записи в секцията „[NextHop]“.
Добавени опции "-4" и "-6" към systemd-network-wait-online за ограничаване на изчакването на връзката само до IPv4 или IPv6.
Към настройките на DHCP сървъра е добавен параметър RelayTarget, който превключва сървъра в режим DHCP Ralay. За допълнителна конфигурация на DHCP релето се предлагат опциите RelayAgentCircuitId и RelayAgentRemoteId.
Параметърът ServerAddress е добавен към DHCP сървъра, което ви позволява изрично да зададете IP адреса на сървъра (в противен случай адресът се избира автоматично).
DHCP сървърът имплементира секцията [DHCPServerStaticLease], която ви позволява да конфигурирате обвързвания на статични адреси (DHCP лизинг), като посочвате фиксирани IP обвързвания към MAC адреси и обратно.
Настройката RestrictAddressFamilies поддържа стойността „none“, което означава, че услугата няма да има достъп до сокети от което и да е адресно семейство.
Във файловете „.network“ в секциите [Address], [DHCPv6PrefixDelegation] и [IPv6Prefix] е внедрена поддръжка за настройката RouteMetric, която ви позволява да посочите показателя за префикса на маршрута, създаден за посочения адрес.
nss-myhostname и systemd-resolved осигуряват синтез на DNS записи с адреси за хостове със специално име „_outbound“, за които винаги се издава локален IP, избран в съответствие с маршрутите по подразбиране, използвани за изходящи връзки.
В .network файловете, в секцията „[DHCPv4]“, е добавена активна настройка по подразбиране RoutesToNTP, която изисква добавяне на отделен маршрут през текущия мрежов интерфейс за достъп до адреса на NTP сървъра, получен за този интерфейс чрез DHCP (подобно на DNS , настройката ви позволява да гарантирате, че трафикът към NTP сървъра ще бъде насочен през интерфейса, през който е получен този адрес).
Добавени са настройки за SocketBindAllow и SocketBindDeny за контрол на достъпа до сокети, свързани с текущата услуга.
За модулни файлове е внедрена условна настройка, наречена ConditionFirmware, която ви позволява да създавате проверки, които оценяват функциите на фърмуера, като например работа на системи UEFI и device.tree, както и да проверявате съвместимостта с определени възможности на дървото на устройствата.
Въведена е опцията ConditionOSRelease за проверка на полетата във файла /etc/os-release. При дефиниране на условия за проверка на стойностите на полетата се приемат операторите „=“, „!=“, „<“, „<=“, „>=“, „>“.
В помощната програма hostnamectl команди като „get-xyz“ и „set-xyz“ са освободени от префиксите „get“ и „set“, например вместо „hostnamectl get-hostname“ и „hostnamectl „set-hostname“ можете да използвате командата “hostnamectl име на хост” ”, присвояването на стойност, в която се определя чрез посочване на допълнителен аргумент (“hostnamectl hostname value”). Поддръжката за по-стари команди е запазена, за да се осигури съвместимост.
Помощната програма systemd-detect-virt и настройката ConditionVirtualization осигуряват правилна идентификация на среди на Amazon EC2.
Настройката LogLevelMax в модулните файлове вече се прилага не само за регистрационните съобщения, генерирани от услугата, но и за PID 1 съобщения за процес, които споменават услугата.
Осигурена възможност за включване на SBAT (UEFI Secure Boot Advanced Targeting) данни в systemd-boot EFI PE файлове.
/etc/crypttab внедрява нови опции „headless“ и „password-echo“ - първата ви позволява да пропуснете всички операции, свързани с интерактивно запитване за пароли и ПИН от потребителя, а втората ви позволява да конфигурирате метода за показване на въвеждане на парола (не показва нищо, показва символ по знак и показва звездички). Опцията „--echo“ е добавена към systemd-ask-password за подобни цели.
systemd-cryptenroll, systemd-cryptsetup и systemd-homed имат разширена поддръжка за отключване на криптирани LUKS2 дялове с помощта на FIDO2 токени. Добавени са нови опции „--fido2-with-user-presence“, „--fido2-with-user-verification“ и „-fido2-with-client-pin“ за контрол на проверката на физическото присъствие на потребителя, проверката и необходимостта от въвеждане ПИН код.
Добавени са опции „--user“, „--system“, „--merge“ и „--file“ към systemd-journal-gatewayd, подобно на опциите journalctl.
В допълнение към директните зависимости между единиците, посочени чрез параметрите OnFailure и Slice, е добавена поддръжка за неявни обратни зависимости OnFailureOf и SliceOf, което може да бъде полезно, например, за определяне на всички единици, включени в среза.
Добавени са нови типове зависимости между модулите: OnSuccess и OnSuccessOf (обратното на OnFailure, извиква се при успешно завършване); PropagatesStopTo и StopPropagatedFrom (позволяват ви да разпространите събитие за спиране на единица към друга единица); Поддържа и UpheldBy (алтернатива на рестартиране).
Помощната програма systemd-ask-password вече има опция „--emoji“, за да контролира появата на символа на катинар (🔐) в реда за въвеждане на парола.
Добавена е документация за дървовидната структура на източника на systemd.
За единици е добавено свойство MemoryAvailable, което показва колко памет остава на единицата, преди да достигне ограничението, зададено чрез параметрите MemoryMax, MemoryHigh или MemoryAvailable.

Източник: opennet.ru

systemd системен мениджър версия 249

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар