Издаване на системен мениджър systemd 252 с поддръжка на UKI (Unified Kernel Image).

След пет месеца разработка беше представена версията на системния мениджър systemd 252. Ключовата промяна в новата версия беше интегрирането на поддръжка за модернизиран процес на зареждане, което ви позволява да проверите не само ядрото и буутлоудъра, но и компоненти на основната системна среда с помощта на цифрови подписи.

Предложеният метод включва използването на унифицирано изображение на ядрото UKI (Unified Kernel Image) при зареждане, което комбинира манипулатор за зареждане на ядрото от UEFI (UEFI boot stub), изображение на ядрото на Linux и системната среда initrd, заредена в паметта, използвана за първоначална инициализация на етапа преди монтиране на root FS. Изображението на UKI е пакетирано като един изпълним файл във формат PE, който може да бъде зареден с помощта на традиционни програми за зареждане или извикан директно от фърмуера на UEFI. При извикване от UEFI е възможно да се провери целостта и надеждността на цифровия подпис не само на ядрото, но и на съдържанието на initrd.

За изчисляване на параметрите на регистрите на TPM PCR (Trusted Platform Module Platform Configuration Register), използвани за наблюдение на целостта и генериране на цифров подпис на изображението на UKI, е включена нова помощна програма systemd-measure. Публичният ключ, използван в подписа, и придружаващата PCR информация могат да бъдат вградени директно в изображението за зареждане на UKI (ключът и подписът се записват в PE файл в полетата „.pcrsig“ и „.pcrkey“) и извлечени от него чрез външен или вътрешни комунални услуги.

По-специално помощните програми systemd-cryptsetup, systemd-cryptenroll и systemd-creds са адаптирани да използват тази информация, с която можете да гарантирате, че криптираните дискови дялове са обвързани с цифрово подписано ядро ​​(в този случай достъпът до криптирания дял се предоставя само ако изображението на UKI е преминало проверка чрез цифров подпис въз основа на параметри, намиращи се в TPM).

Освен това е включена помощната програма systemd-pcrphase, която ви позволява да контролирате обвързването на различни етапи на зареждане с параметри, намиращи се в паметта на криптопроцесори, които поддържат спецификацията TPM 2.0 (например, можете да направите ключа за декриптиране на дял LUKS2 достъпен само в изображението initrd и блокирайте достъпа до него на по-късни етапи на изтегляне).

Някои други промени:

• Гарантира, че локалът по подразбиране е C.UTF-8, освен ако в настройките не е посочен друг локал.
• Вече е възможно да се извърши пълна операция по предварително зададена услуга („systemctl preset“) по време на първото зареждане. Активирането на предварителни настройки по време на зареждане изисква изграждане с опцията „-Dfirst-boot-full-preset“, но се планира да бъде активирано по подразбиране в бъдещи версии.
• Единиците за управление на потребителя включват контролер на ресурсите на процесора, което направи възможно да се гарантира, че настройките на CPUWeight се прилагат към всички срезове, използвани за разделяне на системата на части (app.slice, background.slice, session.slice), за да се изолират ресурсите между различни потребителски услуги, конкуриращи се за ресурси на процесора. CPUWeight също така поддържа стойността „idle“ за активиране на подходящия режим за предоставяне на ресурси.
• Във временни („преходни“) единици и в помощната програма systemd-repart е позволено отмяна на настройките чрез създаване на файлове за добавяне в директорията /etc/systemd/system/name.d/.
• За системни изображения флагът за прекратена поддръжка е зададен, определяйки този факт въз основа на стойността на новия параметър „SUPPORT_END=“ във файла /etc/os-release.
• Добавени са настройки „ConditionCredential=“ и „AssertCredential=“, които могат да се използват за игнориране или срив на единици, ако определени идентификационни данни не присъстват в системата.
• Добавени са настройките „DefaultSmackProcessLabel=“ и „DefaultDeviceTimeoutSec=“ към system.conf и user.conf, за да се определи нивото на защита на SMACK по подразбиране и времето за изчакване на активирането на модула.
• В настройките „ConditionFirmware=“ и „AssertFirmware=“ е добавена възможност за указване на отделни SMBIOS полета, например за стартиране на единица само ако полето /sys/class/dmi/id/board_name съдържа стойността „Custom Board“, можете да посочите „ConditionFirmware=smbios“ -field(board_name = „Custom Board“)“.
• По време на процеса на инициализация (PID 1), възможността за импортиране на идентификационни данни от SMBIOS полета (Тип 11, „низове на OEM доставчик“) е добавена в допълнение към тяхната дефиниция чрез qemu_fwcfg, което опростява предоставянето на идентификационни данни на виртуални машини и елиминира нужда от инструменти на трети страни като cloud -init и ignition.
• По време на изключване логиката за демонтиране на виртуални файлови системи (proc, sys) е променена и информацията за процеси, блокиращи демонтирането на файлови системи, се записва в дневника.
• Филтърът за системно повикване (SystemCallFilter) позволява достъп до системното повикване riscv_flush_icache по подразбиране.
• Буутлоудърът sd-boot добавя възможност за зареждане в смесен режим, в който 64-битовото Linux ядро ​​работи от 32-битов UEFI фърмуер. Добавена е експериментална възможност за автоматично прилагане на SecureBoot ключове от файлове, намерени в ESP (EFI системен дял).
• Добавени са нови опции към помощната програма bootctl: “—all-architectures” за инсталиране на двоични файлове за всички поддържани EFI архитектури, “—root=” и “—image=” за работа с директория или дисково изображение, “—install-source =” за дефиниране на източник за инсталация, „-efi-boot-option-description=" за контролиране на имената на записи за зареждане.
• Командата 'list-automounts' е добавена към помощната програма systemctl за показване на списък с автоматично монтирани директории и опцията '--image=' за изпълнение на команди по отношение на указаното дисково изображение. Добавени са опции „--state=“ и „--type=“ към командите „show“ и „status“.
• systemd-networkd добави опции „TCPCongestionControlAlgorithm=“ за избор на алгоритъма за контрол на TCP задръстванията, „KeepFileDescriptor=“ за запазване на файловия дескриптор на интерфейсите TUN/TAP, „NetLabel=“ за задаване на NetLabels, „RapidCommit=“ за ускоряване на конфигурацията чрез DHCPv6 (RFC 3315). Параметърът “RouteTable=” позволява указване на имената на таблиците за маршрутизиране.
• systemd-nspawn позволява използването на относителни файлови пътища в опциите "--bind=" и "--overlay=". Добавена е поддръжка за параметъра „rootidmap“ към опцията „--bind=" за обвързване на root потребителския идентификатор в контейнера със собственика на монтираната директория от страната на хоста.
• systemd-resolved използва OpenSSL като свой бекенд за криптиране по подразбиране (поддръжката на gnutls се запазва като опция). Неподдържаните DNSSEC алгоритми вече се третират като опасни, вместо да връщат грешка (SERVFAIL).
• systemd-sysusers, systemd-tmpfiles и systemd-sysctl реализират способността за прехвърляне на настройки чрез механизъм за съхранение на идентификационни данни.
• Добавена е командата 'compare-versions' към помощната програма systemd-analyze за сравняване на низове с номера на версията (подобно на 'rpmdev-vercmp' и 'dpkg --compare-versions'). Възможността за филтриране на единици по маска е добавена към командата 'systemd-analyze dump'.
• Когато избирате многоетапен режим на заспиване (спиране след това хибернация), времето, прекарано в режим на готовност, сега се избира въз основа на прогнозата за оставащия живот на батерията. Незабавно преминаване в режим на заспиване се случва, когато остане по-малко от 5% заряд на батерията.
• Нов изходен режим "-o short-delta" е добавен към 'journalctl', показващ разликата във времето между различните съобщения в дневника.
• systemd-repart добавя поддръжка за създаване на дялове с файловата система Squashfs и дялове за dm-verity, включително с цифрови подписи.
• Добавена е настройка „StopIdleSessionSec=" към systemd-logind за прекратяване на неактивна сесия след определено време за изчакване.
• Systemd-cryptenroll добави опция „--unlock-key-file=" за извличане на ключа за декриптиране от файл, вместо да подканва потребителя.
• Вече е възможно да стартирате помощната програма systemd-growfs в среди без udev.
• systemd-backlight има подобрена поддръжка за системи с множество графични карти.
• Лицензът за примерите на кодове, предоставени в документацията, е променен от CC0 на MIT-0.

Промени, които нарушават съвместимостта:

• Когато проверявате номера на версията на ядрото с помощта на директивата ConditionKernelVersion, просто сравнение на низове вече се използва в операторите '=' и '!=' и ако операторът за сравнение изобщо не е посочен, може да се използва съвпадение на глобална маска с помощта на знаци '*', '?' и '[', ']'. За да сравните версии в стила на функцията stverscmp(), трябва да използвате операторите „“, „=“.
• SELinux тагът, използван за проверка на достъпа от единичен файл, сега се чете в момента на зареждане на файла, а не в момента на проверката на достъпа.
• Условието „ConditionFirstBoot“ вече се задейства при първото зареждане на системата само директно на етапа на зареждане и връща „false“ при извикване на модули след завършване на зареждането.
• През 2024 г. systemd планира да спре да поддържа механизма за ограничаване на ресурсите на cgroup v1, който беше остарял в systemd версия 248. Администраторите се съветват да се погрижат предварително за мигрирането на базирани на cgroup v2 услуги към cgroup v1. Ключовата разлика между cgroups v2 и v1 е използването на обща йерархия на cgroups за всички видове ресурси, вместо отделни йерархии за разпределяне на CPU ресурси, за регулиране на потреблението на памет и за I/O. Отделните йерархии водят до трудности при организирането на взаимодействие между манипулатори и до допълнителни разходи за ресурси на ядрото при прилагане на правила за процес, посочен в различни йерархии.
• През втората половина на 2023 г. планираме да прекратим поддръжката за йерархии на разделени директории, където /usr се монтира отделно от корена или /bin и /usr/bin, /lib и /usr/lib са разделени.

Източник: opennet.ru