systemd системен мениджър версия 253

След три месеца и половина разработка беше представена версията на системния мениджър systemd 253.

Сред промените в новата версия:

• Пакетът включва помощната програма „ukify“, предназначена за изграждане, проверка и генериране на подписи за унифицирани изображения на ядрото (UKI, Unified Kernel Image), съчетаваща манипулатор за зареждане на ядрото от UEFI (UEFI boot stub), изображение на ядрото на Linux и системна среда, заредена в паметта initrd, използвана за първоначална инициализация на етапа преди монтиране на основната файлова система. Помощната програма заменя функционалността, предоставяна преди това от командата 'dracut -uefi', и я допълва с възможности за автоматично изчисляване на отмествания в PE файлове, сливане на initrds, подписване на вградени изображения на ядрото, създаване на комбинирани изображения с sbsign, евристика за определяне на uname на ядрото, проверка на изображение с начален екран и добавяне на подписани PCR политики, генерирани от помощната програма systemd-measure.
• Добавена е поддръжка за initrd среди, които не са ограничени от разположението на паметта, в които се използва overlayfs вместо tmpfs. За такива среди systemd не изтрива всички файлове в initrd след превключване на основната файлова система.
• Параметърът „OpenFile“ е добавен към услуги за отваряне на произволни файлове във файловата система (или свързване към Unix сокети) и предаване на свързаните файлови дескриптори към стартирания процес (например, когато трябва да организирате достъп до файл за непривилегирована услуга без промяна на правата за достъп до файла).
• В systemd-cryptenroll, при регистриране на нови ключове, е възможно да се отключват криптирани дялове с помощта на FIDO2 токени (--unlock-fido2-device), без да се изисква парола. Посоченият от потребителя ПИН код се съхранява със сол, за да се усложни откриването чрез груба сила.
• Добавени са настройките ReloadLimitIntervalSec и ReloadLimitBurst, както и опциите на командния ред на ядрото (systemd.reload_limit_interval_sec и /systemd.reload_limit_burst), за да се ограничи интензивността на рестартирането на фонови процеси.
• За единици е внедрена опцията “MemoryZSwapMax” за конфигуриране на свойството memory.zswap.max, което определя максималния размер на zswap.
• За единици е внедрена опцията „LogFilterPatterns“, която ви позволява да зададете регулярни изрази за филтриране на информацията, извеждана в дневника (може да се използва за изключване на определен изход или запазване само на определени данни).
• Единиците за обхват вече поддържат настройката „OOMPolicy“, за да зададат поведението при опит за изпреварване, когато паметта е ниска (сесиите за влизане са настроени на OOMPolicy=продължаване, така че OOM killer да не ги прекъсва насилствено).
• Дефиниран е нов тип услуга - “Type=notify-reload”, който разширява типа “Type=notify” с възможността да изчака сигналът за рестартиране да завърши обработката (SIGHUP). Услугите systemd-networkd.service, systemd-udevd.service и systemd-logind са прехвърлени към новия тип.
• udev използва нова схема за именуване за мрежови устройства, като разликата е, че за USB устройства, които не са свързани към PCI шината, ID_NET_NAME_PATH вече е настроен, за да осигури по-предвидими имена. Операторът '-=' е внедрен за променливи SYMLINK, оставяйки символните връзки неконфигурирани, ако преди това е дефинирано правило за добавянето им.
• В systemd-boot началното предаване за генератори на псевдослучайни числа в ядрото и за задната част на диска е преработено. Добавена е поддръжка за зареждане на ядрото не само от ESP (EFI System Partition), например от фърмуера или директно за QEMU. Разборът на SMBIOS параметрите е осигурен за определяне на стартирането във виртуализационна среда. Въведен е нов режим „if-safe“, при който сертификатът за UEFI Secure Boot се зарежда от ESP само ако се счита за безопасен (работи във виртуална машина).
• Помощната програма bootctl реализира генерирането на системни токени на всички EFI системи, с изключение на среди за виртуализация. Добавени са команди „kernel-identify“ и „kernel-inspect“ за показване на типа изображение на ядрото и информация за опциите на командния ред и версията на ядрото, „unlink“ за премахване на файла, свързан с първия тип записи за зареждане, „почистване“ за премахване на всички файлове от директория "entry-token" в ESP и XBOOTLDR, които не са свързани с първия тип записи за зареждане. Предоставена е обработка на променливата KERNEL_INSTALL_CONF_ROOT.
• Командата 'systemctl list-dependencies' вече поддържа обработка на опциите '--type' и '--state', а командата 'systemctl kexec' добавя поддръжка за среди, базирани на Xen хипервайзор.
• В .network файловете в секцията [DHCPv4] вече е добавена поддръжка за опциите SocketPriority и QuickAck, RouteMetric=high|medium|low.
• Systemd-repart добави опции „--include-partitions“, „--exclude-partitions“ и „--defer-partitions“ за филтриране на дялове по тип UUID, което например ви позволява да създавате изображения, в които един дял е изграден въз основа на съдържанието на друг дял. Също така беше добавена опцията "-sector-size", за да се определи размера на сектора, използван при създаването на дяла. Добавена е поддръжка за генериране на erofs файл. Настройката за минимизиране прилага обработка на „най-добрата“ стойност за избор на минималния възможен размер на изображението.
• systemd-journal-remote позволява използването на настройките MaxUse, KeepFree, MaxFileSize и MaxFiles за ограничаване на потреблението на дисково пространство.
• systemd-cryptsetup добавя поддръжка за изпращане на проактивни заявки към FIDO2 токени за определяне на тяхното присъствие преди удостоверяване.
• Нови параметри tpm2-measure-bank и tpm2-measure-pcr са добавени към crypttab.
• systemd-gpt-auto-generator реализира монтиране на ESP и XBOOTLDR дялове в режимите „noexec, nosuid, nodev“ и също така добавя отчитане на параметрите rootfstype и rootflags, предадени през командния ред на ядрото.
• systemd-resolved предоставя възможност за конфигуриране на параметри на резолвер чрез указване на опциите за сървър на имена, домейн, network.dns и network.search_domains в командния ред на ядрото.
• Командата “systemd-analyze plot” вече има способността да извежда във формат JSON, когато указва флага “-json”. Нови опции „--table“ и „-no-legend“ също са добавени за контрол на изхода.
• През 2023 г. планираме да прекратим поддръжката за cgroups v1 и да разделим йерархиите на директории (където /usr се монтира отделно от корена или /bin и /usr/bin, /lib и /usr/lib са разделени).

Източник: opennet.ru