Выпуск системного менеджера systemd 250

После пяти месяцев разработки представлен релиз системного менеджера systemd 250. В новом выпуске появилась возможность хранения учётных данных в шифрованном виде, реализована верификация автоматически определяемых GPT-разделов по цифровой подписи, улучшено информирование о причинах возникновения задержек при запуске сервисов, добавлены опции для ограничения доступа сервиса к определённым файловым системам и сетевым интерфейсам, обеспечена поддержка контроля целостности разделов при помощи модуля dm-integrity, добавлена поддержка автообновления sd-boot.

Основные изменения:

• Добавлена поддержка шифрованных и аутентифицированных учётных данных, что может быть полезным для безопасного хранения конфиденциальных материалов, таких как SSL-ключи и пароли доступа. Расшифровка учётных данных производится только при необходимости и в привязке к локальной установке или оборудованию. Данные шифруются автоматически с использованием симметричных алгоритмов шифрования, ключ для которых может размещаться в файловой системе, в чипе TPM2 или с использованием комбинированной схемы. При запуске сервиса учётные данные автоматически расшифровываются и становятся доступны сервису в обычном виде. Для работы с зашифрованными учётными данными добавлена утилита ‘systemd-creds’, а для сервисов предложены настройки LoadCredentialEncrypted и SetCredentialEncrypted.
• В sd-stub, исполняемый файл для EFI, при помощи которого прошивка EFI загружает ядро Linux, добавлена поддержка загрузки ядра с использованием протокола LINUX_EFI_INITRD_MEDIA_GUID EFI. Также в sd-stub добавлена возможность упаковки учётных данных и файлов sysext в архив cpio и передачи этого архива ядру вместе с initrd (дополнительные файлы размещаются в каталоге /.extra/). Указанная возможность позволяет задействовать верифицируемое неизменное окружение initrd, дополняемое при помощи sysexts и зашифрованных данных для аутентификации.
• Существенно расширена спецификация Discoverable Partitions, предоставляющая средства для определения, монтирования и активации системных разделов, использующих GPT (GUID Partition Tables). По сравнению с прошлыми выпусками для большинства архитектур в спецификации реализована поддержка корневого раздела и раздела /usr, в том числе для платформ не использующих UEFI.

  В Discoverable Partitions также добавлена поддержка разделов, целостность которых верифицируется модулем dm-verity с использованием цифровых подписей PKCS#7, что упрощает создание полностью аутентифицированных дисковых образов. Поддержка верификации интегрирована в различные утилиты, манипулирующие дисковыми образами, включая systemd-nspawn, systemd-sysext, systemd-dissect, сервисы с RootImage, systemd-tmpfiles и systemd-sysusers.

• Для долго запускаемых или останавливаемых unit-ов в дополнение к показу анимированного индикатора выполнения операции предоставлена возможность вывода сведений о состоянии, позволяющих понять, что именно происходит с сервисом в данный момент и завершения выполнения какого сервиса ожидает в данный момент системный менеджер.
• В /etc/systemd/system.conf и /etc/systemd/user.conf добавлен параметр DefaultOOMScoreAdjust, позволяющий откорректировать порог срабатывания OOM-killer при нехватке памяти, применимый к процессам, которые запускает systemd для системы и пользователей. По умолчанию вес системных сервисов выше, чем пользовательских, т.е. при нехватке памяти вероятность завершения пользовательских сервисов выше, чем системных.
• Добавлена настройка RestrictFileSystems, позволяющая ограничить доступ сервисов к определённым типам файловых систем. Для просмотра доступных типов ФС можно использовать команду «systemd-analyze filesystems». По аналогии реализована опция RestrictNetworkInterfaces, позволяющая ограничить доступ к определённым сетевым интерфейсам. Реализация основана на BPF-модуле LSM, ограничивающем доступ группы процессов к объектам ядра.
• Добавлен новый файл конфигурации /etc/integritytab и утилита systemd-integritysetup, настраивающие модуль dm-integrity для контроля целостности данных на уровне отдельных секторов, например, для гарантирования неизменности зашифрованных данных (Authenticated Encryption, гарантирует, что блок данных не был модифицирован обходным путём). Формат файла /etc/integritytab аналогичен файлам /etc/crypttab и /etc/veritytab, за тем исключением, что вместо dm-crypt и dm-verity применяется dm-integrity.
• Добавлен новый unit-файл systemd-boot-update.service, при активации которого и наличии установленного загрузчика sd-boot, systemd автоматически будет обновлять версию загрузчика sd-boot, поддерживая код загрузчика всегда в актуальном состоянии. Сам sd-boot теперь по умолчанию собирается с поддержкой механизма SBAT (UEFI Secure Boot Advanced Targeting), решающего проблемы с отзывом сертификатов для UEFI Secure Boot. Кроме того, в sd-boot обеспечена возможность разбора загрузочных настроек Microsoft Windows для корректного формирования названий загрузочных разделов с Windows и показа версии Windows.

  В sd-boot также предоставлена возможность определения цветовой схемы на этапе сборки. В процессе загрузки добавлена поддержка смены разрешения экрана нажатием клавиши «r». Добавлена горячая клавиша «f» для перехода в интерфейс настройки прошивки. Добавлен режим автоматической загрузки системы, соответствующей элементу меню, выбранному при прошлой загрузке. Добавлена возможность автоматической загрузки EFI-драйверов, размещённых в каталоге /EFI/systemd/drivers/ в разделе ESP (EFI System Partition).

• В состав включён новый unit-файл factory-reset.target, обрабатываемый в systemd-logind по аналогии с операциями reboot, poweroff, suspend и hibernate, и применяемый для создания обработчиков для выполнения сброса к заводским настройкам.
• Процесс systemd-resolved теперь создаёт дополнительный слушающий сокет на адресе 127.0.0.54 в дополнение к 127.0.0.53. Приходящие на адрес 127.0.0.54 запросы всегда перенаправляются на вышестоящий DNS-сервер и не обрабатываются локально.
• Предоставлена возможность сборки systemd-importd и systemd-resolved с библиотекой OpenSSL вместо libgcrypt.
• Добавлена начальная поддержка архитектуры LoongArch, применяемой в процессорах Loongson.
• В systemd-gpt-auto-generator реализована возможность автоматической настройки определяемых системой разделов подкачки, зашифрованных подсистемой LUKS2.
• В коде разбора GPT-образов, используемом в systemd-nspawn, systemd-dissect и подобных утилитах, реализована возможность декодирования образов для других архитектур, что позволяет использовать systemd-nspawn для запуска образов в эмуляторах других архитектур.
• При инспектировании дисковых образов в systemd-dissect теперь выводятся сведения о назначении раздела, например, пригодности загрузки через UEFI или запуске в контейнере.
• В файлы system-extension.d/ добавлено поле «SYSEXT_SCOPE», позволяющее обозначить область применения системного образа — «initrd», «system» или «portable».
• В файл os-release добавлено поле «PORTABLE_PREFIXES», которое можно использовать в переносимых образах для определения поддерживаемых префиксов unit-файлов.
• В systemd-logind реализованы новые настройки HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress и HandleHibernateKeyLongPress, которые можно использовать для определения действий при удержании определённых клавиш дольше 5 секунд (например, при быстром нажатии клавиши Suspend можно настроить переход в ждущий режим, а при удержании — в спящий).
• Для unit-ов реализованы настройки StartupAllowedCPUs и StartupAllowedMemoryNodes, которые отличаются от аналогичных настроек без префикса Startup тем, что применяются только на этапе загрузки и завершения работы, что позволяет выставить иные ограничения ресурсов при загрузке.
• Добавлены проверки [Condition|Assert][Memory|CPU|IO]Pressure, позволяющие пропустить или завершить ошибкой активацию unit-а в случае определения через механизм PSI большой нагрузки на память, CPU и ввод/вывод в системе.
• Устанавливаемое по умолчанию ограничение на максимальное число inode увеличено для раздела /dev с 64k до 1M, а для /tmp с 400k до 1M.
• Для сервисов предложена настройка ExecSearchPath, дающая возможность изменить путь для поиска исполняемых файлов, запускаемых через настройки, подобные ExecStart.
• Добавлена настройка RuntimeRandomizedExtraSec, позволяющая внести случайные отклонения в таймаут RuntimeMaxSec, ограничивающий время выполнения юнита.
• Расширен синтаксис настроек RuntimeDirectory, StateDirectory, CacheDirectory и LogsDirectory, в которых через указание дополнительного значения, разделённого двоеточием, теперь можно организовать создание символической ссылки на заданный каталог для организации доступа по нескольким путям.
• Для сервисов предложены настройки TTYRows и TTYColumns для задания числа строк и столбцов в устройстве TTY.
• Добавлена настройка ExitType, позволяющая изменить логику определения завершения сервиса. По умолчанию systemd отслеживает завершение только основного процесса, но при выставлении ExitType=cgroup системный менеджер будет ждать завершения последнего процесса в cgroup.
• Реализация поддержки TPM2/FIDO2/PKCS11 в systemd-cryptsetup теперь также собирается в виде плагина к cryptsetup, что позволяет использовать обычную команду cryptsetup для разблокирования шифрованного раздела.
• В обработчике TPM2 в systemd-cryptsetup/systemd-cryptsetup добавлена поддержка первичных ключей RSA, помимо ключей ECC, для улучшения совместимости с чипами, не поддерживающими ECC.
• В /etc/crypttab добавлена опция token-timeout, позволяющая определить максимальное время ожидания подключения токена PKCS#11/FIDO2, после истечения которого будет выведен запрос ввода пароля или ключа восстановления.
• В systemd-timesyncd реализована настройка SaveIntervalSec, позволяющая периодически сохранять значение текущего системного времени на диск, например, для реализации монотонных часов на системах без RTC.
• В утилиту systemd-analyze добавлены опции: «—image» и «—root» для проверки unit-файлов внутри заданного образа или корневого каталога, «—recursive-errors» для учёта зависимых юнитов при выявлении ошибки, «—offline» для проверки отдельно сохранённых на диск unit-файлов, «—json» для вывода в формате JSON, «—quiet» для отключения неважных сообщений, «—profile» для привязки к переносимому профилю. Также добавлена команда inspect-elf для разбора core-файлов в формате ELF и возможность проверки unit-файлов с заданным именем юнита, независимо от того совпадает ли это имя с именем файла.
• В systemd-networkd расширена поддержка шины CAN (Controller Area Network). Добавлены настройки для управления режимами CAN: Loopback, OneShot, PresumeAck и ClassicDataLengthCode. В секцию [CAN] файлов .network добавлены опции TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 и DataSyncJumpWidth для управления битовой синхронизацией интерфейса CAN.
• В systemd-networkd для клиента DHCPv4 добавлена опция Label, позволяющая настроить метку адресов, применяемую при конфигурации адресов IPv4.
• В systemd-udevd для «ethtool» реализована поддержка специальных значений «max», выставляющих размер буфера в максимальное значение, поддерживаемое оборудованием.
• В .link-файлах для systemd-udevd теперь можно настроить различные параметры объединения сетевых адаптеров и подключения аппаратных обработчиков (offload).
• В systemd-networkd по умолчанию предложены новые .network-файлы: 80-container-vb.network для определения сетевых мостов, созданных при запуске systemd-nspawn с опциями «—network-bridge» или «—network-zone»; 80-6rd-tunnel.network для определения туннелей, автоматически созданных при получении DHCP-ответа с опцией 6RD.
• В systemd-networkd и systemd-udevd добавлена поддержка проброса IP поверх интерфейсов InfiniBand, для которой в файлы systemd.netdev добавлена секция «[IPoIB]», а в настройке Kind реализована обработка значения «ipoib».
• В systemd-networkd обеспечена автоматическая настройка маршрутов для адресов, указанных в параметре AllowedIPs, которая может быть настроена через параметры RouteTable и RouteMetric в секциях [WireGuard] и [WireGuardPeer].
• В systemd-networkd обеспечена автоматическая генерация не меняющихся MAC-адресов для интерфейсов batadv и bridge. Для отключения данного поведения можно указать значение MACAddress=none в файлах .netdev.
• В файлы .link в секцию «[Link]» добавлена настройка WakeOnLanPassword, для определения пароля при работе WoL в режиме «SecureOn».
• В секцию «[CAKE]» файлов .network добавлены настройки AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO и UseRawPacketSize для определения параметров механизма управления сетевыми очередями CAKE (Common Applications Kept Enhanced).
• В секцию «[Network]» файлов .network добавлена настройка IgnoreCarrierLoss, позволяющая определить как долго ждать перед тем как реагировать на потерю несущего сигнала.
• В systemd-nspawn, homectl, machinectl и systemd-run расширен синтаксис параметра «—setenv» — если указано только имя переменной (без «=»), значение будет взято из соответствующей переменной окружения (например, при указании «—setenv=FOO» будет взято значение из переменной окружения $FOO и использовано в выставляемой в контейнере одноимённой переменной окружения).
• В systemd-nspawn добавлена опция «—suppress-sync» для отключения выполнения системных вызовов sync()/fsync()/fdatasync() при создании контейнера (полезно, когда скорость имеет первоочередное значение, а сохранение сборочных артефактов в случае сбоя не важно, так как они могут быть повторно созданы в любой момент).
• Добавлена новая база данных hwdb, в которую включены различные типы анализаторов сигналов (мультиметры, анализаторы протоколов, осциллографы и т.п.). Информация о камерах в hwdb расширена полем с информацией о типе камеры (обычная или инфракрасная) и размещения объектива (спереди или сзади).
• Обеспечена генерация не меняющихся имён сетевых интерфейсов для устройств netfront, применяемых в Xen.
• Анализ core-файлов утилитой systemd-coredump на базе библиотек libdw/libelf теперь производится в отдельном процессе, изолированном в sandbox-окружении.
• В systemd-importd добавлена поддержка переменных окружения $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, при помощи которых можно отключить генерацию подразделов Btrfs, а также настроить квоты и синхронизацию дисков.
• В systemd-journald на файловых системах с поддержкой режима copy-on-write обеспечено повторное включение режима COW для архивных журналов, что позволяет обеспечить их сжатие силами Btrfs.
• В systemd-journald реализована дедупликация одинаковых полей в одном сообщении, которая выполняется на этапе перед помещением сообщения в журнал.
• В команду shutdown добавлена опция «—show» для отображения запланированного завершения работы.

Источник: opennet.ru