ProHoster > Блог > internet vijesti > systemd sistem menadžer izdanje 250

systemd sistem menadžer izdanje 250

Nakon pet mjeseci razvoja, predstavljeno je izdanje sistem menadžera systemd 250. Novo izdanje je uvelo mogućnost pohranjivanja akreditiva u šifriranom obliku, implementirano je provjera automatski otkrivenih GPT particija korištenjem digitalnog potpisa, poboljšane informacije o uzrocima kašnjenja kada se pojave. startovanje servisa i dodane opcije za ograničavanje pristupa servisu određenim sistemima datoteka i mrežnim interfejsima, obezbeđena je podrška za praćenje integriteta particija pomoću modula dm-integrity, a dodata je i podrška za sd-boot auto-update.

Glavne promjene:

  • Dodata podrška za šifrovane i provjerene vjerodajnice, što može biti korisno za sigurno pohranjivanje osjetljivih materijala kao što su SSL ključevi i pristupne lozinke. Dešifriranje akreditiva se izvodi samo kada je potrebno iu vezi s lokalnom instalacijom ili opremom. Podaci se šifriraju automatski pomoću algoritama simetrične enkripcije, čiji se ključ može nalaziti u sistemu datoteka, u TPM2 čipu ili korištenjem šeme kombinacije. Kada se servis pokrene, vjerodajnice se automatski dešifriraju i postaju dostupne usluzi u svom normalnom obliku. Za rad sa šifriranim vjerodajnicama, dodat je uslužni program 'systemd-creds', a za usluge su predložene postavke LoadCredentialEncrypted i SetCredentialEncrypted.
  • sd-stub, EFI izvršna datoteka koja omogućava EFI firmveru da učita Linux kernel, sada podržava dizanje kernela pomoću LINUX_EFI_INITRD_MEDIA_GUID EFI protokola. Također je dodata sd-stub mogućnost pakovanja akreditiva i sysext datoteka u cpio arhivu i prijenosa ove arhive u kernel zajedno sa initrd-om (dodatni fajlovi su smješteni u /.extra/ direktorij). Ova funkcija vam omogućava da koristite provjerljivo nepromjenjivo initrd okruženje, dopunjeno sysextovima i šifriranim podacima za autentifikaciju.
  • Specifikacija Discoverable Partitions je značajno proširena, pružajući alate za identifikaciju, montiranje i aktiviranje sistemskih particija koristeći GPT (GUID particione tabele). U poređenju sa prethodnim izdanjima, specifikacija sada podržava root particiju i /usr particiju za većinu arhitektura, uključujući platforme koje ne koriste UEFI.

    Discoverable Partitions takođe dodaje podršku za particije čiji je integritet verifikovan od strane dm-verity modula koristeći PKCS#7 digitalne potpise, što olakšava kreiranje potpuno autentifikovanih slika diska. Podrška za verifikaciju je integrisana u različite uslužne programe koji manipulišu slikama diska, uključujući systemd-nspawn, systemd-sysext, systemd-dissect, RootImage usluge, systemd-tmpfiles i systemd-sysusers.

  • Za jedinice kojima je potrebno mnogo vremena da se pokrenu ili zaustave, osim prikazivanja animirane trake napretka, moguće je prikazati informacije o statusu koje vam omogućavaju da shvatite šta se tačno dešava sa uslugom u ovom trenutku i koji servis je sistemski menadžer trenutno čeka da se završi.
  • Dodan parametar DefaultOOMScoreAdjust u /etc/systemd/system.conf i /etc/systemd/user.conf, koji vam omogućava da prilagodite OOM-killer prag za malo memorije, primjenjiv na procese koje systemd pokreće za sistem i korisnike. Po defaultu, težina sistemskih usluga je veća od težine korisničkih usluga, tj. Kada nema dovoljno memorije, vjerovatnoća ukidanja korisničkih usluga je veća od one sistemskih.
  • Dodata je postavka RestrictFileSystems, koja vam omogućava da ograničite pristup usluga određenim vrstama sistema datoteka. Za pregled dostupnih tipova sistema datoteka, možete koristiti naredbu “systemd-analyze filesystems”. Analogno, implementirana je opcija RestrictNetworkInterfaces, koja vam omogućava da ograničite pristup određenim mrežnim sučeljima. Implementacija je bazirana na BPF LSM modulu, koji ograničava pristup grupe procesa objektima kernela.
  • Dodan je novi /etc/integritytab konfiguraciona datoteka i systemd-integritysetup uslužni program koji konfiguriše modul dm-integrity za kontrolu integriteta podataka na nivou sektora, na primjer, kako bi se jamčila nepromjenjivost šifriranih podataka (Authenticated Encryption, osigurava da blok podataka ima nije izmijenjen na kružni tok) . Format datoteke /etc/integritytab sličan je datotekama /etc/crypttab i /etc/veritytab, osim što se koristi dm-integrity umjesto dm-crypt i dm-verity.
  • Dodata je nova jedinična datoteka systemd-boot-update.service, kada se aktivira i instalira sd-boot bootloader, systemd će automatski ažurirati verziju sd-boot bootloadera, održavajući kod pokretača uvijek ažuriranim. Sam sd-boot je sada standardno izgrađen sa podrškom za SBAT (UEFI Secure Boot Advanced Targeting) mehanizam, koji rješava probleme s opozivom certifikata za UEFI Secure Boot. Osim toga, sd-boot pruža mogućnost raščlanjivanja postavki pokretanja sustava Microsoft Windows kako bi se ispravno generirala imena particija za pokretanje sistema Windows i prikazala verzija Windowsa.

    sd-boot također pruža mogućnost definiranja sheme boja u vrijeme izrade. Tokom procesa pokretanja, dodata je podrška za promjenu rezolucije ekrana pritiskom na tipku “r”. Dodan prečac “f” za odlazak na konfiguracijski interfejs firmvera. Dodan način za automatsko pokretanje sistema koji odgovara stavci menija odabranoj tokom posljednjeg pokretanja. Dodata je mogućnost automatskog učitavanja EFI drajvera koji se nalaze u /EFI/systemd/drivers/ direktorijumu u odjeljku ESP (EFI sistemska particija).

  • Uključen je novi jedinični fajl factory-reset.target, koji se obrađuje u systemd-logind na sličan način kao i operacije ponovnog pokretanja, isključivanja, suspendovanja i hibernacije, i koristi se za kreiranje rukovalaca za izvođenje fabričkog resetovanja.
  • Proces koji je razriješio systemd sada stvara dodatnu utičnicu za slušanje na 127.0.0.54 pored 127.0.0.53. Zahtjevi koji stignu na 127.0.0.54 uvijek se preusmjeravaju na uzvodni DNS server i ne obrađuju se lokalno.
  • Pruža mogućnost izgradnje systemd-importd i systemd-resolved sa OpenSSL bibliotekom umjesto libgcrypt.
  • Dodata početna podrška za LoongArch arhitekturu koja se koristi u Loongson procesorima.
  • systemd-gpt-auto-generator pruža mogućnost automatskog konfigurisanja sistemski definisanih swap particija šifrovanih od strane LUKS2 podsistema.
  • GPT kod za raščlanjivanje slika koji se koristi u systemd-nspawn, systemd-dissect i sličnim uslužnim programima implementira mogućnost dekodiranja slika za druge arhitekture, omogućavajući systemd-nspawn da se koristi za pokretanje slika na emulatorima drugih arhitektura.
  • Kada pregledate slike diska, systemd-dissect sada prikazuje informacije o svrsi particije, kao što je prikladnost za pokretanje putem UEFI-ja ili pokretanje u kontejneru.
  • Polje “SYSEXT_SCOPE” je dodano fajlovima system-extension.d/, što vam omogućava da naznačite opseg slike sistema - “initrd”, “system” ili “portable”.
  • Polje “PORTABLE_PREFIXES” je dodano datoteci os-release, koje se može koristiti u prenosivim slikama za određivanje podržanih prefiksa datoteke jedinice.
  • systemd-logind uvodi nove postavke HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress i HandleHibernateKeyLongPress, koje se mogu koristiti za određivanje šta se dešava kada se određene tipke drže pritisnute duže od 5 sekundi (na primjer, pritiskom na tipku se može brzo konfigurirati). , a kada se pritisne, preći će na spavanje) .
  • Za jedinice su implementirane postavke StartupAllowedCPUs i StartupAllowedMemoryNodes, koje se razlikuju od sličnih postavki bez Startup prefiksa po tome što se primjenjuju samo u fazi pokretanja i isključivanja, što vam omogućava da postavite druga ograničenja resursa tokom pokretanja.
  • Dodano [Stanje|Assert][Memorija|CPU|IO]Provere pritiska koje omogućavaju da se aktivacija jedinice preskoči ili ne uspe ako PSI mehanizam otkrije veliko opterećenje memorije, CPU-a i I/O u sistemu.
  • Podrazumevano maksimalno ograničenje inode-a je povećano za /dev particiju sa 64k na 1M, a za /tmp particiju sa 400k na 1M.
  • Za usluge je predložena postavka ExecSearchPath koja omogućava promjenu putanje za traženje izvršnih datoteka pokrenutih kroz postavke kao što je ExecStart.
  • Dodata je postavka RuntimeRandomizedExtraSec, koja vam omogućava da unesete nasumična odstupanja u vremensko ograničenje RuntimeMaxSec, što ograničava vrijeme izvršenja jedinice.
  • Proširena je sintaksa postavki RuntimeDirectory, StateDirectory, CacheDirectory i LogsDirectory, u kojima navođenjem dodatne vrijednosti odvojene dvotočkom, sada možete organizirati kreiranje simboličke veze do zadanog direktorija za organiziranje pristupa na nekoliko putanja.
  • Za usluge se nude postavke TTYRows i TTYColumns za postavljanje broja redova i kolona u TTY uređaju.
  • Dodata je postavka ExitType, koja vam omogućava da promijenite logiku za određivanje kraja usluge. Podrazumevano, systemd nadgleda samo smrt glavnog procesa, ali ako je ExitType=cgroup postavljen, menadžer sistema će čekati da se završi poslednji proces u cgroup.
  • Systemd-cryptsetup implementacija podrške za TPM2/FIDO2/PKCS11 sada je takođe izgrađena kao dodatak cryptsetup, omogućavajući uobičajenu naredbu cryptsetup da se koristi za otključavanje šifrovane particije.
  • TPM2 rukovalac u systemd-cryptsetup/systemd-cryptsetup dodaje podršku za RSA primarne ključeve pored ECC ključeva radi poboljšanja kompatibilnosti sa ne-ECC čipovima.
  • Token-timeout opcija je dodana u /etc/crypttab, što vam omogućava da definirate maksimalno vrijeme čekanja na PKCS#11/FIDO2 token vezu, nakon čega će se od vas tražiti da unesete lozinku ili ključ za oporavak.
  • systemd-timesyncd implementira postavku SaveIntervalSec, koja vam omogućava da povremeno pohranjujete trenutno sistemsko vrijeme na disk, na primjer, za implementaciju monotonog sata na sistemima bez RTC-a.
  • U pomoćni program systemd-analyze dodane su opcije: “--image” i “--root” za provjeru jediničnih datoteka unutar date slike ili korijenskog direktorija, “--recursive-errors” za uzimanje u obzir zavisnih jedinica kada dođe do greške detektuje se, “--offline” za provjeru odvojenih jediničnih datoteka spremljenih na disk, “—json” za izlaz u JSON formatu, “—tiho” za onemogućavanje nevažnih poruka, “—profil” za povezivanje na prenosivi profil. Dodata je i naredba inspect-elf za raščlanjivanje osnovnih datoteka u ELF formatu i mogućnost provjere datoteka jedinica sa datim imenom jedinice, bez obzira na to da li se ovo ime podudara s imenom datoteke.
  • systemd-networkd je proširio podršku za sabirnicu Controller Area Network (CAN). Dodata podešavanja za kontrolu CAN režima: Loopback, OneShot, PresumeAck i ClassicDataLengthCode. Dodano TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 i DataSyncJumpWidth odeljak za kontrolu bitnih datoteka za C.SyncJumpWidth ANCH sekciju za kontrolu bitova C.SyncJumpWidthAN] fajlova.
  • Systemd-networkd je dodao opciju Label za DHCPv4 klijenta, koja vam omogućava da konfigurišete oznaku adrese koja se koristi prilikom konfigurisanja IPv4 adresa.
  • systemd-udevd za "ethtool" implementira podršku za posebne "max" vrijednosti koje postavljaju veličinu bafera na maksimalnu vrijednost koju podržava hardver.
  • U .link fajlovima za systemd-udevd sada možete konfigurisati različite parametre za kombinovanje mrežnih adaptera i povezivanje hardverskih rukovaoca (offload).
  • systemd-networkd podrazumevano nudi nove .network fajlove: 80-container-vb.network za definisanje mrežnih mostova kreiranih prilikom pokretanja systemd-nspawn sa opcijama “--network-bridge” ili “--network-zone”; 80-6rd-tunnel.network za definiranje tunela koji se automatski kreiraju prilikom prijema DHCP odgovora sa opcijom 6RD.
  • Systemd-networkd i systemd-udevd su dodali podršku za IP prosljeđivanje preko InfiniBand interfejsa, za koje je odjeljak “[IPoIB]” dodat fajlovima systemd.netdev, a obrada “ipoib” vrijednosti je implementirana u vrsti postavljanje.
  • systemd-networkd pruža automatsku konfiguraciju rute za adrese navedene u parametru AllowedIPs, koje se mogu konfigurirati kroz RouteTable i RouteMetric parametre u odjeljcima [WireGuard] i [WireGuardPeer].
  • systemd-networkd obezbeđuje automatsko generisanje nepromenljivih MAC adresa za batadv i bridge interfejse. Da biste onemogućili ovo ponašanje, možete odrediti MACAddress=none u .netdev datotekama.
  • Postavka WakeOnLanPassword je dodana u .link datoteke u odjeljku “[Link]” da bi se odredila lozinka kada WoL radi u “SecureOn” modu.
  • Dodane su postavke AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO i UseRawPacketSize u odjeljak “[CAKE]” .network datoteka za definiranje parametara mehanizma za upravljanje CAKE (uobičajene aplikacije) Kept Enuhan Management mreže .
  • Dodata postavka IgnoreCarrierLoss u odeljku "[Network]" .network fajlova, omogućavajući vam da odredite koliko dugo da čekate pre nego što reagujete na gubitak signala operatera.
  • Systemd-nspawn, homectl, machinectl i systemd-run su proširili sintaksu parametra "--setenv" - ako je specificirano samo ime varijable (bez "="), vrijednost će biti preuzeta iz odgovarajuće varijable okruženja (za na primjer, kada se specificira "--setenv=FOO" vrijednost će biti uzeta iz varijable okoline $FOO i korištena u varijabli okruženja istog imena koja je postavljena u kontejneru).
  • systemd-nspawn je dodao opciju "--suppress-sync" za onemogućavanje sistemskih poziva sync()/fsync()/fdatasync() prilikom kreiranja kontejnera (korisno kada je brzina prioritet i očuvanje artefakata izgradnje u slučaju neuspjeha nije važno, jer se mogu ponovo kreirati u bilo kom trenutku).
  • Dodata je nova hwdb baza podataka koja uključuje različite vrste analizatora signala (multimetri, analizatori protokola, osciloskopi, itd.). Informacije o kamerama u hwdb-u proširene su poljem sa informacijama o tipu kamere (obična ili infracrvena) i položaju sočiva (prednji ili zadnji).
  • Omogućeno generiranje nepromjenjivih imena mrežnog interfejsa za netfront uređaje koji se koriste u Xen-u.
  • Analiza osnovnih datoteka od strane uslužnog programa systemd-coredump zasnovanog na bibliotekama libdw/libelf sada se izvodi u zasebnom procesu, izolovanom u sandbox okruženju.
  • systemd-importd je dodao podršku za varijable okruženja $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, pomoću kojih možete onemogućiti generiranje Btrfs podparticija, kao i konfigurirati kvote i sinhronizaciju diska.
  • U systemd-journald, na sistemima datoteka koji podržavaju način kopiranja na upisivanje, COW način je ponovo omogućen za arhivirane časopise, omogućavajući im kompresiju pomoću Btrfs-a.
  • systemd-journald implementira deduplikaciju identičnih polja u jednoj poruci, koja se izvodi u fazi prije stavljanja poruke u dnevnik.
  • Dodata opcija "--show" komandi za isključivanje za prikaz planiranog isključivanja.

izvor: opennet.ru

Dodajte komentar