ProHoster > Блог > internet vijesti > systemd sistem menadžer izdanje 246

systemd sistem menadžer izdanje 246

Nakon pet mjeseci razvoja predstavljen izdanje sistemskog menadžera systemd 246. Novo izdanje uključuje podršku za zamrzavanje jedinica, mogućnost provjere korijenske slike diska pomoću digitalnog potpisa, podršku za kompresiju dnevnika i ispise jezgra pomoću ZSTD algoritma, mogućnost otključavanja prijenosnih kućnih direktorija pomoću FIDO2 tokena, podršku za otključavanje Microsoft BitLocker-a particije preko /etc/ crypttab, BlackList je preimenovan u DenyList.

Glavni promjena:

  • Dodata podrška za kontroler resursa zamrzivača baziran na cgroups v2, s kojim možete zaustaviti procese i privremeno osloboditi neke resurse (CPU, I/O, a potencijalno čak i memoriju) za obavljanje drugih zadataka. Zamrzavanje i odmrzavanje jedinica se kontrolira pomoću nove naredbe “systemctl freeze” ili preko D-Bus-a.
  • Dodata podrška za provjeru korijenske slike diska pomoću digitalnog potpisa. Provjera se vrši korištenjem novih postavki u servisnim jedinicama: RootHash (root hash za provjeru slike diska specificirane kroz RootImage opciju) i RootHashSignature (digitalni potpis u PKCS#7 formatu za root hash).
  • PID 1 rukovatelj implementira mogućnost automatskog učitavanja unaprijed kompajliranih AppArmor pravila (/etc/apparmor/earlypolicy) u početnoj fazi pokretanja.
  • Dodane su nove postavke datoteke jedinice: ConditionPathIsEncrypted i AssertPathIsEncrypted za provjeru smještaja navedene staze na blok uređaju koji koristi enkripciju (dm-crypt/LUKS), ConditionEnvironment i AssertEnvironment za provjeru varijabli okruženja (na primjer, one koje postavlja PAM ili prilikom postavljanja kontejnera).
  • Za *.mount jedinice implementirana je postavka ReadWriteOnly, koja zabranjuje montiranje particije u modu samo za čitanje ako je nije bilo moguće montirati za čitanje i pisanje. U /etc/fstab ovaj način se konfiguriše pomoću opcije “x-systemd.rw-only”.
  • Za *.socket jedinice, dodata je postavka PassPacketInfo, koja omogućava kernelu da doda dodatne metapodatke za svaki paket pročitan iz socketa (omogućava IP_PKTINFO, IPV6_RECVPKTINFO i NETLINK_PKTINFO modove za socket).
  • Za usluge (*.service units), predložene su postavke CoredumpFilter (definira memorijske sekcije koje treba uključiti u dumpove jezgra) i
    TimeoutStartFailureMode/TimeoutStopFailureMode (definira ponašanje (SIGTERM, SIGABRT ili SIGKILL) kada dođe do isteka vremena prilikom pokretanja ili zaustavljanja usluge).

  • Većina opcija sada podržava heksadecimalne vrijednosti navedene pomoću prefiksa "0x".
  • U različitim parametrima komandne linije i konfiguracijskim datotekama vezanim za postavljanje ključeva ili certifikata, moguće je odrediti putanju do unix utičnica (AF_UNIX) za prijenos ključeva i certifikata putem poziva IPC servisima kada nije poželjno postaviti certifikate na nešifrirani disk skladištenje.
  • Dodata podrška za šest novih specifikacija koji se mogu koristiti u jedinicama, tmpfiles.d/, sysusers.d/ i drugim konfiguracijskim datotekama: %a za zamjenu trenutne arhitekture, %o/%w/%B/%W za zamjenu polja sa identifikatori iz /etc/os-release i %l za kratku zamjenu imena hosta.
  • Datoteke jedinica više ne podržavaju ".include" sintaksu, koja je zastarjela prije 6 godina.
  • Postavke StandardError i StandardOutput više ne podržavaju vrijednosti “syslog” i “syslog-console”, koje će se automatski konvertirati u “journal” i “journal+console”.
  • Za automatski kreirane tačke montiranja zasnovane na tmpfs-u (/tmp, /run, /dev/shm, itd.), predviđena su ograničenja veličine i broja inoda, što odgovara 50% veličine RAM-a za /tmp i /dev/ shm, i 10% RAM-a za sve ostale.
  • Dodane su nove opcije komandne linije kernela: systemd.hostname za postavljanje imena hosta u početnoj fazi pokretanja, udev.blockdev_read_only za ograničavanje svih blok uređaja povezanih s fizičkim diskovima na način samo za čitanje (možete koristiti naredbu "blockdev --setrw" za selektivno otkazivanje), systemd .swap za onemogućavanje automatske aktivacije swap particije, systemd.clock-usec za postavljanje sistemskog sata u mikrosekundama, systemd.condition-needs-update i systemd.condition-first-boot za nadjačavanje ConditionNeedsUpdate i ConditionFirstBoot provjere.
  • Prema zadanim postavkama, sysctl fs.suid_dumpable je postavljen na 2 (“suidsafe”), što omogućava čuvanje dumpova jezgra za procese sa suid zastavicom.
  • Datoteka /usr/lib/udev/hwdb.d/60-autosuspend.hwdb je posuđena u hardversku bazu podataka iz ChromiumOS-a, koja uključuje informacije o PCI i USB uređajima koji podržavaju automatski režim mirovanja.
  • Postavka ManageForeignRoutes je dodana u networkd.conf, kada je omogućena, systemd-networkd će početi da upravlja svim rutama koje su konfigurisali drugi uslužni programi.
  • Odjeljak “[SR-IOV]” je dodat u .network fajlove za konfigurisanje mrežnih uređaja koji podržavaju SR-IOV (single Root I/O virtuelizacija).
  • U systemd-networkd, IPv4AcceptLocal postavka je dodana u odjeljak “[Mreža]” kako bi se omogućilo primanje paketa koji dolaze s lokalnom izvornom adresom na mrežni interfejs.
  • systemd-networkd je dodao mogućnost konfiguriranja disciplina prioriteta HTB prometa putem [HierarchyTokenBucket] i
    [HierarchyTokenBucketClass], "pfifo" preko [PFIFO], "GRED" preko [GenericRandomEarlyDetection], "SFB" preko [StochasticFairBlue], "cake"
    preko [CAKE], "PIE" preko [PIE], "DRR" preko [DeficitRoundRobinScheduler] i
    [DeficitRoundRobinSchedulerClass], "BFIFO" preko [BFIFO],
    "PFIFOHeadDrop" preko [PFIFOHeadDrop], "PFIFOHeadDrop" preko [PFIFOFast], "HHF"
    preko [HeavyHitterFilter], "ETS" preko [EnhancedTransmissionSelection],
    "QFQ" preko [QuickFairQueueing] i [QuickFairQueueingClass].

  • U systemd-networkd, postavka UseGateway je dodata u [DHCPv4] odjeljak kako bi se onemogućila upotreba informacija mrežnog prolaza dobivenih putem DHCP-a.
  • U systemd-networkd, u odjeljcima [DHCPv4] i [DHCPerver], dodata je postavka SendVendorOption za instaliranje i obradu dodatnih opcija dobavljača.
  • systemd-networkd implementira novi skup opcija EmitPOP3/POP3, EmitSMTP/SMTP i EmitLPR/LPR u odjeljku [DHCPServer] za dodavanje informacija o POP3, SMTP i LPR serverima.
  • U systemd-networkd, u .netdev fajlovima u odjeljku [Bridge], dodata je postavka VLANProtocol za odabir VLAN protokola koji će se koristiti.
  • U systemd-networkd, u .network datotekama u odjeljku [Link], postavka Grupe je implementirana za upravljanje grupom veza.
  • Postavke crne liste su preimenovane u DenyList (sa očuvanjem starog rukovanja imenom radi kompatibilnosti unatrag).
  • Systemd-networkd je dodao veliki dio postavki vezanih za IPv6 i DHCPv6.
  • Dodata naredba “forcerenew” u networkctl za prisilno ažuriranje svih veza adresa (zakup).
  • U sistemskom rješavanju, u DNS konfiguraciji, postalo je moguće specificirati broj porta i ime hosta za verifikaciju DNS-over-TLS certifikata. Implementacija DNS-over-TLS je dodala podršku za SNI provjeru.
  • Systemd-resolved sada ima mogućnost da konfiguriše preusmjeravanje jednostrukih DNS imena (single-label, sa jednog imena hosta).
  • systemd-journald pruža podršku za korištenje zstd algoritma za komprimiranje velikih polja u časopisima. Rad je obavljen na zaštiti od kolizija u hash tablicama koje se koriste u časopisima.
  • URL-ovi na koje se može kliknuti sa linkovima na dokumentaciju dodani su u journalctl kada se prikazuju poruke dnevnika.
  • Dodano je podešavanje Audit u journald.conf za kontrolu da li je revizija omogućena tokom inicijalizacije systemd-journald.
  • Systemd-coredump sada ima mogućnost komprimiranja core dumpova koristeći zstd algoritam.
  • Dodata postavka UUID-a u systemd-repart za dodjelu UUID-a kreiranoj particiji.
  • Systemd-homed usluga, koja pruža upravljanje prenosivim kućnim direktorijumima, dodala je mogućnost otključavanja kućnih direktorija pomoću FIDO2 tokena. LUKS pozadina za šifrovanje particije je dodala podršku za automatsko vraćanje praznih blokova sistema datoteka kada se sesija završi. Dodata zaštita od dvostruke enkripcije podataka ako se utvrdi da je /home particija na sistemu već šifrirana.
  • Dodate postavke u /etc/crypttab: “keyfile-erase” za brisanje ključa nakon upotrebe i “try-empty-password” za pokušaj otključavanja particije s praznom lozinkom prije nego što se od korisnika zatraži lozinka (korisno za instaliranje šifriranih slika sa lozinkom dodijeljenom nakon prvog pokretanja, a ne tokom instalacije).
  • systemd-cryptsetup dodaje podršku za otključavanje Microsoft BitLocker particija prilikom pokretanja pomoću /etc/crypttab. Dodata je i mogućnost čitanja
    ključevi za automatsko otključavanje particija iz datoteka /etc/cryptsetup-keys.d/ .key i /run/cryptsetup-keys.d/ .ključ.

  • Dodan systemd-xdg-autostart-generator za kreiranje jediničnih fajlova iz .desktop autostart datoteka.
  • Dodata naredba "reboot-to-firmware" u "bootctl".
  • Dodane opcije za systemd-firstboot: "--image" za određivanje slike diska za pokretanje, "--kernel-command-line" za inicijalizaciju /etc/kernel/cmdline datoteke, "--root-password-hashed" na navedite hash root lozinke i "--delete-root-password" da izbrišete root lozinku.

izvor: opennet.ru

Dodajte komentar