ProHoster > Bloc > notícies d'internet > Systemd System Manager versió 250

Systemd System Manager versió 250

Després de cinc mesos de desenvolupament, es va presentar el llançament del gestor del sistema systemd 250. La nova versió va introduir la possibilitat d'emmagatzemar credencials en forma xifrada, va implementar la verificació de les particions GPT detectades automàticament mitjançant una signatura digital, va millorar la informació sobre les causes dels retards. serveis d'inici i opcions afegides per limitar l'accés al servei a determinats sistemes de fitxers i interfícies de xarxa, s'ofereix suport per a la supervisió de la integritat de la partició mitjançant el mòdul dm-integrity i s'afegeix suport per a l'actualització automàtica sd-boot.

Principals canvis:

  • S'ha afegit suport per a credencials encriptades i autenticades, que poden ser útils per emmagatzemar de manera segura materials sensibles com ara claus SSL i contrasenyes d'accés. El desxifrat de credencials només es realitza quan és necessari i en relació amb la instal·lació o equip local. Les dades es xifren automàticament mitjançant algorismes de xifratge simètric, la clau dels quals es pot localitzar al sistema de fitxers, al xip TPM2 o ​​mitjançant un esquema de combinació. Quan s'inicia el servei, les credencials es desencripten automàticament i es posen a disposició del servei en la seva forma normal. Per treballar amb credencials xifrades, s'ha afegit la utilitat "systemd-creds" i s'han proposat els paràmetres LoadCredentialEncrypted i SetCredentialEncrypted per als serveis.
  • sd-stub, l'executable EFI que permet que el microprogramari EFI carregui el nucli Linux, ara admet l'arrencada del nucli mitjançant el protocol EFI LINUX_EFI_INITRD_MEDIA_GUID. També s'afegeix a sd-stub la possibilitat d'empaquetar credencials i fitxers sysext en un arxiu cpio i transferir aquest arxiu al nucli juntament amb l'initrd (els fitxers addicionals es col·loquen al directori /.extra/). Aquesta característica us permet utilitzar un entorn initrd immutable verificable, complementat amb sysexts i dades d'autenticació xifrades.
  • L'especificació de particions detectables s'ha ampliat significativament, proporcionant eines per identificar, muntar i activar particions del sistema mitjançant GPT (taules de particions GUID). En comparació amb versions anteriors, l'especificació ara admet la partició arrel i la partició /usr per a la majoria d'arquitectures, incloses les plataformes que no utilitzen UEFI.

    Les particions detectables també afegeixen suport per a particions la integritat de les quals es verifica mitjançant el mòdul dm-verity mitjançant signatures digitals PKCS#7, cosa que facilita la creació d'imatges de disc totalment autenticades. El suport de verificació està integrat en diverses utilitats que manipulen imatges de disc, com ara systemd-nspawn, systemd-sysext, systemd-dissect, serveis RootImage, systemd-tmpfiles i systemd-sysusers.

  • Per a les unitats que triguen molt de temps a iniciar-se o aturar-se, a més de mostrar una barra de progrés animada, és possible mostrar informació d'estat que permet entendre què passa exactament amb el servei en aquest moment i quin servei és el gestor del sistema. actualment esperant per completar.
  • S'ha afegit el paràmetre DefaultOOMScoreAdjust a /etc/systemd/system.conf i /etc/systemd/user.conf, que us permet ajustar el llindar OOM-killer per a poca memòria, aplicable als processos que systemd s'inicia per al sistema i els usuaris. Per defecte, el pes dels serveis del sistema és superior al dels serveis d'usuari, és a dir. Quan no hi ha prou memòria, la probabilitat de finalització dels serveis d'usuari és superior a la dels del sistema.
  • S'ha afegit la configuració RestrictFileSystems, que us permet restringir l'accés dels serveis a determinats tipus de sistemes de fitxers. Per veure els tipus de sistemes de fitxers disponibles, podeu utilitzar l'ordre "systemd-analyze filesystems". Per analogia, s'ha implementat l'opció RestrictNetworkInterfaces, que permet restringir l'accés a determinades interfícies de xarxa. La implementació es basa en el mòdul BPF LSM, que restringeix l'accés d'un grup de processos als objectes del nucli.
  • S'ha afegit un nou fitxer de configuració /etc/integritytab i una utilitat systemd-integritysetup que configuren el mòdul dm-integrity per controlar la integritat de les dades a nivell de sector, per exemple, per garantir la immutabilitat de les dades xifrades (xifratge autenticat, assegura que un bloc de dades té no s'ha modificat de manera rotonda). El format del fitxer /etc/integritytab és similar als fitxers /etc/crypttab i /etc/veritytab, excepte que s'utilitza dm-integrity en comptes de dm-crypt i dm-verity.
  • S'ha afegit un nou fitxer d'unitat systemd-boot-update.service, quan s'activa i s'instal·la el carregador d'arrencada sd-boot, systemd actualitzarà automàticament la versió del carregador d'arrencada sd-boot, mantenint el codi del carregador d'arrencada sempre actualitzat. El propi sd-boot ara es construeix de manera predeterminada amb suport per al mecanisme SBAT (UEFI Secure Boot Advanced Targeting), que resol problemes amb la revocació de certificats per a l'arrencada segura UEFI. A més, sd-boot ofereix la possibilitat d'analitzar la configuració d'arrencada de Microsoft Windows per generar correctament els noms de les particions d'arrencada amb Windows i mostrar la versió de Windows.

    sd-boot també ofereix la possibilitat de definir un esquema de colors en el moment de la construcció. Durant el procés d'arrencada, s'ha afegit suport per canviar la resolució de la pantalla prement la tecla "r". S'ha afegit la tecla d'accés directe "f" per anar a la interfície de configuració del microprogramari. S'ha afegit un mode per arrencar automàticament el sistema corresponent a l'element de menú seleccionat durant l'últim arrencada. S'ha afegit la possibilitat de carregar automàticament els controladors EFI situats al directori /EFI/systemd/drivers/ a la secció ESP (partició del sistema EFI).

  • S'inclou un nou fitxer d'unitat factory-reset.target, que es processa a systemd-logind de manera similar a les operacions de reinici, apagat, suspensió i hibernació, i s'utilitza per crear controladors per dur a terme un restabliment de fàbrica.
  • El procés resolt per systemd ara crea un sòcol d'escolta addicional a 127.0.0.54 a més de 127.0.0.53. Les sol·licituds que arriben a 127.0.0.54 sempre es redirigien a un servidor DNS amunt i no es processen localment.
  • Proporciona la possibilitat de crear systemd-importd i systemd-resolved amb la biblioteca OpenSSL en lloc de libgcrypt.
  • S'ha afegit suport inicial per a l'arquitectura LoongArch utilitzada als processadors Loongson.
  • systemd-gpt-auto-generator ofereix la possibilitat de configurar automàticament particions d'intercanvi definides pel sistema xifrades pel subsistema LUKS2.
  • El codi d'anàlisi d'imatges GPT utilitzat a systemd-nspawn, systemd-dissect i utilitats similars implementa la capacitat de descodificar imatges per a altres arquitectures, permetent que systemd-nspawn s'utilitzi per executar imatges en emuladors d'altres arquitectures.
  • Quan inspeccioneu imatges de disc, systemd-dissect ara mostra informació sobre el propòsit de la partició, com ara la idoneïtat per arrencar mitjançant UEFI o executar-se en un contenidor.
  • El camp "SYSEXT_SCOPE" s'ha afegit als fitxers system-extension.d/, que us permet indicar l'abast de la imatge del sistema: "initrd", "system" o "portable".
  • S'ha afegit un camp "PORTABLE_PREFIXES" al fitxer de llançament del sistema operatiu, que es pot utilitzar en imatges portàtils per determinar els prefixos dels fitxers d'unitat admesos.
  • systemd-logind introdueix nous paràmetres HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress i HandleHibernateKeyLongPress, que es pot utilitzar per determinar què passa quan determinades tecles es mantenen premudes durant més de 5 segons (per exemple, si premeu la tecla es pot configurar ràpidament en mode d'espera). , i quan es mantingui premuda, s'adormirà).
  • Per a les unitats, s'implementen els paràmetres StartupAllowedCPU i StartupAllowedMemoryNodes, que difereixen dels paràmetres similars sense el prefix d'inici perquè només s'apliquen a l'etapa d'arrencada i d'apagada, cosa que us permet establir altres restriccions de recursos durant l'arrencada.
  • S'han afegit [Condició|Assert][Memòria|CPU|IO]Les comprovacions de pressió que permeten ometre o fallar l'activació de la unitat si el mecanisme PSI detecta una gran càrrega a la memòria, la CPU i les E/S del sistema.
  • El límit màxim d'inode predeterminat s'ha augmentat per a la partició /dev de 64k a 1M, i per a la partició /tmp de 400k a 1M.
  • S'ha proposat una configuració ExecSearchPath per als serveis, que permet canviar el camí per a la cerca de fitxers executables llançats mitjançant paràmetres com ExecStart.
  • S'ha afegit la configuració RuntimeRandomizedExtraSec, que us permet introduir desviacions aleatòries al temps d'espera RuntimeMaxSec, que limita el temps d'execució d'una unitat.
  • S'ha ampliat la sintaxi de la configuració RuntimeDirectory, StateDirectory, CacheDirectory i LogsDirectory, en la qual, especificant un valor addicional separat per dos punts, ara podeu organitzar la creació d'un enllaç simbòlic a un directori determinat per organitzar l'accés per diferents camins.
  • Per als serveis, s'ofereix la configuració de TTYRows i TTYColumns per definir el nombre de files i columnes al dispositiu TTY.
  • S'ha afegit la configuració ExitType, que us permet canviar la lògica per determinar el final d'un servei. Per defecte, systemd només supervisa la mort del procés principal, però si s'estableix ExitType=cgroup, el gestor del sistema esperarà que finalitzi l'últim procés del cgroup.
  • La implementació de systemd-cryptsetup del suport TPM2/FIDO2/PKCS11 ara també es construeix com a connector cryptsetup, que permet utilitzar l'ordre normal cryptsetup per desbloquejar una partició xifrada.
  • El controlador TPM2 a systemd-cryptsetup/systemd-cryptsetup afegeix suport per a les claus primàries RSA a més de les claus ECC per millorar la compatibilitat amb xips no ECC.
  • S'ha afegit l'opció token-timeout a /etc/crypttab, que us permet definir el temps màxim d'espera per a una connexió de testimoni PKCS#11/FIDO2, després del qual se us demanarà que introduïu una contrasenya o una clau de recuperació.
  • systemd-timesyncd implementa la configuració SaveIntervalSec, que us permet desar periòdicament el temps actual del sistema al disc, per exemple, per implementar un rellotge monòton en sistemes sense RTC.
  • S'han afegit opcions a la utilitat systemd-analyze: "--image" i "--root" per comprovar els fitxers d'unitats dins d'una imatge o directori arrel determinats, "--recursive-errors" per tenir en compte les unitats dependents quan es produeix un error. es detecta, "--offline" per comprovar per separat els fitxers d'unitat desats al disc, "—json" per a la sortida en format JSON, "—quiet" per desactivar missatges sense importància, "—profile" per vincular-se a un perfil portàtil. També s'afegeix l'ordre inspect-elf per analitzar fitxers bàsics en format ELF i la possibilitat de comprovar els fitxers d'unitat amb un nom d'unitat determinat, independentment de si aquest nom coincideix amb el nom del fitxer.
  • systemd-networkd ha ampliat el suport per al bus Controller Area Network (CAN). S'han afegit paràmetres per controlar els modes CAN: Loopback, OneShot, PresumeAck i ClassicDataLengthCode. S'han afegit opcions TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 i DataSyncJumpWidth a la secció [CAN] de la interfície de sincronització de fitxers de la interfície CAN.
  • Systemd-networkd ha afegit una opció d'etiqueta per al client DHCPv4, que us permet configurar l'etiqueta d'adreça que s'utilitza en configurar les adreces IPv4.
  • systemd-udevd per a "ethtool" implementa el suport per a valors "max" especials que estableixen la mida de la memòria intermèdia al valor màxim suportat pel maquinari.
  • Als fitxers .link per a systemd-udevd ara podeu configurar diversos paràmetres per combinar adaptadors de xarxa i connectar controladors de maquinari (descàrrega).
  • systemd-networkd ofereix nous fitxers .network per defecte: 80-container-vb.network per definir ponts de xarxa creats quan s'executa systemd-nspawn amb les opcions “--network-bridge” o “--network-zone”; 80-6rd-tunnel.network per definir túnels que es creen automàticament en rebre una resposta DHCP amb l'opció 6RD.
  • Systemd-networkd i systemd-udevd han afegit suport per al reenviament d'IP a través d'interfícies InfiniBand, per a la qual cosa s'ha afegit la secció "[IPoIB]" als fitxers systemd.netdev, i el processament del valor "ipoib" s'ha implementat al Kind configuració.
  • systemd-networkd proporciona una configuració de ruta automàtica per a les adreces especificades al paràmetre AllowedIPs, que es pot configurar mitjançant els paràmetres RouteTable i RouteMetric a les seccions [WireGuard] i [WireGuardPeer].
  • systemd-networkd proporciona la generació automàtica d'adreces MAC no canviants per a les interfícies batadv i bridge. Per desactivar aquest comportament, podeu especificar MACAddress=none als fitxers .netdev.
  • S'ha afegit una configuració de WakeOnLanPassword als fitxers .link a la secció "[Link]" per determinar la contrasenya quan WoL s'executa en mode "SecureOn".
  • S'han afegit els paràmetres d'AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO i UserRawPacketSize a la secció "[CAKE]" dels fitxers .network per definir els paràmetres de la xarxa CAKE (mecanisme de gestió d'aplicacions comunes mantingudes millorades) .
  • S'ha afegit un paràmetre IgnoreCarrierLoss a la secció "[Xarxa]" dels fitxers .network, que us permet determinar quant de temps cal esperar abans de reaccionar a una pèrdua de senyal del portador.
  • Systemd-nspawn, homectl, machinectl i systemd-run han ampliat la sintaxi del paràmetre "--setenv": si només s'especifica el nom de la variable (sense "="), el valor es prendrà de la variable d'entorn corresponent (per a Per exemple, quan s'especifica "--setenv=FOO" el valor s'agafarà de la variable d'entorn $FOO i s'utilitzarà a la variable d'entorn del mateix nom establerta al contenidor).
  • systemd-nspawn ha afegit una opció "--suppress-sync" per desactivar les trucades al sistema sync()/fsync()/fdatasync() quan es crea un contenidor (útil quan la velocitat és una prioritat i preservar els artefactes de construcció en cas d'error no ho és). important, ja que es poden tornar a crear en qualsevol moment).
  • S'ha afegit una nova base de dades hwdb, que inclou diversos tipus d'analitzadors de senyal (multímetres, analitzadors de protocols, oscil·loscopis, etc.). La informació sobre les càmeres a hwdb s'ha ampliat amb un camp amb informació sobre el tipus de càmera (regular o infraroja) i la col·locació de les lents (davant o posterior).
  • S'ha activat la generació de noms d'interfície de xarxa que no canvien per als dispositius netfront utilitzats a Xen.
  • L'anàlisi dels fitxers bàsics per part de la utilitat systemd-coredump basada en les biblioteques libdw/libelf es realitza ara en un procés separat, aïllat en un entorn sandbox.
  • systemd-importd ha afegit suport per a les variables d'entorn $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, amb les quals podeu desactivar la generació de subparticions Btrfs, així com configurar quotes i sincronització de disc.
  • A systemd-journald, en sistemes de fitxers que admeten el mode de còpia sobre escriptura, el mode COW es torna a activar per a revistes arxivades, cosa que permet comprimir-les mitjançant Btrfs.
  • systemd-journald implementa la deduplicació de camps idèntics en un sol missatge, que es realitza en l'etapa abans de col·locar el missatge al diari.
  • S'ha afegit l'opció "--show" a l'ordre d'apagada per mostrar l'aturada programada.

Font: opennet.ru

Afegeix comentari