ProHoster > Blog > notícies d'internet > Systemd System Manager versió 257

Systemd System Manager versió 257

Després de sis mesos de desenvolupament, es va presentar el llançament del gestor del sistema systemd 257. Canvis clau: noves utilitats systemd-sbsign i systemd-keyutil, suport per a MPTCP quan s'activa a través d'un sòcol, suport inicial per a la construcció amb la biblioteca Musl C. updatectl utilitat per gestionar la instal·lació d'actualitzacions mitjançant systemd-sysupdate, la capacitat de llançar serveis en espais de noms PID separats, protecció contra l'eliminació accidental de fitxers quan s'utilitza "systemd-tmpfiles —purge".

Entre els canvis a la nova versió:

  • S'ha afegit una nova utilitat, systemd-sbsign, per signar digitalment fitxers executables en el format PE (Portable Executable) pensat per utilitzar-se en arrencar en mode d'arrencada segura EFI. Els motors i proveïdors proporcionats per la biblioteca OpenSSL es poden utilitzar per a la generació de signatures. systemd-sbsign es pot utilitzar com a alternativa a les aplicacions sbsigntool i pesign a la utilitat ukify en generar imatges de nucli universal (UKI), que combinen un carregador d'arrencada UEFI (stub d'arrencada UEFI) i una imatge del nucli en un sol fitxer. Linux i l'entorn del sistema initrd carregat a la memòria.
  • S'ha afegit una nova utilitat, systemd-keyutil, que implementa diverses operacions en claus privades i certificats X.509. Per exemple, systemd-keyutil es pot utilitzar per provar la capacitat de carregar claus privades i certificats, i extreure'n claus públiques en format PEM.
  • A les unitats ".socket" utilitzades per garantir el funcionament del mecanisme d'activació del socket (inici de processos quan s'intenta establir una connexió de xarxa), s'implementa suport per a MPTCP (Multipath TCP), una extensió del protocol TCP per organitzar el funcionament d'una connexió TCP amb el lliurament de paquets simultàniament al llarg de diverses rutes a través de diferents interfícies de xarxa vinculades a diferents... La meva adreça IP.
  • Inclou els canvis necessaris per construir amb la biblioteca estàndard Musl C.
  • Diversos components de systemd que mostren indicadors de progrés (per exemple, systemd-repart, systemd-sysupdate/updatectl i importctl) ara admeten l'ús de seqüències ANSI per animar les visualitzacions de progrés. Actualment, aquestes seqüències només són compatibles amb Windows Terminal (s'espera que amb el temps una característica similar es transfereixi als emuladors de terminal per a Linux).
  • S'han ampliat les capacitats del component systemd-sysupdate, que s'utilitzen per detectar, descarregar i instal·lar actualitzacions automàticament mitjançant un mecanisme atòmic per substituir particions, fitxers o directoris (s'utilitzen dues particions/fitxers/directoris independents, un dels quals conté el funcionament actual). i l'altre instal·la l'actualització següent), després de la qual s'intercanvien les seccions/fitxers/directoris). A la pràctica, systemd-sysupdate ja s'utilitza al sistema operatiu GNOME.

    A més del procés systemd-sysupdate, s'ha afegit un servei del mateix nom que permet utilitzar D-Bus per gestionar les actualitzacions del sistema per part d'un usuari sense privilegis. Per gestionar el servei, també s'inclou una nova utilitat updatectl. S'ha afegit la marca "--offline" a systemd-sysupdate per desactivar la descàrrega de metadades a la xarxa i utilitzar només les versions ja descarregades al sistema local. S'ha afegit suport per a la sortida en format JSON per a totes les ordres.

  • S'ha implementat una nova propietat "PrivatePIDs" per als serveis, amb la qual podeu organitzar el llançament de processos amb PID 1 (procés d'inici) en un espai d'identificador de procés separat (espai de noms PID). A l'entorn creat per al procés llançat, només seran visibles els processos de l'espai de noms creat per a aquest.
  • S'ha afegit suport per a coincidències que no distingeixen entre majúscules i minúscules a les regles d'udev (p. ex., 'ATTR{foo}==i»abcd»'). Amb udev, és possible proporcionar als usuaris locals sense privilegis accés ("uaccess") al dispositiu /dev/udmabuf, que és necessari per treballar amb càmeres IPMI mitjançant libcamera. udev proporciona el reconeixement de diversos moneders criptogràfics de maquinari amb una interfície USB i estableix la propietat ID_HARDWARE_WALLET per a ells, que us permet aplicar-hi el mode "uaccess" per accedir-hi per usuaris sense privilegis.
  • S'han afegit camps nous RELEASE_TYPE, EXPERIMENT i EXPERIMENT_URL al fitxer /etc/os-release. "RELEASE_TYPE" pot prendre els valors "experimental", "desenvolupament", "estable" i "lts" per separar les versions estables de les compilacions de desenvolupament i experimentals. Els paràmetres EXPERIMENT i EXPERIMENT_URL estan pensats per explicar l'essència de la compilació experimental.
  • La utilitat run0, desenvolupada com a reemplaçament del programa sudo, ha afegit l'opció "--shell-prompt-prefix", que especifica la cadena de prefix per al indicador de l'intèrpret d'ordres. De manera predeterminada, l'emoji "🦸" es mostra com a prefix per ressaltar visualment una sessió elevada.
  • Als systemd-tmpfiles, per evitar la supressió accidental dels fitxers equivocats, l'opció "--purge" ara només s'aplica a les configuracions de tmpfiles.d/ que tenen el senyalador "$" establert explícitament. L'operació "--purge" també requereix ara especificar almenys un fitxer del directori tmpfiles.d/. Per a les cadenes amb el tipus 'L', s'ha afegit el senyalador '?', quan s'especifiqui, només es crearà un enllaç simbòlic si existeix el fitxer de destinació.
  • Al gestor de serveis i a les utilitats relacionades, el codi de seguiment del procés es continua convertint per utilitzar PIDFD en lloc de PID. Un PIDFD s'associa a un procés específic i no canvia, mentre que un PID es pot associar a un altre procés després que finalitzi el procés actual associat amb aquest PID.
  • Per als serveis, ara és possible especificar el valor "debug" al paràmetre "RestartMode", en el qual el servei fallat es reiniciarà amb el mode de depuració habilitat (la variable d'entorn DEBUG_INVOCATION=1 està establerta) i el valor LogLevelMax serà augmentat temporalment al nivell de depuració.
  • El controlador PID 1 té la capacitat de carregar regles per al mòdul LSM IPE (Integrity Policy Enforcement), que defineixen la política d'integritat per a tot el sistema (quines operacions es permeten i com s'ha de verificar l'autenticitat dels components).
  • S'ha afegit l'opció "DeferReactivation" als fitxers de la unitat ".timer", que permet saltar la propera activació del temporitzador si el servei encara no ha finalitzat la seva execució des de l'última activació.
  • Al paràmetre del fitxer d'unitat d'Usuaris Privats, ara és possible especificar el valor d'"identitat" per habilitar l'assignació d'ID d'usuari quan es crea un espai de noms d'usuari.
  • S'ha afegit suport per al valor "desconnectat" al paràmetre del fitxer d'unitat PrivateTmp, que utilitzarà instàncies tmpfs separades per als directoris /tmp/ i /var/tmp/.
  • S'ha afegit suport per als nous modes "privat" i "estricte" al paràmetre de fitxer d'unitat de ProtectControlGroups, quan s'estableix, es crea un nou espai de noms cgroup per al servei i es munta cgroupfs. Quan s'estableix l'opció "estricta", cgroupfs es munta en mode de només lectura.
  • Els paràmetres StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory i ConfigurationDirectory ofereixen la possibilitat d'utilitzar el senyalador ':ro' per restringir l'accés als directoris corresponents al mode de només lectura.
  • S'ha afegit suport per al valor "firmware" al paràmetre de línia d'ordres del nucli "systemd.machine_id", en el qual l'identificador del sistema (ID de la màquina) es calcularà a partir de l'UUID de SMBIOS/DeviceTree.
  • S'ha afegit compatibilitat amb les crides de sistema mseal(), listmount() i statmount() introduïdes en versions recents del nucli. Linux.
  • Les utilitats resolvectl, timedatectl i systemd-inhibit ara admeten l'autorització interactiva mitjançant Polkit.
  • S'ha afegit la possibilitat d'utilitzar la marca "--now" a l'ordre "reenable" a la utilitat systemctl.
  • S'ha afegit l'opció "--json" a la utilitat systemd-mount per a la sortida en format JSON (per exemple, quan s'especifica juntament amb "--list-devices", s'emetrà una llista de dispositius en format JSON).
  • S'han afegit opcions "-l" i "--full" a la utilitat "localectl" per desactivar la retallada de línies llargues durant la sortida.
  • S'ha afegit l'opció HibernateOnACPower a sleep.conf, que us permet retardar el canvi al mode de repòs fins que el dispositiu es desconnecti de la font d'alimentació estacionària.
  • A systemd-sysusers, s'ha afegit suport per al modificador "!" a les línies "u", amb el qual podeu crear comptes d'usuari completament bloquejats (anteriorment, s'utilitzava una contrasenya incorrecta per bloquejar un usuari, que, per exemple, no va provocar el bloqueig durant l'autenticació de clau a SSH).
  • Systemd-coredump afegeix una opció "EnterNamespace" que permet accedir a l'espai del punt de muntatge de qualsevol procés bloquejat per obtenir els seus símbols de depuració. A la pràctica, l'opció pot ser útil per organitzar el seguiment dels fitxers bàsics d'aplicacions que s'executen en contenidors aïllats.
  • systemd-logind inclou el processament de la combinació Ctrl-Alt-Shift-Esc per enviar el senyal org.freedesktop.login1.SecureAttentionKey als components de l'entorn d'usuari amb una sol·licitud per mostrar un diàleg d'inici de sessió segur. S'ha implementat la configuració "DesignatedMaintenanceTime" per programar automàticament el treball per completar a una hora especificada. Per analogia amb el suport per a dispositius DRM i evdev, s'ha afegit suport per configurar l'accés per a usuaris sense privilegis per ocultar dispositius (controladors de joc i joysticks).
  • systemd-machined ara admet inicis de sessió de clients sense privilegis. màquines virtuals i contenidors. L'accés a la funcionalitat systemd-machined es proporciona a través de l'API de Varlink, a més de D-Bus.
  • S'ha afegit una nova secció "[IPv6AddressLabel]" al fitxer de configuració networkd.conf per configurar etiquetes i prefixos per a adreces IPv6
  • S'ha afegit l'opció "--stdin" a l'ordre "networkctl edit" per obtenir el contingut del fitxer del flux estàndard. S'ha afegit suport per editar i mostrar fitxers .netdev especificant una interfície de xarxa a les ordres "networkctl edit" i "networkctl cat". S'ha afegit l'opció "--no-ask-password" per desactivar l'autorització interactiva.
  • S'ha afegit una opció "--certificate-source" a les utilitats ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart i systemd-sbsign per carregar un certificat X.509 a través del proveïdor OpenSSL en lloc de carregar directament des d'un fitxer.
  • systemd-boot afegeix la possibilitat d'utilitzar els botons de volum per moure's cap amunt i cap avall pel menú d'arrencada, cosa que pot ser útil en dispositius com ara telèfons intel·ligents. S'ha afegit suport per instal·lar la base de dades d'arrencada segura UEFI en format ESL (db/dbx/…) per a systemd-boot a la utilitat bootctl.
  • S'ha afegit l'opció "--list-invocation" a journalctl per mostrar una llista de trucades a unitats i l'opció "--invocation" ("-I") per mostrar els registres associats només a una trucada específica.
  • systemd-nspawn afegeix suport per a l'ús sense privilegis de FUSE (Filesystem in Userspace) als contenidors. Quan s'utilitza l'opció "--bind-user", les claus SSH de l'usuari necessàries per accedir mitjançant SSH es reenvien al contenidor.
  • libsystemd ha afegit una nova interfície de programació "sd-json" que utilitza el format JSON, així com una interfície "sd-varlink" que utilitza IPC Varlink.
  • La versió del nucli base recomanada s'ha actualitzat a la versió 5.4, formada el 2019. L'any vinent tenen previst deixar de donar suport als nuclis més antics i marcar la versió 5.4 com la versió base mínima compatible.
  • El suport per a cgroups v1 ha quedat obsolet i està desactivat per defecte (per activar-lo, heu d'especificar SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 a la línia d'ordres del nucli a més d'habilitar-lo a la configuració del sistema). La propera versió de systemd 258 té previst eliminar completament el codi relacionat amb cgroups v1. La versió 258 de Systemd també està programada per eliminar el suport per als scripts de servei de System V.

Font: opennet.ru

Compreu allotjament fiable per a llocs amb protecció DDoS, servidors VPS VDS 🔥 Compra allotjament web fiable amb protecció DDoS, servidors VPS VDS | ProHoster