ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Ang systemd system manager nagpagawas sa 248

Ang systemd system manager nagpagawas sa 248

Pagkahuman sa upat ka bulan nga pag-uswag, gipresentar ang pagpagawas sa system manager systemd 248. Ang bag-ong pagpagawas naghatag suporta alang sa mga imahe alang sa pagpalapad sa mga direktoryo sa sistema, ang /etc/veritytab configuration file, ang systemd-cryptenroll utility, pag-unlock sa LUKS2 gamit ang TPM2 chips ug FIDO2 mga token, nagdagan nga mga yunit sa usa ka nahilit nga wanang sa pagkilala sa IPC, protocol sa BATMAN alang sa mga mesh network, backend sa nftable alang sa systemd-nspawn. Ang Systemd-oomd na-stabilize.

Panguna nga mga pagbag-o:

  • Ang konsepto sa System Extension nga mga hulagway gipatuman, nga mahimong gamiton sa pagpalapad sa hierarchy sa /usr/ ug /opt/ directory, ug pagdugang og dugang nga mga file sa runtime, bisan pa kon ang mga espesipikong mga direktoryo gi-mount read-only. Kung ang usa ka imahe sa extension sa sistema gi-mount, ang mga sulud niini gisapawan sa /usr/ ug /opt/ hierarchy gamit ang OverlayFS.

    Usa ka bag-ong utility, systemd-sysext, gisugyot nga magkonektar, magdiskonekta, magtan-aw ug mag-update sa mga imahe sa mga extension sa sistema. Aron awtomatiko nga makonektar ang na-install nga mga imahe sa panahon sa boot, ang serbisyo sa systemd-sysext.service gidugang. Gidugang ang "SYSEXT_LEVEL=" parameter sa os-release file aron matino ang lebel sa gisuportahan nga mga extension sa sistema.

  • Para sa mga unit, gipatuman ang ExtensionImages setting, nga magamit sa pag-link sa mga imahe sa extension sa system ngadto sa FS namespace hierarchy sa indibidwal nga nahilain nga mga serbisyo.
  • Gidugang ang /etc/veritytab configuration file aron ma-configure ang data verification sa block level gamit ang dm-verity module. Ang format sa file susama sa /etc/crypttab - "section_name device_for_data device_for_hashes check_hash_root options." Gidugang ang systemd.verity.root_options kernel command line nga opsyon aron ma-configure ang dm-verity nga kinaiya alang sa root device.
  • Ang systemd-cryptsetup nagdugang sa abilidad sa pagkuha sa PKCS#11 token URI ug naka-encrypt nga yawe gikan sa LUKS2 metadata header sa JSON nga format, nga nagtugot sa impormasyon mahitungod sa pag-abli sa usa ka encrypted device nga i-integrate ngadto sa device mismo nga walay pag-apil sa external files.
  • Ang systemd-cryptsetup naghatag og suporta alang sa pag-abli sa LUKS2 nga naka-encrypt nga mga partisyon gamit ang TPM2 chips ug FIDO2 token, dugang sa gisuportahan kaniadto nga PKCS#11 token. Ang pagkarga sa libfido2 gihimo pinaagi sa dlopen(), i.e. ang pagkaanaa gisusi dayon, imbes nga usa ka lig-on nga koneksyon.
  • Ang mga bag-ong opsyon nga "no-write-workqueue" ug "no-read-workqueue" gidugang sa /etc/crypttab para sa systemd-cryptsetup aron mahimo ang synchronous nga pagproseso sa I/O nga nalangkit sa encryption ug decryption.
  • Ang systemd-repart utility nakadugang sa abilidad sa pag-activate sa mga naka-encrypt nga partisyon gamit ang TPM2 chips, pananglitan, sa paghimo og encrypted /var partition sa unang boot.
  • Ang systemd-cryptenroll utility gidugang aron mabugkos ang TPM2, FIDO2 ug PKCS#11 nga mga token sa mga partisyon sa LUKS, ingon man sa pag-unpin ug pagtan-aw sa mga token, pagbugkos sa mga ekstrang yawe ug pagtakda og password alang sa pag-access.
  • Gidugang ang PrivateIPC parameter, nga nagtugot kanimo sa pag-configure sa unit file sa pagpadagan sa mga proseso sa usa ka nahilit nga IPC nga luna nga adunay ilang kaugalingong mga identifier ug mensahe nga pila. Aron makonektar ang usa ka yunit sa usa ka nahimo na nga IPC identifier space, ang IPCNamespacePath nga kapilian gisugyot.
  • Gidugang ang mga setting sa ExecPaths ug NoExecPaths aron tugotan ang noexec nga bandila nga magamit sa piho nga mga bahin sa file system.
  • Ang systemd-networkd nagdugang suporta alang sa BATMAN (Better Approach To Mobile Adhoc Networking) mesh protocol, nga nagtugot sa paghimo sa mga desentralisadong network diin ang matag node konektado pinaagi sa silingang mga node. Para sa configuration, ang [BatmanAdvanced] nga seksyon sa .netdev, ang BatmanAdvanced nga parameter sa .network files, ug usa ka bag-ong device type nga β€œbatadv” ang gisugyot.
  • Ang pagpatuman sa sayo nga mekanismo sa pagtubag alang sa ubos nga memorya sa systemd-oomd nga sistema gipalig-on. Gidugang ang DefaultMemoryPressureDurationSec nga kapilian aron ma-configure ang oras sa paghulat alang sa usa ka kapanguhaan nga ipagawas sa dili pa makaapekto sa usa ka yunit. Gigamit sa Systemd-oomd ang kernel subsystem sa PSI (Pressure Stall Information) ug gitugotan ka nga makit-an ang pagsugod sa mga paglangan tungod sa kakulang sa mga kapanguhaan ug pilion nga tapuson ang mga proseso nga kusog sa kapanguhaan sa usa ka yugto kung ang sistema wala pa sa kritikal nga kahimtang ug wala. magsugod sa intensive trim sa cache ug ibalhin ang data ngadto sa swap partition.
  • Gidugang ang kernel command line parameter "root = tmpfs", nga nagtugot kanimo sa pag-mount sa root partition sa temporaryo nga storage nga nahimutang sa RAM gamit ang Tmpfs.
  • Ang /etc/crypttab nga parametro nga nagtino sa yawe nga payl mahimo nang makatudlo sa AF_UNIX ug SOCK_STREAM nga mga tipo sa socket. Sa kini nga kaso, ang yawe kinahanglan ihatag kung magkonektar sa socket, nga, pananglitan, mahimong magamit sa paghimo sa mga serbisyo nga dinamikong nag-isyu sa mga yawe.
  • Ang fallback hostname nga gamiton sa system manager ug systemd-hostnamed mahimo na nga itakda sa duha ka paagi: pinaagi sa DEFAULT_HOSTNAME parameter sa os-release ug pinaagi sa $SYSTEMD_DEFAULT_HOSTNAME environment variable. Ang systemd-hostnamed nagdumala usab sa "localhost" sa hostname ug nagdugang sa abilidad sa pag-eksport sa hostname ingon man ang "HardwareVendor" ug "HardwareModel" nga mga kabtangan pinaagi sa DBus.
  • Ang block nga adunay gibutyag nga mga variable sa palibot mahimo nang ma-configure pinaagi sa bag-ong ManagerEnvironment nga opsyon sa system.conf o user.conf, ug dili lamang pinaagi sa kernel command line ug unit file settings.
  • Sa oras sa pag-compile, posible nga gamiton ang tawag sa sistema sa fexecve () aron magsugod sa mga proseso imbis nga execve () aron makunhuran ang paglangan tali sa pagsusi sa konteksto sa seguridad ug paggamit niini.
  • Para sa mga file sa unit, ang bag-ong conditional operations ConditionSecurity=tpm2 ug ConditionCPUFeature gidugang aron masusi ang presensya sa TPM2 device ug indibidwal nga kapabilidad sa CPU (pananglitan, ConditionCPUFeature=rdrand mahimong gamiton aron masusi kung gisuportahan ba sa processor ang operasyon sa RDRAND).
  • Alang sa magamit nga mga kernel, ang awtomatik nga paghimo sa mga lamesa sa tawag sa sistema alang sa mga filter sa seccom gipatuman.
  • Gidugang ang abilidad sa pag-ilis sa bag-ong bind mounts ngadto sa kasamtangan nga mount namespaces sa mga serbisyo, nga walay pagsugod pag-usab sa mga serbisyo. Ang pagpuli gihimo gamit ang mga sugo nga 'systemctl bind ...' ug 'systemctl mount-image …'.
  • Gidugang nga suporta alang sa pagtino sa mga agianan sa StandardOutput ug StandardError nga mga setting sa porma nga "truncate: Β» alang sa paglimpyo sa dili pa gamiton.
  • Gidugang ang abilidad sa pag-establisar og koneksyon sa usa ka piho nga sesyon sa user sulod sa usa ka lokal nga sudlanan ngadto sa sd-bus. Pananglitan "systemctl -user -M lennart@ start quux".
  • Ang mosunod nga mga parameter gipatuman sa systemd.link files sa [Link] nga seksyon:
    • Promiscuous - nagtugot kanimo sa pagbalhin sa device ngadto sa "promiscuous" mode aron maproseso ang tanang network packets, lakip kadtong wala gitumong sa kasamtangan nga sistema;
    • TransmitQueues ug ReceiveQueues para sa pagtakda sa gidaghanon sa TX ug RX queues;
    • TransmitQueueLength aron itakda ang TX queue size; GenericSegmentOffloadMaxBytes ug GenericSegmentOffloadMaxSegment para sa pagtakda og mga limitasyon sa paggamit sa GRO (Generic Receive Offload) nga teknolohiya.
  • Bag-ong mga setting ang gidugang sa systemd.network files:
    • [Network] RouteTable para makapili ug routing table;
    • [RoutingPolicyRule] Type para sa routing type ("blackhole, "unreachable", "pagdili");
    • [IPv6AcceptRA] RouteDenyList ug RouteAllowList alang sa mga lista sa gitugotan ug gibalibaran nga mga advertisement sa ruta;
    • [DHCPv6] Gamita ang mgaAdres aron ibaliwala ang adres nga gi-isyu sa DHCP;
    • [DHCPv6PrefixDelegation] ManageTemporaryAddress;
    • ActivationPolicy aron ipasabot ang polisiya bahin sa kalihokan sa interface (kanunay ibutang sa UP o DOWN nga estado o tugotan ang user sa pag-usab sa mga estado gamit ang "ip link set dev" nga sugo).
  • Gidugang ang [VLAN] Protocol, IngressQOSMaps, EgressQOSMaps, ug [MACVLAN] BroadcastMulticastQueueLength nga mga kapilian sa systemd.netdev files aron ma-configure ang VLAN packet processing.
  • Gihunong ang pag-mount sa / dev / direktoryo sa noexec mode tungod kay kini nagpahinabog panagsumpaki kung gigamit ang executable nga bandila nga adunay / dev / sgx nga mga file. Aron ibalik ang daan nga pamatasan, mahimo nimong gamiton ang setting sa NoExecPaths=/dev.
  • Ang permiso sa / dev/vsock file giusab ngadto sa 0o666, ug ang / dev/vhost-vsock ug / dev/vhost-net nga mga file gibalhin sa kvm group.
  • Ang database sa hardware ID gipalapdan sa USB fingerprint readers nga hustong nagsuporta sa sleep mode.
  • systemd-resolved dugang nga suporta alang sa pag-isyu sa mga tubag sa DNSSEC nga mga pangutana pinaagi sa usa ka stub solver. Ang lokal nga mga kliyente makahimo sa pag-validate sa DNSSEC sa ilang kaugalingon, samtang ang mga eksternal nga kliyente gi-proxy nga wala mausab sa ginikanan nga DNS server.
  • Gidugang ang opsyon sa CacheFromLocalhost ngadto sa resolved.conf, kung itakda, ang systemd-resolved mogamit ug caching bisan sa mga tawag sa DNS server sa 127.0.0.1 (sa default, ang caching sa maong mga hangyo dili na ma-disable para malikayan ang double caching).
  • systemd-resolved nagdugang suporta alang sa RFC-5001 NSIDs sa lokal nga DNS resolver, nga nagtugot sa mga kliyente sa paglainlain tali sa mga interaksyon sa lokal nga solver ug sa laing DNS server.
  • Ang solvectl utility nagpatuman sa abilidad sa pagpakita sa impormasyon mahitungod sa tinubdan sa data (lokal nga cache, network hangyo, lokal nga processor tubag) ug ang paggamit sa encryption sa diha nga ang pagpadala data. Ang mga kapilian --cache, --synthesize, --network, --zone, --trust-anchor, ug --validate gihatag aron makontrol ang proseso sa pagtino sa ngalan.
  • Ang systemd-nspawn nagdugang suporta alang sa pag-configure sa usa ka firewall gamit ang nftables dugang sa naglungtad nga suporta sa iptables. Ang IPMasquerade setup sa systemd-networkd nakadugang sa abilidad sa paggamit sa nftables-based backend.
  • systemd-localed dugang nga suporta alang sa pagtawag sa locale-gen aron makamugna ang nawala nga mga lokal.
  • Ang mga opsyon --pager/-no-pager/-json= gidugang sa lain-laing mga utilities aron ma-enable/disable ang paging mode ug output sa JSON format. Gidugang ang abilidad sa pagtakda sa gidaghanon sa mga kolor nga gigamit sa terminal pinaagi sa SYSTEMD_COLORS environment variable (β€œ16” o β€œ256”).
  • Ang pagtukod nga adunay lahi nga mga hierarchy sa direktoryo (split / ug / usr) ug suporta sa cgroup v1 wala na gigamit.
  • Ang master branch sa Git giilisan og ngalan gikan sa 'master' ngadto sa 'main'.

Source: opennet.ru

Idugang sa usa ka comment