ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Pagpagawas sa systemd system manager 252 nga adunay suporta sa UKI (Unified Kernel Image).

Pagpagawas sa systemd system manager 252 nga adunay suporta sa UKI (Unified Kernel Image).

Pagkahuman sa lima ka bulan nga pag-uswag, gipresentar ang pagpagawas sa system manager systemd 252. Ang hinungdan nga pagbag-o sa bag-ong bersyon mao ang paghiusa sa suporta alang sa usa ka moderno nga proseso sa boot, nga nagtugot kanimo sa pag-verify dili lamang sa kernel ug bootloader, apan usab mga sangkap. sa batakang sistema sa palibot gamit ang digital nga mga pirma.

Ang gisugyot nga pamaagi naglakip sa paggamit sa usa ka unified kernel image UKI (Unified Kernel Image) sa diha nga loading, nga naghiusa sa usa ka handler alang sa loading sa kernel gikan sa UEFI (UEFI boot stub), usa ka Linux kernel image ug ang initrd system environment nga gikarga sa memorya, gigamit. alang sa inisyal nga pagsugod sa yugto sa wala pa i-mount ang gamut nga FS. Ang imahe sa UKI giputos isip usa ka executable file sa PE format, nga mahimong i-load gamit ang tradisyonal nga mga bootloader o tawagan direkta gikan sa UEFI firmware. Kung gitawag gikan sa UEFI, posible nga mapamatud-an ang integridad ug kasaligan sa digital nga pirma dili lamang sa kernel, kondili usab sa sulod sa initrd.

Aron makalkulo ang mga parameter sa TPM PCR (Trusted Platform Module Platform Configuration Register) nga mga rehistro nga gigamit sa pagmonitor sa integridad ug pagmugna og digital signature sa UKI image, gilakip ang bag-ong utility systemd-measure. Ang publiko nga yawe ug ang nag-uban nga PCR nga impormasyon nga gigamit sa pirma mahimong i-embed direkta sa UKI boot image (ang yawe ug pirma gitipigan sa PE file sa '.pcrsig' ug '.pcrkey' nga mga field) ug makuha gikan niini pinaagi sa external o internal nga mga utilities.

Sa partikular, ang systemd-cryptsetup, systemd-cryptenroll ug systemd-creds utilities gipahiangay aron magamit kini nga kasayuran, diin imong masiguro nga ang mga naka-encrypt nga partisyon sa disk gigapos sa usa ka gipirmahan nga digital nga kernel (sa kini nga kaso, pag-access sa naka-encrypt nga partisyon. gihatag lamang kung ang imahe sa UKI nakapasar sa pag-verify pinaagi sa digital nga pirma base sa mga parameter nga nahimutang sa TPM).

Dugang pa, gilakip ang systemd-pcrphase utility, nga nagtugot kanimo nga makontrol ang pagbugkos sa lainlaing mga yugto sa boot sa mga parameter nga nahimutang sa panumduman sa mga cryptoprocessors nga nagsuporta sa detalye sa TPM 2.0 (pananglitan, mahimo nimong magamit ang LUKS2 partition decryption key nga magamit lamang sa ang initrd nga imahe ug i-block ang pag-access niini sa ulahi nga mga yugto sa pag-download).

Ang ubang mga pagbag-o:

  • Siguruha nga ang default nga lokal mao ang C.UTF-8 gawas kung ang usa ka lahi nga lokal nga gitakda sa mga setting.
  • Posible na karon ang paghimo sa usa ka kompleto nga operasyon preset nga serbisyo ("systemctl preset") sa panahon sa unang boot. Ang pagpagana sa mga preset sa oras sa pag-boot nanginahanglan sa pagtukod gamit ang "-Dfirst-boot-full-preset" nga kapilian, apan giplanohan nga mahimo pinaagi sa default sa umaabot nga mga pagpagawas.
  • Ang mga yunit sa pagdumala sa tiggamit naglakip sa usa ka CPU resource controller, nga nagpaposible sa pagsiguro nga ang mga setting sa CPUWeight magamit sa tanang slice units nga gigamit sa pagbahin sa sistema ngadto sa mga bahin (app.slice, background.slice, session.slice) aron ihimulag ang mga kapanguhaan tali sa lain-laing mga serbisyo sa tiggamit, nakigkompetensya alang sa mga kapanguhaan sa CPU. Gisuportahan usab sa CPUWeight ang "idle" nga kantidad aron maaktibo ang angay nga mode sa paghatag sa kapanguhaan.
  • Sa temporaryo ("transient") nga mga yunit ug sa systemd-repart utility, ang pag-overriding sa mga setting gitugotan pinaagi sa pagmugna og drop-in files sa /etc/systemd/system/name.d/ directory.
  • Alang sa mga imahe sa sistema, ang bandila nga natapos sa suporta gitakda, nagtino niini nga kamatuoran base sa kantidad sa bag-ong parameter nga "SUPPORT_END =" sa /etc/os-release file.
  • Gidugang ang "ConditionCredential =" ug "AssertCredential =" nga mga setting, nga magamit sa pagbaliwala o pag-crash sa mga unit kung ang pipila ka mga kredensyal wala sa sistema.
  • Gidugang ang "DefaultSmackProcessLabel=" ug "DefaultDeviceTimeoutSec=" settings sa system.conf ug user.conf aron itakda ang default nga lebel sa seguridad sa SMACK ug timeout sa pagpaaktibo sa unit.
  • Sa mga setting sa "ConditionFirmware =" ug "AssertFirmware =", ang abilidad sa pagtino sa indibidwal nga mga umahan sa SMBIOS gidugang, pananglitan, sa paglansad sa usa ka yunit kung ang field nga /sys/class/dmi/id/board_name adunay kantidad nga "Custom. Board", mahimo nimong ipiho ang "ConditionFirmware=smbios" -field(board_name = "Custom Board").
  • Atol sa proseso sa initialization (PID 1), ang abilidad sa pag-import sa mga kredensyal gikan sa SMBIOS fields (Type 11, β€œOEM vendor strings”) gidugang agig dugang sa ilang kahulugan pinaagi sa qemu_fwcfg, nga nagpasayon ​​sa paghatag sa mga kredensyal sa mga virtual machine ug nagwagtang sa kinahanglan alang sa mga himan sa ikatulo nga partido sama sa cloud -init ug ignition.
  • Atol sa pagsira, ang lohika sa pag-unmount sa mga virtual file system (proc, sys) nausab ug ang impormasyon bahin sa mga proseso nga nag-ali sa pag-unmount sa mga file system gitipigan sa log.
  • Ang filter sa tawag sa sistema (SystemCallFilter) nagtugot sa pag-access sa riscv_flush_icache nga tawag sa sistema pinaagi sa default.
  • Ang sd-boot bootloader nagdugang sa abilidad sa pag-boot sa mixed mode, diin ang 64-bit Linux kernel midagan gikan sa 32-bit UEFI firmware. Gidugang ang abilidad sa eksperimento aron awtomatiko nga magamit ang mga yawe sa SecureBoot gikan sa mga file nga nakit-an sa ESP (EFI system partition).
  • Ang mga bag-ong kapilian gidugang sa bootctl utility: "β€”all-architectures" alang sa pag-install sa mga binary para sa tanan nga gisuportahan nga mga arkitektura sa EFI, "-root=" ug "-image=" alang sa pagtrabaho sa usa ka direktoryo o imahe sa disk, "-install-source. =" alang sa pagtino sa tinubdan alang sa pag-instalar, "-efi-boot-option-description=" aron makontrol ang mga ngalan sa pagsulod sa boot.
  • Ang 'list-automounts' nga sugo gidugang sa systemctl utility aron ipakita ang usa ka lista sa awtomatik nga gi-mount nga mga direktoryo ug ang "--image=" nga kapilian sa pagpatuman sa mga sugo nga may kalabotan sa gipiho nga disk image. Gidugang ang "--state =" ug "--type =" nga mga opsyon sa 'show' ug 'status' nga mga sugo.
  • Ang systemd-networkd gidugang nga mga kapilian "TCPCongestionControlAlgorithm =" aron mapili ang TCP congestion control algorithm, "KeepFileDescriptor =" aron i-save ang file descriptor sa TUN / TAP interfaces, "NetLabel=" to set NetLabels, "RapidCommit=" to speed up configuration via DHCPv6 (RFC 3315). Ang parameter nga "RouteTable =" nagtugot sa pagtino sa mga ngalan sa mga routing tables.
  • Gitugotan sa systemd-nspawn ang paggamit sa mga relatibong agianan sa file sa mga kapilian nga "--bind=" ug "--overlay=". Gidugang nga suporta alang sa parameter nga 'rootidmap' sa opsyon nga "--bind=" aron ihigot ang root user ID sa sudlanan ngadto sa tag-iya sa gi-mount nga direktoryo sa host side.
  • Ang systemd-resolved naggamit sa OpenSSL isip backend sa pag-encrypt niini pinaagi sa default (ang suporta sa gnutls gipabilin isip opsyon). Ang dili suportadong mga DNSSEC algorithm karon giisip nga dili luwas imbes nga magbalik og sayup (SERVFAIL).
  • Ang systemd-sysusers, systemd-tmpfiles ug systemd-sysctl nagpatuman sa abilidad sa pagbalhin sa mga setting pinaagi sa mekanismo sa pagtipig sa kredensyal.
  • Gidugang ang 'compare-versions' command sa systemd-analyze utility aron itandi ang mga string sa mga numero sa bersyon (sama sa 'rpmdev-vercmp' ug 'dpkg --compare-versions'). Gidugang ang abilidad sa pagsala sa mga yunit pinaagi sa maskara sa 'systemd-analyze dump' nga sugo.
  • Kung nagpili usa ka multi-stage sleep mode (suspinde-unya-hibernate), ang oras nga gigugol sa standby mode gipili karon base sa forecast sa nahabilin nga kinabuhi sa baterya. Ang dali nga pagbalhin sa mode sa pagkatulog mahitabo kung wala’y 5% ang nahabilin nga bayad sa baterya.
  • Usa ka bag-ong output mode "-o short-delta" ang gidugang sa 'journalctl', nga nagpakita sa kalainan sa oras tali sa lain-laing mga mensahe sa log.
  • Ang systemd-repart nagdugang suporta alang sa paghimo og mga partisyon nga adunay Squashfs file system ug mga partisyon alang sa dm-verity, lakip ang mga digital nga pirma.
  • Gidugang ang "StopIdleSessionSec=" setting sa systemd-logind aron tapuson ang usa ka dili aktibo nga sesyon pagkahuman sa usa ka piho nga oras.
  • Ang Systemd-cryptenroll midugang ug "--unlock-key-file=" nga opsyon para makuha ang decryption key gikan sa file imbes nga aghaton ang user.
  • Posible na karon nga ipadagan ang systemd-growfs utility sa mga palibot nga wala’y udev.
  • Ang systemd-backlight nagpauswag sa suporta alang sa mga sistema nga adunay daghang mga graphic card.
  • Ang lisensya alang sa mga pananglitan sa code nga gihatag sa dokumentasyon giusab gikan sa CC0 ngadto sa MIT-0.

Mga pagbag-o nga makaguba sa pagkaangay:

  • Kung susihon ang numero sa bersyon sa kernel gamit ang direktiba sa ConditionKernelVersion, ang usa ka yano nga pagtandi sa kuwerdas gigamit na karon sa '=' ug '!=' nga mga operator, ug kung ang operator sa pagtandi wala gitino, ang glob-mask matching mahimong magamit gamit ang mga karakter '*', '?' Ug '[', ']'. Para itandi ang stverscmp() style versions, gamita ang '<', '>', '<=' ug '>=' operators.
  • Ang SELinux tag nga gigamit sa pagsusi sa pag-access gikan sa usa ka unit file karon gibasa sa panahon nga ang file gikarga, kay sa panahon sa access check.
  • Ang kondisyon nga "ConditionFirstBoot" karon na-trigger sa unang boot sa sistema direkta lang sa boot stage ug mobalik sa "false" sa pagtawag sa mga unit human makompleto ang boot.
  • Sa 2024, ang systemd nagplano sa paghunong sa pagsuporta sa cgroup v1 resource limiting mechanism, nga wala gigamit sa systemd release 248. Gitambagan ang mga administrator nga mag-amping daan sa pagbalhin sa cgroup v2-based nga mga serbisyo ngadto sa cgroup v1. Ang yawe nga kalainan tali sa cgroups v2 ug v1 mao ang paggamit sa usa ka komon nga cgroups hierarchy para sa tanang matang sa resources, imbes sa separado nga hierarchy para sa pag-alokar sa CPU resources, para sa pag-regulate sa memory consumption, ug para sa I/O. Ang bulag nga mga hierarchy mosangput sa mga kalisud sa pag-organisar sa interaksyon tali sa mga tigdumala ug sa dugang nga gasto sa kapanguhaan sa kernel kung mag-aplay sa mga lagda alang sa usa ka proseso nga gi-refer sa lainlaing mga hierarchy.
  • Sa ikaduha nga katunga sa 2023, nagplano kami nga tapuson ang suporta alang sa split directory hierarchies, diin ang /usr gi-mount nga gilain gikan sa gamut, o /bin ug /usr/bin, /lib ug /usr/lib gibulag.

Source: opennet.ru

Idugang sa usa ka comment