ProHoster > Blog > nutizie internet > Systemd System Manager versione 250

Systemd System Manager versione 250

Dopu cinque mesi di sviluppu, a liberazione di u gestore di u sistema systemd 250 hè stata presentata A nova liberazione hà introduttu l'abilità di almacenà credenziali in forma criptata, implementatu a verificazione di partizioni GPT rilevate automaticamente cù una firma digitale, infurmazione megliu nantu à e cause di ritardi quandu. servizii di partenza, è aghjunte l'opzioni per limità l'accessu di serviziu à certi sistemi di file è interfacce di rete, supportu per u monitoraghju di l'integrità di partizione cù u modulu dm-integrity hè furnitu, è u supportu per sd-boot auto-update hè aghjuntu.

I cambiamenti principali:

  • Aghjunghje supportu per credenziali criptate è autentificate, chì ponu esse utili per almacenà in modu sicuru materiali sensittivi cum'è e chjave SSL è e password d'accessu. A decriptazione di credenziali hè realizata solu quandu hè necessariu è in cunnessione cù l'installazione o l'equipaggiu lucale. I dati sò criptati automaticamente utilizendu algoritmi di criptografia simmetrica, a chjave per quale pò esse situata in u sistema di fugliale, in u chip TPM2, o cù un schema di cumminazione. Quandu u serviziu principia, i credenziali sò automaticamente decriptati è diventanu dispunibili à u serviziu in a so forma normale. Per travaglià cù credenziali criptate, l'utilità "systemd-creds" hè stata aghjunta, è i paràmetri LoadCredentialEncrypted è SetCredentialEncrypted sò stati pruposti per i servizii.
  • sd-stub, l'eseguibile EFI chì permette à u firmware EFI di carricà u kernel Linux, supporta avà l'iniziu di u kernel utilizendu u protocolu EFI LINUX_EFI_INITRD_MEDIA_GUID. Hè aghjuntu ancu à sd-stub hè a capacità di imballà e credenziali è i schedari sysext in un archiviu cpio è trasferisce stu archiviu à u kernel cù l'initrd (i schedarii supplementari sò posti in u cartulare /.extra/). Questa funzione permette di utilizà un ambiente initrd immutable verificabile, cumplementatu da sysexts è dati d'autentificazione criptati.
  • A specificazione di Partizioni Discoverable hè stata allargata significativamente, furnisce strumenti per identificà, muntà è attivà e partizioni di u sistema cù GPT (GUID Partition Tables). Comparatu à e versioni precedenti, a specificazione sustene avà a partizione radicale è a partizione / usr per a maiò parte di l'architetture, cumprese e plataforme chì ùn utilizanu UEFI.

    Discoverable Partitions aghjunghjenu ancu supportu per e partizioni chì a so integrità hè verificata da u modulu dm-verity usendu PKCS#7 firme digitali, facendu più faciule per creà immagini di discu completamente autentificate. U supportu di verificazione hè integratu in diverse utilità chì manipulanu l'imaghjini di u discu, cumprese systemd-nspawn, systemd-sysext, systemd-dissect, RootImage services, systemd-tmpfiles è systemd-sysusers.

  • Per unità chì piglianu assai tempu per inizià o piantà, in più di vede una barra di prugressu animata, hè pussibule di visualizà l'infurmazioni di statutu chì vi permette di capisce ciò chì succede esattamente cù u serviziu in u mumentu è chì serviziu hè u gestore di u sistema. attualmente in attesa di compie.
  • Aggiuntu u paràmetru DefaultOOMScoreAdjust à /etc/systemd/system.conf è /etc/systemd/user.conf, chì vi permette di aghjustà a soglia OOM-killer per a memoria bassa, applicabile à i prucessi chì systemd principia per u sistema è l'utilizatori. Per automaticamente, u pesu di i servizii di u sistema hè più altu ch'è quellu di i servizii d'utilizatori, i.e. Quandu ci hè memoria insufficiente, a probabilità di terminazione di i servizii di l'utilizatori hè più altu ch'è di quelli di u sistema.
  • Aggiuntu u paràmetru RestrictFileSystems, chì vi permette di limità l'accessu di i servizii à certi tipi di sistemi di schedari. Per vede i tipi di sistemi di schedari dispunibili, pudete aduprà u cumandimu "systemd-analyze filesystems". Per analogia, l'opzione RestrictNetworkInterfaces hè stata implementata, chì permette di limità l'accessu à certe interfacce di rete. L'implementazione hè basatu annantu à u modulu BPF LSM, chì restringe l'accessu di un gruppu di prucessi à l'oggetti di u kernel.
  • Aggiuntu un novu schedariu di cunfigurazione /etc/integritytab è utilità systemd-integritysetup chì cunfigurà u modulu dm-integrity per cuntrullà l'integrità di dati à u livellu di u settore, per esempiu, per guarantiscenu l'immutabilità di dati criptati (Crittografia autenticata, assicura chì un bloccu di dati hà ùn hè statu mudificatu in una manera rotonda). U furmatu di u schedariu /etc/integritytab hè simile à i schedari /etc/crypttab è /etc/veritytab, salvu chì dm-integrity hè utilizatu invece di dm-crypt è dm-verity.
  • Un novu schedariu di unità systemd-boot-update.service hè statu aghjuntu, quandu hè attivatu è u bootloader sd-boot hè stallatu, systemd aghjurnà automaticamente a versione di u bootloader sd-boot, mantenendu u codice di bootloader sempre aggiornatu. sd-boot stessu hè avà custruitu per difettu cù supportu per u mecanismu SBAT (UEFI Secure Boot Advanced Targeting), chì risolve i prublemi cù a revoca di certificatu per UEFI Secure Boot. Inoltre, sd-boot furnisce l'abilità di analizà i paràmetri di boot di Microsoft Windows per generà currettamente i nomi di partizioni di boot cù Windows è vede a versione di Windows.

    sd-boot furnisce ancu a capacità di definisce un schema di culore in u stadiu di creazione. Durante u prucessu di boot, aghjustatu supportu per cambià a risoluzione di u screnu premendu a chjave "r". Aggiuntu hotkey "f" per andà à l'interfaccia di cunfigurazione firmware. Aggiuntu un modu per carica automaticamente u sistema chì currisponde à l'elementu di menu sceltu durante l'ultimu boot. Aggiunta a capacità di carica automaticamente i driver EFI situati in u cartulare /EFI/systemd/drivers/ in a sezione ESP (EFI System Partition).

  • Un novu schedariu di unità factory-reset.target hè inclusu, chì hè trattatu in systemd-logind in modu simili à l'operazioni di reboot, poweroff, suspend and hibernate, è hè utilizatu per creà handlers per fà un reset di fabbrica.
  • U prucessu systemd-risoltu avà crea un socket d'ascolta supplementu à 127.0.0.54 in più di 127.0.0.53. E dumande chì arrivanu à 127.0.0.54 sò sempre redirette à un servitore DNS upstream è ùn sò micca trattati in u locu.
  • Fornite a capacità di custruisce systemd-importd è systemd-resolved cù a libreria OpenSSL invece di libgcrypt.
  • Aggiuntu supportu iniziale per l'architettura LoongArch utilizata in i processori Loongson.
  • systemd-gpt-auto-generator furnisce l'abilità di cunfigurà automaticamente partizioni swap definite da u sistema criptate da u sottosistema LUKS2.
  • U codice di analisi di l'imaghjini GPT utilizatu in systemd-nspawn, systemd-dissect, è utilità simili implementa l'abilità di decodificà l'imaghjini per altre architetture, chì permettenu systemd-nspawn per esse usatu per eseguisce l'imaghjini nantu à emulatori di altre architetture.
  • Quandu inspeccione l'imaghjini di u discu, systemd-dissect mostra avà infurmazione nantu à u scopu di a partizione, cum'è l'adattabilità per l'iniziu via UEFI o in esecuzione in un containeru.
  • U campu "SYSEXT_SCOPE" hè statu aghjuntu à i schedari system-extension.d/, chì vi permette di indicà u scopu di l'imaghjini di u sistema - "initrd", "system" o "portable".
  • Un campu "PORTABLE_PREFIXES" hè statu aghjuntu à u schedariu os-release, chì pò esse usatu in l'imaghjini portatili per determinà i prefissi di l'unità supportati.
  • systemd-logind introduce novi paràmetri HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress è HandleHibernateKeyLongPress, chì ponu esse aduprati per determinà ciò chì succede quandu certi tasti sò tenuti premuti per più di 5 seconde (per esempiu, pressu a chjave pò esse cunfigurata rapidamente in modalità standby). , è quandu si tene premutu, andarà à dorme).
  • Per l'unità, i paràmetri di StartupAllowedCPUs è StartupAllowedMemoryNodes sò stati implementati, chì differenu da paràmetri simili senza u prefissu di Startup in quantu sò applicati solu in u stadiu di boot è shutdown, chì vi permette di stabilisce altre restrizioni di risorse durante u boot.
  • Aggiuntu [Condition|Assert][Memory|CPU|IO]Controlli di pressione chì permettenu l'attivazione di l'unità per esse saltata o falluta se u mecanismu PSI detecta una carica pesante in memoria, CPU è I / O in u sistema.
  • U limitu massimu di inode predeterminatu hè statu aumentatu per a partizione /dev da 64k à 1M, è per a partizione /tmp da 400k à 1M.
  • Un paràmetru ExecSearchPath hè statu prupostu per i servizii, chì permette di cambià a strada per a ricerca di i fugliali eseguibili lanciati attraversu paràmetri cum'è ExecStart.
  • Aghjunghjite l'impostazione RuntimeRandomizedExtraSec, chì permette di intruduce deviazioni aleatorii in u timeout RuntimeMaxSec, chì limita u tempu d'esekzione di una unità.
  • A sintassi di i paràmetri di RuntimeDirectory, StateDirectory, CacheDirectory è LogsDirectory hè stata allargata, in quale, specificando un valore supplementu separatu da un colon, pudete avà urganizà a creazione di un ligame simbolicu à un repertoriu determinatu per urganizà l'accessu in parechje strade.
  • Per i servizii, i paràmetri TTYRows è TTYColumns sò offerti per stabilisce u numeru di fila è colonne in u dispusitivu TTY.
  • Aggiuntu u paràmetru ExitType, chì permette di cambià a logica per determinà a fine di un serviziu. Per automaticamente, systemd monitoreghja solu a morte di u prucessu principale, ma se ExitType=cgroup hè stabilitu, u gestore di u sistema aspittà per l'ultimu prucessu in u cgroup per finisce.
  • L'implementazione di systemd-cryptsetup di u supportu TPM2 / FIDO2 / PKCS11 hè avà ancu custruitu cum'è un plugin cryptsetup, chì permette u cumandamentu cryptsetup normale per esse usatu per sbloccare una partizione criptata.
  • U gestore TPM2 in systemd-cryptsetup / systemd-cryptsetup aghjunghjenu supportu per e chjave primarie RSA in più di e chjavi ECC per migliurà a cumpatibilità cù chips non ECC.
  • L'opzione token-timeout hè stata aghjunta à /etc/crypttab, chì vi permette di definisce u tempu massimu per aspittà per una cunnessione di token PKCS#11/FIDO2, dopu chì vi sarà dumandatu à inserisce una password o chjave di ricuperazione.
  • systemd-timesyncd implementa l'impostazione SaveIntervalSec, chì permette di salvà periodicamente u tempu di u sistema attuale à u discu, per esempiu, per implementà un clock monotonicu in sistemi senza RTC.
  • L'opzioni sò state aghjunte à l'utilità systemd-analyse: "--image" è "--root" per verificà i fugliali di unità in una determinata maghjina o repertoriu radicali, "--recursive-errors" per piglià in contu unità dipendenti quandu un errore. hè rilevatu, "--offline" per verificà separatamente i fugliali unità salvati à u discu, "-json" per a pruduzzioni in formatu JSON, "-quiet" per disattivà i missaghji pocu impurtanti, "-profile" per ligà à un prufilu portable. Hè aghjuntu ancu u cumandamentu inspect-elf per analizà i fugliali core in u formatu ELF è a capacità di verificà i fugliali di unità cù un nome di unità determinata, indipendentemente da se stu nome currisponde à u nome di u schedariu.
  • systemd-networkd hà allargatu u supportu per l'autobus Controller Area Network (CAN). Configurazioni aghjunte per cuntrullà i modi CAN: Loopback, OneShot, PresumeAck è ClassicDataLengthCode. Aghjunghjite TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 è DataSyncJumpWidth opzioni à a sezione di sincronizzazione [CAN] di i fugliali di l'interfaccia CAN.
  • Systemd-networkd hà aghjustatu una opzione Label per u cliente DHCPv4, chì permette di cunfigurà l'etiqueta d'indirizzu utilizata quandu cunfigurà l'indirizzi IPv4.
  • systemd-udevd per "ethtool" implementa u supportu per i valori "max" speciali chì stabiliscenu a dimensione di u buffer à u valore massimu supportatu da u hardware.
  • In i schedarii .link per systemd-udevd pudete avà cunfigurà parechji paràmetri per cumminà l'adattatori di rete è cunnetta i manipulatori di hardware (offload).
  • systemd-networkd offre novi schedarii .network per difettu: 80-container-vb.network per definisce i ponti di rete creati quandu eseguisce systemd-nspawn cù l'opzioni "--network-bridge" o "--network-zone"; 80-6rd-tunnel.network per definisce i tunnel chì sò creati automaticamente quandu riceve una risposta DHCP cù l'opzione 6RD.
  • Systemd-networkd è systemd-udevd anu aghjustatu supportu per l'invio IP nantu à l'interfacce InfiniBand, per quale a sezione "[IPoIB]" hè stata aghjunta à i schedari systemd.netdev, è u trattamentu di u valore "ipoib" hè statu implementatu in u Kind. paràmetru.
  • systemd-networkd furnisce una cunfigurazione automatica di a ruta per l'indirizzi specificati in u paràmetru AllowedIPs, chì pò esse cunfiguratu attraversu i paràmetri RouteTable è RouteMetric in e sezioni [WireGuard] è [WireGuardPeer].
  • systemd-networkd furnisce a generazione automatica di indirizzi MAC non cambianti per l'interfacce batadv è bridge. Per disattivà stu cumpurtamentu, pudete specificà MACAddress = nimu in i schedari .netdev.
  • Un paràmetru di WakeOnLanPassword hè statu aghjuntu à i schedarii .link in a sezione "[Link]" per determinà a password quandu WoL funziona in modu "SecureOn".
  • Added AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO è UserRawPacketSize paràmetri à a sezione "[CAKE]" di i fugliali .network per definisce i paràmetri di u CAKE (Common Applications Keeped Enhanced Management Network). .
  • Aggiuntu un paràmetru IgnoreCarrierLoss à a rùbbrica "[Network]" di i schedari .network, chì vi permette di determinà quantu tempu aspittà prima di reagisce à una perdita di signali traspurtadore.
  • Systemd-nspawn, homectl, machinectl è systemd-run anu allargatu a sintassi di u paràmetru "--setenv" - se solu u nome di variabile hè specificatu (senza "="), u valore serà pigliatu da a variabile di l'ambiente currispondente (per esempiu, quandu si specifica "--setenv=FOO" u valore serà pigliatu da a variabile d'ambiente $FOO è utilizatu in a variabile d'ambiente di u listessu nome stabilitu in u container).
  • systemd-nspawn hà aghjustatu una opzione "--suppress-sync" per disattivà e chjama di u sistema sync()/fsync()/fdatasync() quandu crea un containeru (utile quandu a velocità hè una priorità è a preservazione di l'artefatti di custruzzione in casu di fallimentu ùn hè micca. impurtante, postu ch'elli ponu esse ricreati in ogni mumentu).
  • Una nova basa di dati hwdb hè stata aghjunta, chì include diversi tipi di analizzatori di signali (multimetri, analizatori di protokolli, oscilloscopi, etc.). L'infurmazione nantu à e camere in hwdb hè stata allargata cù un campu cù infurmazione nantu à u tipu di camera (regular o infrared) è a piazza di lenti (fronte o posteriore).
  • Generazione attivata di nomi d'interfaccia di rete chì ùn cambianu micca per i dispositi netfront utilizati in Xen.
  • L'analisi di i fugliali core da l'utilità systemd-coredump basatu annantu à e librerie libdw/libelf hè avà realizatu in un prucessu separatu, isolatu in un ambiente sandbox.
  • systemd-importd hà aghjustatu supportu per e variabili di l'ambienti $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, cù quale pudete disattivà a generazione di subpartizioni Btrfs, è ancu cunfigurà quote è sincronizazione di discu.
  • In systemd-journald, in i sistemi di schedari chì supportanu u modu di copia in scrittura, u modu COW hè riabilitatu per i ghjurnali archiviati, chì permettenu di esse cumpressi cù Btrfs.
  • systemd-journald implementa a deduplicazione di campi idèntici in un missaghju unicu, chì hè realizatu in u stadiu prima di mette u messagiu in u ghjurnale.
  • Aggiunta l'opzione "--show" à u cumandamentu di spegnimentu per vede l'arrestu pianificatu.

Source: opennet.ru

Add a comment