ProHoster > Blog > nutizie internet > Systemd System Manager versione 243

Systemd System Manager versione 243

Dopu à cinque mesi di sviluppu prisentatu liberazione di u gestore di sistema SystemD 243. Trà l'innuvazioni, pudemu nutà l'integrazione in PID 1 di un gestore per a memoria bassa in u sistema, supportu per attaccà i vostri propri prugrammi BPF per filtrà u trafficu di unità, numerose opzioni novi per systemd-networkd, un modu per monitorizà a larghezza di banda di a rete. interfacce, chì permettenu di manera predeterminata in sistemi 64-bit numeri PID di 22-bit invece di 16-bit, transizione à una ghjerarchia cgroups unificata, inclusione in systemd-network-generator.

I cambiamenti principali:

  • A ricunniscenza di i segnali generati da u kernel nantu à fora di memoria (Out-Of-Memory, OOM) hè statu aghjuntu à u gestore PID 1 per trasferisce unità chì anu righjuntu u limitu di cunsumu di memoria in un statu speciale cù a capacità facultativa di furzà à finisce. o piantà;
  • Per i schedari unità, novi paràmetri IPIngressFilterPath è
    IPEgressFilterPath, chì vi permette di cunnette i prugrammi BPF cù gestori arbitrarii per filtrà i pacchetti IP in entrata è in uscita generati da prucessi assuciati à sta unità. I funziunalità pruposti permettenu di creà un tipu di firewall per i servizii di sistema. Esempiu di scrittura un filtru di rete simplice basatu nantu à BPF;

  • U cumandamentu "pulitu" hè statu aghjuntu à l'utilità systemctl per sguassà a cache, i fugliali di runtime, l'infurmazioni di statutu è i cartulari di log;
  • systemd-networkd aghjunghjenu supportu per l'interfaccia di rete MACsec, nlmon, IPVTAP è Xfrm;
  • systemd-networkd implementa cunfigurazione separata di stacks DHCPv4 è DHCPv6 attraversu e sezioni "[DHCPv4]" è "[DHCPv6]" in u schedariu di cunfigurazione. Aghjunghje l'opzione RoutesToDNS per aghjunghje una strada separata à u servitore DNS specificata in i paràmetri ricevuti da u servitore DHCP (per chì u trafficu à u DNS hè mandatu per u stessu ligame cum'è a strada principale ricevuta da u DHCP). Nove opzioni sò state aghjunte per DHCPv4: MaxAttempts - numeru massimu di dumande per ottene un indirizzu, BlackList - lista negra di servitori DHCP, SendRelease - attivate l'inviu di messagi DHCP RELEASE quandu a sessione finisci;
  • Novi cumandamenti sò stati aghjuntu à l'utilità systemd-analyze:
    • "systemd-analyze timestamp" - analisi di u tempu è cunversione;
    • "systemd-analyse timespan" - analisi è cunversione di periodi di tempu;
    • "systemd-analyze condition" - analizà è teste l'espressioni ConditionXYZ;
    • "systemd-analyze exit-status" - analizà è cunvertisce i codici di uscita da numeri à nomi è viceversa;
    • "systemd-analyze unit-files" - Elenca tutti i percorsi di file per unità è alias di unità.
  • Opzioni SuccessExitStatus, RestartPreventExitStatus è
    RestartForceExitStatus avà sustene micca solu i codici di ritornu numerichi, ma ancu i so identificatori di testu (per esempiu, "DATAERR"). Pudete vede a lista di codici assignati à l'identificatori cù u cumandimu "sytemd-analyze exit-status";

  • U cumandamentu "sguassate" hè statu aghjuntu à l'utilità networkctl per sguassà i dispositi di rete virtuale, è ancu l'opzione "-stats" per vede statistiche di u dispositivu;
  • I paràmetri di SpeedMeter è SpeedMeterIntervalSec sò stati aghjuntu à networkd.conf per a misurazione periodica di u throughput di l'interfacce di rete. Statistiche ottenute da i risultati di a misurazione ponu esse viste in u output di u cumandimu "networkctl status";
  • Aghjunghje una nova utilità systemd-network-generator per generà schedari
    .network, .netdev è .link basatu nantu à i paràmetri IP passati quandu lanciatu via a linea di cummanda di u kernel Linux in u formatu di paràmetri di Dracut;

  • U valore sysctl "kernel.pid_max" nantu à i sistemi 64-bit hè ora stabilitu per automaticamente à 4194304 (PID 22-bit invece di 16-bit), chì riduce a probabilità di scontri in l'assignazione di PID, aumenta u limitu in u numeru di simultaneamente. i prucessi in esecuzione, è hà un impattu pusitivu nantu à a sicurità. U cambiamentu puderia putenzialmente guidà à prublemi di cumpatibilità, ma tali prublemi ùn sò micca stati rappurtati in pratica;
  • Per automaticamente, a tappa di custruzzione cambia à a gerarchia unificata cgroups-v2 ("-Ddefault-hierarchy = unificata"). Nanzu, u predeterminatu era u modu hibridu ("-Ddefault-hierarchy=hybrid");
  • U cumpurtamentu di u filtru di chjama di u sistema (SystemCallFilter) hè statu cambiatu, chì, in u casu di una chjama di u sistema pruibita, avà finisce tuttu u prucessu, invece di i fili individuali, postu chì a terminazione di i fili individuali puderia purtà à prublemi imprevisible. I cambiamenti s'applicanu solu se avete Linux kernel 4.14+ è libseccomp 2.4.0+;
  • I prugrammi senza privileghju sò datu l'abilità di mandà pacchetti ICMP Echo (ping) per stabilisce u sysctl "net.ipv4.ping_group_range" per tutta a gamma di gruppi (per tutti i prucessi);
  • Per accelerà u prucessu di creazione, a generazione di manuali di l'omu hè stata fermata per difettu (per custruisce a documentazione completa, avete bisognu di utilizà l'opzione "-Dman = true" o "-Dhtml = true" per i manuali in formatu html). Per fà più faciule per vede a ducumentazione, sò inclusi dui script: build/man/man è build/man/html per generà è previsualizà manuali d'interessu;
  • Per processà i nomi di duminiu cù caratteri di l'alfabeti naziunali, a biblioteca libidn2 hè aduprata per difettu (per rinvià libidn, utilizate l'opzione "-Dlibidn=true");
  • U supportu per u schedariu eseguibile /usr/sbin/halt.local, chì furnisce funziunalità chì ùn era micca largamente distribuitu in distribuzioni, hè statu discontinuatu. Per urganizà u lanciu di cumandamenti quandu si chjude, hè cunsigliatu di utilizà script in /usr/lib/systemd/system-shutdown/ o definisce una nova unità chì dipende di final.target;
  • À l'ultima tappa di u chjusu, systemd aumenta automaticamente u nivellu di log in u sysctl "kernel.printk", chì risolve u prublema cù a visualizazione in l'avvenimenti di log chì sò accaduti in l'ultime tappe di chjusu, quandu i demoni di logging regulare sò digià cumpletu. ;
  • In journalctl è altre utilità chì mostranu logs, l'avvirtimenti sò evidenziati in giallu, è i registri di auditu sò evidenziati in blu per evidenzià visualmente da a folla;
  • In a variabile d'ambiente $ PATH, u percorsu à bin/ hè avà prima di u percorsu à sbin/, i.e. s'ellu ci sò nomi identichi di schedarii eseguibili in i dui cartulari, u schedariu da bin/ serà eseguitu;
  • systemd-logind furnisce una chjama SetBrightness () per cambià in modu sicuru a luminosità di u screnu nantu à una basa per sessione;
  • A bandiera "--wait-for-initialization" hè stata aghjunta à u cumandimu "udevadm info" per aspittà chì u dispusitivu sia inizializatu;
  • Durante l'iniziu di u sistema, u gestore PID 1 mostra avà i nomi di unità invece di una linea cù a so descrizzione. Per vultà à u cumpurtamentu passatu, pudete aduprà l'opzione StatusUnitFormat in /etc/systemd/system.conf o l'opzione di kernel systemd.status_unit_format;
  • Aggiunta l'opzione KExecWatchdogSec à /etc/systemd/system.conf per u watchdog PID 1, chì specifica u timeout per riavvià cù kexec. Vechju ambientu
    ShutdownWatchdogSec hè statu rinominatu RebootWatchdogSec è definisce un timeout per i travaglii durante l'arrestu o u riavviu normale;

  • Una nova opzione hè stata aghjunta per i servizii ExecCondition, chì vi permette di specificà cumandamenti chì saranu eseguiti prima di ExecStartPre. Basatu nantu à u codice d'errore restituitu da u cumandamentu, una decisione hè presa nantu à l'esekzione ulteriore di l'unità - se u codice 0 hè tornatu, u lanciamentu di l'unità cuntinueghja, se da 1 à 254 finisce in silenziu senza bandiera di fallimentu, se 255 finisce cù una bandiera di fallimentu;
  • Aggiuntu un novu serviziu systemd-pstore.service per estrae dati da sys/fs/pstore/ è da salvà à /var/lib/pstore per più analisi;
  • Novi cumandamenti sò stati aghjuntu à l'utilità timedatectl per cunfigurà i paràmetri NTP per systemd-timesyncd in relazione à l'interfacce di rete;
  • U cumandimu "localectl list-locales" ùn mostra più locali altri chì UTF-8;
  • Assicura chì l'errore di assignazione variabile in i schedari sysctl.d/ sò ignorati se u nome di variabile principia cù u caratteru "-";
  • sirvizziu systemd-random-seed.service hè ora interamente rispunsevuli di l'inizializazione di l'entropia di u generatore di numeri pseudoaleatoriu di u kernel Linux. I servizii chì necessitanu un /dev/urandom inizializatu currettamente deve esse cuminciatu dopu à systemd-random-seed.service;
  • U boot loader systemd-boot furnisce l'abilità opzionale di supportu file di sementi cù sequenza aleatoria in a Partizione di Sistema EFI (ESP);
  • Novi cumandamenti sò stati aghjuntu à l'utilità bootctl: "bootctl random-seed" per generà un schedariu di seed in l'ESP è "bootctl is-installed" per verificà a stallazione di u systemd-boot boot loader. bootctl hè statu ancu aghjustatu per vede avvirtimenti nantu à a cunfigurazione incorrecta di e entrate di boot (per esempiu, quandu l'imaghjini di u kernel hè sguassatu, ma l'entrata per a carica hè lasciata);
  • Fornisce a selezzione automatica di a partizione swap quandu u sistema entra in modu di dorme. A particione hè sceltu secondu a priorità cunfigurata per questu, è in u casu di priorità identiche, a quantità di spaziu liberu;
  • Aggiunta l'opzione keyfile-timeout à /etc/crypttab per stabilisce quantu tempu u dispusitivu cù a chjave di criptografia aspetta prima di dumandà una password per accede à a partizione criptata;
  • Aggiunta l'opzione IOWeight per stabilisce u pesu I / O per u scheduler BFQ;
  • systemd-resolved hà aghjustatu u modu "strettu" per DNS-over-TLS è implementatu a capacità di cache solu risposti DNS pusitivi ("Cache no-negative" in resolved.conf);
  • Per VXLAN, systemd-networkd hà aghjustatu una opzione GenericProtocolExtension per attivà l'estensione di protokollu VXLAN. Per VXLAN è GENEVE, l'opzione IPDoNotFragment hè stata aghjunta per stabilisce a bandiera di pruibizione di frammentazione per i pacchetti in uscita;
  • In systemd-networkd, in a sezione "[Route]", l'opzione FastOpenNoCookie hè apparsu per attivà u mecanismu per apre rapidamente e cunnessione TCP (TFO - TCP Fast Open, RFC 7413) in relazione à rotte individuali, è ancu l'opzione TTLPropagate. per cunfigurà TTL LSP (Label Switched Path). L'opzione "Tipu" furnisce supportu per i modi di routing locale, broadcast, anycast, multicast, any and xresolve;
  • Systemd-networkd offre una opzione DefaultRouteOnDevice in a sezione "[Network]" per cunfigurà automaticamente una ruta predeterminata per un determinatu dispositivu di rete;
  • Systemd-networkd hà aghjustatu ProxyARP è
    ProxyARPWifi per stabilisce u cumpurtamentu proxy ARP, MulticastRouter per stabilisce i paràmetri di routing in modu multicast, MulticastIGMPVersion per cambià a versione IGMP (Internet Group Management Protocol) per multicast;

  • Systemd-networkd hà aghjustatu l'opzioni Local, Peer è PeerPort per i tunnel FooOverUDP per cunfigurà l'indirizzi IP lucali è remoti, è ancu u numeru di portu di a rete. Per i tunnellati TUN, l'opzione VnetHeader hè stata aghjunta per cunfigurà u supportu GSO (Generic Segment Offload);
  • In systemd-networkd, in i schedarii .network è .link in a sezione [Match], hè apparsu una opzione Propietà, chì permette di identificà i dispositi per e so proprietà specifiche in udev;
  • In systemd-networkd, una opzione AssignToLoopback hè stata aghjunta per i tunnelli, chì cuntrolla se a fine di u tunnel hè assignatu à u dispusitivu di loopback "lo";
  • systemd-networkd attiva automaticamente a pila IPv6 s'ellu hè bluccatu via sysctl disable_ipv6 - IPv6 hè attivatu se i paràmetri IPv6 (static o DHCPv6) sò definiti per l'interfaccia di a rete, altrimenti u valore di sysctl digià stabilitu ùn cambia micca;
  • In i schedarii .network, l'impostazione CriticalConnection hè stata rimpiazzata da l'opzione KeepConfiguration, chì furnisce più mezi per definisce e situazioni ("sì", "static", "dhcp-on-stop", "dhcp") in quale systemd-networkd deve. ùn tocca micca e cunnessione esistenti quandu l'iniziu;
  • Vulnerabilità fissata CVE-2019-15718, causatu da a mancanza di cuntrollu di accessu à l'interfaccia D-Bus systemd-resolved. U prublema permette à un utilizatore senza privilegiu di fà operazioni chì sò dispunibuli solu per l'amministratori, cum'è cambià i paràmetri DNS è dirigendu e dumande DNS à un servitore rogue;
  • Vulnerabilità fissata CVE-2019-9619in relazione à ùn attivà pam_systemd per e sessioni non interattive, chì permette u spoofing di a sessione attiva.

Source: opennet.ru

Add a comment