ProHoster > Blog > internetové zprávy > systemd system manager verze 250

systemd system manager verze 250

Po pěti měsících vývoje bylo představeno vydání správce systému systemd 250. Nové vydání zavedlo možnost ukládat přihlašovací údaje v šifrované podobě, implementovalo ověřování automaticky detekovaných GPT oddílů pomocí digitálního podpisu, zlepšilo informace o příčinách zpoždění při spouštění služeb a přidané možnosti pro omezení přístupu služeb k určitým souborovým systémům a síťovým rozhraním, je poskytována podpora monitorování integrity oddílu pomocí modulu dm-integrity a je přidána podpora pro automatickou aktualizaci sd-boot.

Hlavní změny:

  • Přidána podpora pro šifrované a ověřené přihlašovací údaje, které mohou být užitečné pro bezpečné ukládání citlivých materiálů, jako jsou klíče SSL a přístupová hesla. Dešifrování přihlašovacích údajů se provádí pouze v případě potřeby a ve spojení s místní instalací nebo zařízením. Data jsou šifrována automaticky pomocí symetrických šifrovacích algoritmů, jejichž klíč může být umístěn v systému souborů, v čipu TPM2 nebo pomocí kombinovaného schématu. Při spuštění služby se přihlašovací údaje automaticky dešifrují a zpřístupní službě v normální podobě. Pro práci se zašifrovanými přihlašovacími údaji byl přidán obslužný program 'systemd-creds' a pro služby byla navržena nastavení LoadCredentialEncrypted a SetCredentialEncrypted.
  • sd-stub, spustitelný soubor EFI, který umožňuje firmwaru EFI načíst jádro Linuxu, nyní podporuje zavádění jádra pomocí protokolu EFI LINUX_EFI_INITRD_MEDIA_GUID. Do sd-stub je také přidána možnost zabalit přihlašovací údaje a soubory sysext do archivu cpio a přenést tento archiv do jádra spolu s initrd (další soubory jsou umístěny v adresáři /.extra/). Tato funkce vám umožňuje používat ověřitelné neměnné prostředí initrd, doplněné o sysexty a šifrovaná autentizační data.
  • Specifikace Discoverable Partitions byla výrazně rozšířena a poskytuje nástroje pro identifikaci, připojení a aktivaci systémových oddílů pomocí GPT (GUID Partition Tables). Ve srovnání s předchozími verzemi nyní specifikace podporuje kořenový oddíl a oddíl /usr pro většinu architektur, včetně platforem, které nepoužívají UEFI.

    Discoverable Partitions také přidává podporu pro oddíly, jejichž integrita je ověřena modulem dm-verity pomocí digitálních podpisů PKCS#7, což usnadňuje vytváření plně ověřených diskových obrazů. Podpora ověřování je integrována do různých nástrojů, které manipulují s obrazy disků, včetně systemd-nspawn, systemd-sysext, systemd-dissect, služby RootImage, systemd-tmpfiles a systemd-sysusers.

  • U jednotek, jejichž spuštění nebo zastavení trvá dlouhou dobu, je kromě zobrazení animovaného ukazatele průběhu možné zobrazit stavové informace, které vám umožní porozumět tomu, co se přesně se službou aktuálně děje a která služba je správcem systému. aktuálně čeká na dokončení.
  • Do /etc/systemd/system.conf a /etc/systemd/user.conf byl přidán parametr DefaultOOMScoreAdjust, který vám umožňuje upravit práh OOM-killer pro nedostatek paměti, použitelný pro procesy, které systemd spouští pro systém a uživatele. Standardně je váha systémových služeb vyšší než u uživatelských služeb, tzn. Při nedostatku paměti je pravděpodobnost ukončení uživatelských služeb vyšší než u systémových.
  • Přidáno nastavení RestrictFileSystems, které umožňuje omezit přístup služeb k určitým typům souborových systémů. Chcete-li zobrazit dostupné typy systémů souborů, můžete použít příkaz „systemd-analyze filesystems“. Analogicky byla implementována možnost RestrictNetworkInterfaces, která umožňuje omezit přístup k určitým síťovým rozhraním. Implementace je založena na modulu BPF LSM, který omezuje přístup skupiny procesů k objektům jádra.
  • Byl přidán nový konfigurační soubor /etc/integritytab a obslužný program systemd-integritysetup, které konfigurují modul dm-integrity tak, aby řídil integritu dat na úrovni sektoru, například pro zaručení neměnnosti šifrovaných dat (Authenticated Encryption zajišťuje, že blok dat má nebyl upraven kruhovým objezdem). Formát souboru /etc/integritytab je podobný souborům /etc/crypttab a /etc/veritytab s tím rozdílem, že místo dm-crypt a dm-verity se používá dm-integrity.
  • Byl přidán nový soubor systemd-boot-update.service, po aktivaci a instalaci zavaděče sd-boot systemd automaticky aktualizuje verzi zavaděče sd-boot, přičemž kód zavaděče bude vždy aktuální. Samotný sd-boot je nyní standardně postaven s podporou mechanismu SBAT (UEFI Secure Boot Advanced Targeting), který řeší problémy se zrušením certifikátu pro UEFI Secure Boot. Kromě toho sd-boot poskytuje možnost analyzovat nastavení spouštění systému Microsoft Windows, aby se správně vygenerovaly názvy spouštěcích oddílů se systémem Windows a zobrazila se verze systému Windows.

    sd-boot také poskytuje možnost definovat barevné schéma v době sestavování. Během procesu spouštění byla přidána podpora pro změnu rozlišení obrazovky stisknutím klávesy „r“. Přidána klávesová zkratka „f“ pro přechod do rozhraní konfigurace firmwaru. Přidán režim pro automatické spouštění systému odpovídající položce nabídky vybrané při posledním spouštění. Přidána možnost automatického načítání ovladačů EFI umístěných v adresáři /EFI/systemd/drivers/ v sekci ESP (EFI System Partition).

  • Je zahrnut nový soubor jednotky factory-reset.target, který se zpracovává v systemd-logind podobným způsobem jako operace restartování, vypnutí, uspání a hibernace a používá se k vytvoření obslužných rutin pro provedení obnovení továrního nastavení.
  • Proces vyřešený systemd nyní vytváří další naslouchací soket na 127.0.0.54 kromě 127.0.0.53. Požadavky přicházející na 127.0.0.54 jsou vždy přesměrovány na upstream server DNS a nejsou zpracovávány místně.
  • Poskytuje možnost vytvářet systemd-importd a systemd-resolved s knihovnou OpenSSL namísto libgcrypt.
  • Přidána počáteční podpora pro architekturu LoongArch používanou v procesorech Loongson.
  • systemd-gpt-auto-generator poskytuje možnost automaticky konfigurovat systémem definované odkládací oddíly zašifrované subsystémem LUKS2.
  • Kód pro analýzu obrázků GPT používaný v obslužných programech systemd-nspawn, systemd-dissect a podobných implementuje schopnost dekódovat obrázky pro jiné architektury, což umožňuje použití systemd-nspawn ke spouštění obrázků na emulátorech jiných architektur.
  • Při kontrole obrazů disku nyní systemd-dissect zobrazuje informace o účelu oddílu, jako je vhodnost pro bootování přes UEFI nebo běh v kontejneru.
  • Pole „SYSEXT_SCOPE“ bylo přidáno do souborů system-extension.d/, což vám umožňuje označit rozsah obrazu systému – „initrd“, „system“ nebo „portable“.
  • Do souboru os-release bylo přidáno pole „PORTABLE_PREFIXES“, které lze použít v přenosných obrázcích k určení podporovaných předpon souborů jednotek.
  • systemd-logind zavádí nová nastavení HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress a HandleHibernateKeyLongPress, která lze použít k určení, co se stane, když jsou určité klávesy stisknuty déle než 5 sekund (například lze nakonfigurovat stisknutím klávesy Suspend pro rychlý přechod do pohotovostního režimu a podržením přejde do režimu spánku).
  • U jednotek jsou implementována nastavení StartupAllowedCPUs a StartupAllowedMemoryNodes, která se od podobných nastavení bez předpony Startup liší tím, že se aplikují pouze ve fázi spouštění a vypínání, což umožňuje nastavit další omezení zdrojů během spouštění.
  • Přidána [Podmínka|Potvrzení][Paměť|CPU|IO]Kontrola tlaku, která umožňuje přeskočit nebo selhat aktivaci jednotky, pokud mechanismus PSI detekuje velké zatížení paměti, CPU a I/O v systému.
  • Výchozí maximální limit inode byl zvýšen pro oddíl /dev z 64k na 1M a pro oddíl /tmp ze 400k na 1M.
  • Pro služby bylo navrženo nastavení ExecSearchPath, které umožňuje změnit cestu pro vyhledávání spustitelných souborů spouštěných prostřednictvím nastavení, jako je ExecStart.
  • Přidáno nastavení RuntimeRandomizedExtraSec, které umožňuje zavést náhodné odchylky do časového limitu RuntimeMaxSec, který omezuje dobu provádění jednotky.
  • Byla rozšířena syntaxe nastavení RuntimeDirectory, StateDirectory, CacheDirectory a LogsDirectory, ve kterých zadáním další hodnoty oddělené dvojtečkou můžete nyní organizovat vytvoření symbolického odkazu na daný adresář pro organizaci přístupu po několika cestách.
  • U služeb se nabízí nastavení TTYRows a TTYColumns pro nastavení počtu řádků a sloupců v zařízení TTY.
  • Přidáno nastavení ExitType, které umožňuje změnit logiku pro určování konce služby. Ve výchozím nastavení systemd monitoruje pouze smrt hlavního procesu, ale pokud je nastaveno ExitType=cgroup, správce systému počká na dokončení posledního procesu v cgroup.
  • Implementace podpory TPM2/FIDO2/PKCS11 od systemd-cryptsetup je nyní také vytvořena jako zásuvný modul cryptsetup, který umožňuje použití normálního příkazu cryptsetup k odemknutí šifrovaného oddílu.
  • Obslužný program TPM2 v systemd-cryptsetup/systemd-cryptsetup přidává kromě klíčů ECC podporu pro primární klíče RSA, aby se zlepšila kompatibilita s čipy bez ECC.
  • Do /etc/crypttab byla přidána možnost token-timeout, která umožňuje definovat maximální dobu čekání na připojení tokenu PKCS#11/FIDO2, po které budete vyzváni k zadání hesla nebo obnovovacího klíče.
  • systemd-timesyncd implementuje nastavení SaveIntervalSec, které umožňuje pravidelně ukládat aktuální systémový čas na disk, například za účelem implementace monotónních hodin na systémech bez RTC.
  • Do nástroje systemd-analyze byly přidány možnosti: „--image“ a „--root“ pro kontrolu souborů jednotek v daném image nebo kořenovém adresáři, „--recursive-errors“ pro zohlednění závislých jednotek při chybě. je detekován, „--offline“ pro kontrolu samostatných jednotkových souborů uložených na disku, „—json“ pro výstup ve formátu JSON, „—quiet“ pro deaktivaci nedůležitých zpráv, „—profile“ pro vazbu na přenosný profil. Přidán je také příkaz inspect-elf pro analýzu souborů jádra ve formátu ELF a možnost kontrolovat soubory jednotek s daným názvem jednotky bez ohledu na to, zda se tento název shoduje s názvem souboru.
  • systemd-networkd rozšířil podporu pro sběrnici Controller Area Network (CAN). Přidána nastavení pro ovládání režimů CAN: Loopback, OneShot, PresumeAck a ClassicDataLengthCode. Přidány možnosti TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 a DataSyncJumpWidth v části synchronizace bitů rozhraní [CAN] souborů .net.
  • Systemd-networkd přidal možnost Label pro klienta DHCPv4, která umožňuje konfigurovat štítek adresy používaný při konfiguraci adres IPv4.
  • systemd-udevd pro "ethtool" implementuje podporu pro speciální "max" hodnoty, které nastavují velikost vyrovnávací paměti na maximální hodnotu podporovanou hardwarem.
  • V souborech .link pro systemd-udevd můžete nyní konfigurovat různé parametry pro kombinování síťových adaptérů a připojení hardwarových obslužných programů (offload).
  • systemd-networkd standardně nabízí nové soubory .network: 80-container-vb.network pro definování síťových mostů vytvořených při spuštění systemd-nspawn s možnostmi „--network-bridge“ nebo „--network-zone“; 80-6rd-tunnel.network k definování tunelů, které se automaticky vytvoří při přijetí odpovědi DHCP s možností 6RD.
  • Systemd-networkd a systemd-udevd přidaly podporu pro předávání IP přes rozhraní InfiniBand, pro které byla do souborů systemd.netdev přidána sekce „[IPoIB]“ a zpracování hodnoty „ipoib“ bylo implementováno v Kind nastavení.
  • systemd-networkd poskytuje automatickou konfiguraci trasy pro adresy uvedené v parametru AllowedIPs, které lze konfigurovat prostřednictvím parametrů RouteTable a RouteMetric v sekcích [WireGuard] a [WireGuardPeer].
  • systemd-networkd poskytuje automatické generování neměnných MAC adres pro rozhraní batadv a bridge. Chcete-li toto chování zakázat, můžete v souborech .netdev zadat MACAddress=none.
  • Do souborů .link v sekci „[Link]“ bylo přidáno nastavení WakeOnLanPassword, které určuje heslo, když WoL běží v režimu „SecureOn“.
  • Do sekce „[CAKE]“ souborů .network byla přidána nastavení AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO a UseRawPacketSize pro definování parametrů mechanismu správy sítě CAKE (Common Applications) Kept Enhanceced .
  • Přidáno nastavení IgnoreCarrierLoss do sekce "[Network]" souborů .network, což vám umožňuje určit, jak dlouho budete čekat, než zareagujete na ztrátu nosného signálu.
  • Systemd-nspawn, homectl, machinectl a systemd-run rozšířily syntaxi parametru "--setenv" - pokud je zadán pouze název proměnné (bez "="), bude hodnota převzata z odpovídající proměnné prostředí (např. například při zadání "--setenv=FOO" bude hodnota převzata z proměnné prostředí $FOO a použita v proměnné prostředí se stejným názvem nastavené v kontejneru).
  • systemd-nspawn přidal možnost "--suppress-sync" pro zakázání systémových volání sync()/fsync()/fdatasync() při vytváření kontejneru (užitečné, když je prioritou rychlost a zachování artefaktů sestavení v případě selhání není důležité, protože je lze kdykoli znovu vytvořit).
  • Byla přidána nová databáze hwdb, která zahrnuje různé typy analyzátorů signálů (multimetry, analyzátory protokolů, osciloskopy atd.). Informace o kamerách v hwdb byly rozšířeny o pole s informacemi o typu kamery (běžná nebo infračervená) a umístění objektivu (přední nebo zadní).
  • Povoleno generování neměnných názvů síťových rozhraní pro zařízení netfront používaná v Xenu.
  • Analýza základních souborů obslužným programem systemd-coredump založeným na knihovnách libdw/libelf se nyní provádí v samostatném procesu izolovaném v prostředí sandbox.
  • systemd-importd přidal podporu pro proměnné prostředí $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, pomocí kterých můžete zakázat generování pododdílů Btrfs a také konfigurovat kvóty a synchronizaci disku.
  • V systemd-journald na souborových systémech, které podporují režim kopírování při zápisu, je režim COW znovu povolen pro archivované žurnály, což umožňuje jejich komprimaci pomocí Btrfs.
  • systemd-journald implementuje deduplikaci identických polí v jedné zprávě, která se provádí ve fázi před umístěním zprávy do žurnálu.
  • Přidána možnost "--show" do příkazu vypnutí pro zobrazení plánovaného vypnutí.

Zdroj: opennet.ru

Přidat komentář