Po třech měsících vývoje vydání správce systému . V novém vydání jsou přidány nové komponenty systemd-homed a systemd-repart, je zahrnuta podpora přenosných uživatelských profilů ve formátu JSON, je poskytována možnost definovat jmenné prostory v systemd-journald a je přidána podpora pro mechanismus „pidfd“. . Kompletně předělaný , která shromažďuje většinu dostupné dokumentace a navrhuje nové logo.
hlavní :
- Přidaná služba , který poskytuje správu přenosných domovských adresářů, dodávaných ve formě souboru připojeného obrazu, jehož data jsou šifrována. Systemd-homed vám umožňuje vytvářet samostatná prostředí pro uživatelská data, která lze přenášet mezi různými systémy bez obav o synchronizaci identifikátorů a důvěrnost. Přihlašovací údaje uživatele jsou svázány s domovským adresářem spíše než s nastavením systému – namísto /etc/passwd, /etc/group a /etc/shadow se použije profil ve formátu . Další podrobnosti viz systemd-homed.
- Přidána doprovodná komponenta umístěná v systému "“ („systemd-userdb“), který převádí účty NSS UNIX/glibc na záznamy JSON a poskytuje jednotné rozhraní Varlink API pro dotazování a iteraci záznamů. Profil JSON spojený s domovským adresářem určuje parametry požadované pro práci uživatele, včetně uživatelského jména, hash hesla, šifrovacích klíčů, kvót a zajišťovaných zdrojů. Profil lze certifikovat digitálním podpisem uloženým na externím tokenu Yubikey. Pro správu profilů je navržen obslužný program „userdbctl“. Podpora profilů JSON byla přidána do různých komponent systemd, včetně systemd-logind a pam-systemd, což uživatelům přenosných adresářů umožňuje autentizaci, přihlášení, nastavení proměnných prostředí, vytvoření relace, nastavení limitů atd. V budoucnu se očekává, že sssd framework bude schopen generovat JSON profily s uživatelským nastavením uloženým v LDAP.
- Byla přidána nová utilita „systemd-repart“, navržená k přerozdělení tabulek diskových oddílů ve formátu GPT. Struktura oddílu je definována v deklarativní formě prostřednictvím souborů, které popisují, které oddíly by měly nebo mohou existovat. Při každém spouštění je s těmito soubory porovnávána skutečná tabulka oddílů, načež jsou přidány chybějící oddíly, nebo pokud se relativní nebo absolutní velikost definovaná v nastavení neshoduje, zvětší se velikost stávajících. Jsou povoleny pouze inkrementální změny, tzn. mazání a zmenšení velikosti není možné, oddíly lze pouze přidávat a zvětšovat.
Utilita je navržena pro spuštění z initrd a automaticky detekuje disk, na kterém je umístěn kořenový oddíl, což nevyžaduje další konfiguraci, kromě souborů s definicí změn.V praxi může být systemd-repart užitečný pro obrazy operačního systému, které mohou být zpočátku dodávány v minimální podobě a po prvním spuštění mohou být rozšířeny na velikost stávajícího blokového zařízení nebo doplněny o další oddíly (například root oddíl lze rozšířit tak, aby pokryl celý disk, nebo po prvním spuštění vytvořit odkládací oddíl nebo /home). Dalším použitím by byly konfigurace se dvěma rotujícími oddíly - zpočátku by mohl být dodán pouze první oddíl a druhý by se vytvořil při prvním spuštění.
- Nyní je možné spustit více instancí systemd-journald, z nichž každá uchovává protokoly ve svém vlastním jmenném prostoru. Kromě hlavního systemd-journald.service nabízí adresář .service šablonu pro vytváření dalších instancí vázaných na jejich jmenné prostory pomocí direktivy „LogNamespace“. Každý jmenný prostor protokolu je obsluhován samostatným procesem na pozadí s vlastní sadou nastavení a limitů. Navrhovaná funkce může být užitečná pro vyrovnávání zátěže s velkým objemem protokolů nebo pro zlepšení izolace aplikací. Do journalctl byla přidána volba "--namespace", která omezí dotaz pouze na zadaný jmenný prostor.
- Systemd-udevd a další komponenty systemd přidaly podporu pro mechanismus pro přidělování alternativních jmen síťovým rozhraním, což umožňuje použití více jmen současně pro jedno rozhraní. Název může mít až 128 znaků (dříve byl název síťového rozhraní omezen na 16 znaků). Ve výchozím nastavení nyní systemd-udevd přiřazuje každému síťovému rozhraní všechny názvy variant generované podporovanými schématy pojmenování. Toto chování lze změnit pomocí nového nastavení AlternativeName a AlternativeNamesPolicy v souborech .link. systemd-nspawn implementuje generování alternativních jmen s úplným názvem kontejneru pro odkazy veth vytvořené na straně hostitele.
- Sd-event.h API přidává podporu pro linuxový kernelový subsystém „pidfd“, aby zvládl situaci opětovného použití PID (pidfd je spojen s konkrétním procesem a nemění se, zatímco PID může být spojen s jiným procesem po aktuálním procesu s ním spojené opustí toto PID). Všechny komponenty systemd kromě PID 1 byly převedeny na použití pidfds, pokud je subsystém podporován aktuálním jádrem.
- systemd-logind poskytuje kontrolu přístupu pro operaci změny virtuálního terminálu prostřednictvím PolicyKit. Ve výchozím nastavení jsou oprávnění ke změně aktivního terminálu udělena pouze uživatelům, kteří alespoň jednou zahájili relaci na místním virtuálním terminálu.
- Aby bylo snazší vytvářet obrazy initrd pomocí systemd, obslužný program PID 1 nyní detekuje, zda se používá initrd, a v tomto případě automaticky načte initrd.target místo default.target. S tímto přístupem se mohou obrazy initrd a hlavního systému lišit pouze v přítomnosti souboru /etc/initrd-release.
- Přidán nový parametr příkazového řádku jádra - "systemd.cpu_affinity", ekvivalentní volbě CPUAffinity v /etc/systemd/system.conf a umožňuje nakonfigurovat masku afinity CPU pro PID 1 a další procesy.
- Povoleno opětovné načtení databáze SELinux spolu s restartováním PID 1 pomocí příkazů jako "systemctl daemon-reload".
- Do obslužné rutiny PID 1 bylo přidáno nastavení „systemd.show-status=error“, při nastavení se na konzoli zobrazují pouze chybová hlášení a výrazné zpoždění při načítání.
- systemd-sysusers přidali podporu pro vytváření uživatelů s názvem primární skupiny, který se liší od jména uživatele.
- systemd-growfs zavádí podporu pro rozšiřování oddílů XFS prostřednictvím možnosti připojení x-systemd.growfs v /etc/fstab, navíc k dříve podporovanému rozšiřování oddílů pomocí Ext4 a Btrfs.
- Přidána možnost x-initrd.attach do /etc/crypttab pro definování šifrovaného oddílu již odemčeného ve fázi initrd.
- systemd-cryptsetup přidal podporu (volba pkcs11-uri v /etc/crypttab) pro odemykání šifrovaných oddílů pomocí čipových karet PKCS#11, například pro připojení šifrování oddílů k YubiKeys.
- Do /etc/fstab byly přidány nové možnosti připojení „x-systemd.required-by“ a „x-systemd.wanted-by“, aby bylo možné explicitně nakonfigurovat jednotky, které definují operace připojení, které se mají volat namísto local-fs.target a remote -fs .cíl.
- Byla přidána nová možnost sandboxingu služby - ProtectClock, která omezuje zápis na systémové hodiny (přístup je blokován na úrovni /dev/rtc, systémových volání a oprávnění CAP_SYS_TIME/CAP_WAKE_ALARM).
- Podle specifikace a systemd-gpt-auto-generator přidal detekci oddílů
/var a /var/tmp. - V „systemctl list-unit-files“ se při zobrazení seznamu jednotek objevil nový sloupec, který odráží stav povolení nabízený v předvolbách výrobce pro tento typ jednotky.
- Do „systemctl“ byla přidána možnost „—with-dependencies“, po instalaci příkazy jako „systemctl status“ a „systemctl cat“ zobrazí nejen všechny odpovídající jednotky, ale také jednotky, na kterých závisí.
- V systemd-networkd konfigurace qdisc přidala možnost konfigurovat parametry TBF (Token Bucket Filter), SFQ (Stochastic Fairness Queuing), CoDel (Controlled-Delay Active Queue Management) a FQ (Fair Queue).
- systemd-networkd přidal podporu pro síťová zařízení IFB ().
- Systemd-networkd implementuje parametr MultiPathRoute v sekci [Route] ke konfiguraci vícecestných tras.
- V systemd-networkd pro klienta DHCPv4 byla přidána možnost SendDecline, když je specifikována, po obdržení odpovědi DHCP s adresou je provedena kontrola duplicitní adresy a pokud je zjištěn konflikt adres, je vydaná adresa odmítnuta. Do klienta DHCPv4 byla také přidána možnost RouteMTUBytes, která umožňuje určit velikost MTU pro trasy generované z vazeb IP adres (pronájmů).
- Nastavení PrefixRoute v sekci [Address] souborů .network bylo zastaralé. Bylo nahrazeno nastavením „AddPrefixRoute“, které má opačný význam.
- V souborech .network byla přidána podpora pro novou hodnotu „_dhcp“ do nastavení brány v části „[Route]“, když je nastavena, je zvolena statická trasa na základě brány nakonfigurované přes DHCP.
- Nastavení se objevilo v souborech .network v sekci „[RoutingPolicyRule]“.
User a SuppressPrefixLength k určení směrování zdroje na základě rozsahů UID a velikosti předpony. - V networkctl poskytuje příkaz „status“ možnost zobrazit protokoly ve vztahu ke každému síťovému rozhraní.
- systemd-networkd-wait-online přidává podporu pro nastavení maximální doby čekání na zprovoznění rozhraní a čekání na vypnutí rozhraní.
- Zastaveno zpracování souborů .link a .network s prázdnou nebo zakomentovanou sekcí „[Match]“.
- V souborech .link a .network v sekci „[Match]“ bylo přidáno nastavení „PermanentMACAddress“ pro kontrolu trvalé MAC adresy zařízení v případě použití vygenerované náhodné MAC.
- Sekce „[TrafficControlQueueingDiscipline]“ v souborech .network byla přejmenována na „[NetworkEmulator]“ a z názvů souvisejících nastavení byla odstraněna předpona „NetworkEmulator“.
- systemd-resolved for DNS-over-TLS přidává podporu pro kontrolu SNI.
Zdroj: opennet.ru