ProHoster > Blog > internetové zprávy > systemd system manager verze 246

systemd system manager verze 246

Po pěti měsících vývoje prezentovány vydání správce systému systémové 246. Nová verze zahrnuje podporu pro zmrazení jednotek, možnost ověřit bitovou kopii kořenového disku pomocí digitálního podpisu, podporu komprese protokolů a výpisů jádra pomocí algoritmu ZSTD, možnost odemykat přenosné domovské adresáře pomocí tokenů FIDO2, podporu odemykání Microsoft BitLocker oddíly přes /etc/ crypttab, BlackList byl přejmenován na DenyList.

hlavní změny:

  • Přidána podpora pro řadič prostředků mrazničky založený na cgroups v2, pomocí kterého můžete zastavit procesy a dočasně uvolnit některé prostředky (CPU, I/O a potenciálně i paměť) pro provádění jiných úkolů. Zmrazování a odmrazování jednotek je řízeno pomocí nového příkazu „systemctl freeze“ nebo přes D-Bus.
  • Přidána podpora pro ověřování obrazu kořenového disku pomocí digitálního podpisu. Ověření se provádí pomocí nových nastavení v servisních jednotkách: RootHash (kořenový hash pro ověření obrazu disku zadaný pomocí volby RootImage) a RootHashSignature (digitální podpis ve formátu PKCS#7 pro kořenový hash).
  • Obslužná rutina PID 1 implementuje schopnost automaticky načíst předkompilovaná pravidla AppArmor (/etc/apparmor/earlypolicy) v počáteční fázi spouštění.
  • Přidána nová nastavení souboru jednotek: ConditionPathIsEncrypted a AssertPathIsEncrypted ke kontrole umístění zadané cesty na blokovém zařízení, které používá šifrování (dm-crypt/LUKS), ConditionEnvironment a AssertEnvironment ke kontrole proměnných prostředí (například ty nastavené PAM nebo při nastavení nahoru kontejnery).
  • Pro jednotky *.mount bylo implementováno nastavení ReadWriteOnly, které zakazuje připojení oddílu v režimu pouze pro čtení, pokud jej nebylo možné připojit pro čtení a zápis. V /etc/fstab se tento režim konfiguruje pomocí volby „x-systemd.rw-only“.
  • Pro jednotky *.socket bylo přidáno nastavení PassPacketInfo, které umožňuje jádru přidat další metadata pro každý paket načtený ze soketu (umožňuje režimy IP_PKTINFO, IPV6_RECVPKTINFO a NETLINK_PKTINFO pro soket).
  • Pro služby (jednotky *.service) je navrženo nastavení CoredumpFilter (definuje části paměti, které by měly být zahrnuty do výpisů jádra) a
    TimeoutStartFailureMode/TimeoutStopFailureMode (definuje chování (SIGTERM, SIGABRT nebo SIGKILL), když dojde k vypršení časového limitu při spouštění nebo zastavování služby).

  • Většina možností nyní podporuje hexadecimální hodnoty specifikované pomocí předpony "0x".
  • V různých parametrech příkazového řádku a konfiguračních souborech souvisejících s nastavením klíčů nebo certifikátů je možné zadat cestu k unixovým soketům (AF_UNIX) pro přenos klíčů a certifikátů prostřednictvím volání služeb IPC, když není žádoucí umísťovat certifikáty na nešifrovaný disk. úložný prostor.
  • Přidána podpora pro šest nových specifikátorů, které lze použít v jednotkách, tmpfiles.d/, sysusers.d/ a dalších konfiguračních souborech: %a pro nahrazení aktuální architektury, %o/%w/%B/%W pro nahrazení polí identifikátory z /etc/os-release a %l pro krátkou náhradu názvu hostitele.
  • Soubory jednotek již nepodporují syntaxi „.include“, která byla před 6 lety zastaralá.
  • Nastavení StandardError a StandardOutput již nepodporují hodnoty „syslog“ a „syslog-console“, které budou automaticky převedeny na „journal“ a „journal+console“.
  • Pro automaticky vytvořené přípojné body založené na tmpfs (/tmp, /run, /dev/shm atd.) jsou k dispozici limity velikosti a počtu inodů, které odpovídají 50 % velikosti RAM pro /tmp a /dev/ shm a 10 % RAM pro všechny ostatní.
  • Přidány nové možnosti příkazového řádku jádra: systemd.hostname pro nastavení názvu hostitele v počáteční fázi spouštění, udev.blockdev_read_only pro omezení všech blokových zařízení spojených s fyzickými jednotkami na režim pouze pro čtení (můžete použít příkaz "blockdev --setrw" selektivně zrušit), systemd .swap pro zakázání automatické aktivace odkládacího oddílu, systemd.clock-usec pro nastavení systémových hodin v mikrosekundách, systemd.condition-needs-update a systemd.condition-first-boot pro přepsání ConditionNeedsUpdate a ConditionFirstBoot kontroly.
  • Ve výchozím nastavení je sysctl fs.suid_dumpable nastaveno na 2 („suidsafe“), což umožňuje ukládání výpisů jádra pro procesy s příznakem suid.
  • Soubor /usr/lib/udev/hwdb.d/60-autosuspend.hwdb byl vypůjčen do hardwarové databáze z ChromiumOS, která obsahuje informace o PCI a USB zařízeních podporujících automatický režim spánku.
  • Do networkd.conf bylo přidáno nastavení ManageForeignRoutes, pokud je povoleno, systemd-networkd začne spravovat všechny trasy nakonfigurované jinými nástroji.
  • Do souborů .network byla přidána sekce „[SR-IOV]“ pro konfiguraci síťových zařízení, která podporují SR-IOV (Single Root I/O Virtualization).
  • V systemd-networkd bylo do sekce „[Network]“ přidáno nastavení IPv4AcceptLocal, které umožňuje přijímat pakety přicházející s místní zdrojovou adresou na síťovém rozhraní.
  • systemd-networkd přidal možnost konfigurovat disciplíny upřednostňování provozu HTB prostřednictvím [HierarchyTokenBucket] a
    [HierarchyTokenBucketClass], "pfifo" přes [PFIFO], "GRED" přes [GenericRandomEarlyDetection], "SFB" přes [StochasticFairBlue], "cake"
    přes [CAKE], "PIE" přes [PIE], "DRR" přes [DeficitRoundRobinScheduler] a
    [DeficitRoundRobinSchedulerClass], "BFIFO" přes [BFIFO],
    "PFIFOHeadDrop" přes [PFIFOHeadDrop], "PFIFOFast" přes [PFIFOFast], "HHF"
    přes [HeavyHitterFilter], "ETS" přes [EnhancedTransmissionSelection],
    "QFQ" prostřednictvím [QuickFairQueueing] a [QuickFairQueueingClass].

  • V systemd-networkd bylo do sekce [DHCPv4] přidáno nastavení UseGateway, které zakazuje používání informací o bráně získaných přes DHCP.
  • V systemd-networkd v sekcích [DHCPv4] a [DHCPServer] bylo přidáno nastavení SendVendorOption pro instalaci a zpracování dalších možností dodavatele.
  • systemd-networkd implementuje novou sadu voleb EmitPOP3/POP3, EmitSMTP/SMTP a EmitLPR/LPR v sekci [DHCPServer] pro přidání informací o serverech POP3, SMTP a LPR.
  • V systemd-networkd v souborech .netdev v sekci [Bridge] bylo přidáno nastavení VLANProtocol pro výběr VLAN protokolu, který se má použít.
  • V systemd-networkd, v souborech .network v sekci [Link] je implementováno nastavení Group pro správu skupiny odkazů.
  • Nastavení BlackList byla přejmenována na DenyList (zachování starého zpracování názvů pro zpětnou kompatibilitu).
  • Systemd-networkd přidal velkou část nastavení souvisejících s IPv6 a DHCPv6.
  • Do networkctl byl přidán příkaz „forcerenew“, který vynutí aktualizace všech vazeb adresy (pronájem).
  • V systemd-resolved bylo v konfiguraci DNS možné zadat číslo portu a název hostitele pro ověření certifikátu DNS-over-TLS. Implementace DNS-over-TLS přidala podporu pro kontrolu SNI.
  • Systemd-resolved má nyní možnost konfigurovat přesměrování jednolabelových názvů DNS (single-label, z jednoho názvu hostitele).
  • systemd-journald poskytuje podporu pro použití algoritmu zstd ke kompresi velkých polí v žurnálech. Byla provedena práce na ochraně před kolizemi v hašovacích tabulkách používaných v žurnálech.
  • Klikací adresy URL s odkazy na dokumentaci byly přidány do journalctl při zobrazování zpráv protokolu.
  • Do žurnáld.conf bylo přidáno nastavení Audit, které řídí, zda je během inicializace systemd-journald povoleno monitorování.
  • Systemd-coredump má nyní schopnost komprimovat výpisy jádra pomocí algoritmu zstd.
  • Přidáno nastavení UUID do systemd-repart pro přiřazení UUID k vytvořenému oddílu.
  • Služba systemd-homed, která poskytuje správu přenosných domovských adresářů, přidala možnost odemykat domovské adresáře pomocí tokenů FIDO2. Backend šifrování oddílu LUKS přidal podporu pro automatické vracení prázdných bloků systému souborů, když relace skončí. Přidána ochrana proti dvojitému šifrování dat, pokud se zjistí, že oddíl /home v systému je již zašifrován.
  • Přidáno nastavení do /etc/crypttab: „keyfile-erase“ pro smazání klíče po použití a „try-empty-password“ pro pokus o odemknutí oddílu s prázdným heslem před výzvou uživatele k zadání hesla (užitečné pro instalaci šifrovaných obrazů s heslem přiděleným po prvním spuštění, nikoli během instalace).
  • systemd-cryptsetup přidává podporu pro odemykání oddílů Microsoft BitLocker při spouštění pomocí /etc/crypttab. Přidána také schopnost číst
    klíče pro automatické odemykání oddílů ze souborů /etc/cryptsetup-keys.d/ .key a /run/cryptsetup-keys.d/ .klíč.

  • Přidán systemd-xdg-autostart-generator pro vytváření souborů jednotek ze souborů automatického spuštění .desktop.
  • Přidán příkaz "reboot-to-firmware" do "bootctl".
  • Přidány volby do systemd-firstboot: "--image" pro určení obrazu disku, který se má zavést, "--kernel-command-line" pro inicializaci souboru /etc/kernel/cmdline, "--root-password-hashed" pro zadejte hash hesla root a "--delete-root-password" pro odstranění hesla root.

Zdroj: opennet.ru

Přidat komentář