Po třech a půl měsících vývoje byla představena verze správce systému systemd 253.
Mezi změny v nové verzi:
- Balíček obsahuje obslužný program „ukify“, který je navržen pro vytváření, ověřování a generování podpisů pro sjednocené obrazy jádra (UKI, Unified Kernel Image), kombinující obslužný program pro načítání jádra z UEFI (UEFI boot stub), obraz linuxového jádra a systémové prostředí načtené do paměti initrd, používané pro počáteční inicializaci ve fázi před připojením kořenového souborového systému. Obslužný program nahrazuje funkcionalitu, kterou dříve poskytoval příkaz 'dracut -uefi' a doplňuje ji o možnosti automatického výpočtu offsetů v souborech PE, slučování initrd, podepisování vložených obrazů jádra, vytváření kombinovaných obrazů pomocí sbsign, heuristiku pro určení názvu jádra, kontrolu obrázek s úvodní obrazovkou a přidáním podepsaných zásad PCR generovaných obslužným programem systemd-measure.
- Přidána podpora pro prostředí initrd neomezená umístěním paměti, ve kterých se místo tmpfs používá overlayfs. V takových prostředích systemd po přepnutí kořenového systému souborů nevymaže všechny soubory v initrd.
- Do služeb byl přidán parametr „OpenFile“ pro otevírání libovolných souborů v souborovém systému (nebo připojení k Unixovým soketům) a předávání souvisejících deskriptorů souborů do spuštěného procesu (například když potřebujete zorganizovat přístup k souboru pro neprivilegovaná služba beze změny přístupových práv k souboru) .
- V systemd-cryptenroll je možné při registraci nových klíčů odemknout zašifrované oddíly pomocí tokenů FIDO2 (--unlock-fido2-device) bez vyžadování hesla. Uživatelem zadaný PIN kód je uložen se solí, aby se zkomplikovala detekce hrubou silou.
- Přidána nastavení ReloadLimitIntervalSec a ReloadLimitBurst, stejně jako možnosti příkazového řádku jádra (systemd.reload_limit_interval_sec a /systemd.reload_limit_burst), aby se omezila intenzita restartů procesu na pozadí.
- Pro jednotky byla implementována volba „MemoryZSwapMax“ pro konfiguraci vlastnosti memory.zswap.max, která určuje maximální velikost zswap.
- Pro jednotky byla implementována možnost „LogFilterPatterns“, která umožňuje nastavit regulární výrazy pro filtrování výstupu informací do protokolu (lze použít k vyloučení určitého výstupu nebo k uložení pouze určitých dat).
- Jednotky rozsahu nyní podporují nastavení „OOMPolicy“ pro nastavení chování při pokusu o preempt, když je nedostatek paměti (přihlašovací relace jsou nastaveny na OOMPolicy=continue, aby je OOM zabiják násilně neukončil).
- Byl definován nový typ služby – „Type=notify-reload“, který rozšiřuje typ „Type=notify“ o možnost čekat na dokončení zpracování signálu restartu (SIGHUP). Na nový typ byly převedeny služby systemd-networkd.service, systemd-udevd.service a systemd-logind.
- udev používá nové schéma pojmenování pro síťová zařízení, rozdíl je v tom, že pro USB zařízení, která nejsou vázána na PCI sběrnici, je nyní ID_NET_NAME_PATH nastaveno tak, aby zajistilo předvídatelnější názvy. Operátor '-=' byl implementován pro proměnné SYMLINK, takže symbolické odkazy zůstávají nenakonfigurovány, pokud bylo dříve definováno pravidlo pro jejich přidání.
- V systemd-boot byl přepracován přenos seed pro generátory pseudonáhodných čísel v jádře a pro diskový backend. Přidána podpora načítání kernelu nejen z ESP (EFI System Partition), například z firmwaru nebo přímo pro QEMU. Analýzou parametrů SMBIOS lze určit spuštění ve virtualizačním prostředí. Byl implementován nový „if-safe“ režim, ve kterém je certifikát pro UEFI Secure Boot načten z ESP pouze v případě, že je považován za bezpečný (běží na virtuálním počítači).
- Obslužný program bootctl implementuje generování systémových tokenů na všech systémech EFI kromě virtualizačních prostředí. Přidány příkazy 'kernel-identify' a 'kernel-inspect' pro zobrazení typu obrazu jádra a informace o možnostech příkazového řádku a verzi jádra, 'unlink' pro odstranění souboru spojeného s prvním typem zaváděcích záznamů, 'cleanup' pro odstranění všech soubory z adresáře "entry-token" v ESP a XBOOTLDR, které nejsou spojeny s prvním typem zaváděcích záznamů. Bylo zajištěno zpracování proměnné KERNEL_INSTALL_CONF_ROOT.
- Příkaz 'systemctl list-dependencies' nyní podporuje zpracování voleb '--type' a '--state' a příkaz 'systemctl kexec' přidává podporu pro prostředí založená na hypervizoru Xen.
- V souborech .network v sekci [DHCPv4] byla nyní přidána podpora voleb SocketPriority a QuickAck, RouteMetric=high|medium|low.
- Systemd-repart přidal možnosti „--include-partitions“, „--exclude-partitions“ a „--defer-partitions“ pro filtrování oddílů podle typu UUID, což vám například umožňuje vytvářet obrazy, ve kterých je jeden oddíl vytvořené na základě obsahu jiného oddílu . Také přidána možnost "--sector-size" pro určení velikosti sektoru použitého při vytváření oddílu. Přidána podpora pro generování souborů erofs. Nastavení Minimalizovat implementuje zpracování „nejlepší“ hodnoty pro výběr minimální možné velikosti obrázku.
- systemd-journal-remote umožňuje použití nastavení MaxUse, KeepFree, MaxFileSize a MaxFiles k omezení spotřeby místa na disku.
- systemd-cryptsetup přidává podporu pro odesílání proaktivních požadavků na tokeny FIDO2 k určení jejich přítomnosti před ověřením.
- Do crypttabu byly přidány nové parametry tpm2-measure-bank a tpm2-measure-pcr.
- systemd-gpt-auto-generator implementuje připojování oddílů ESP a XBOOTLDR v režimech „noexec,nosuid,nodev“ a také přidává účtování pro parametry rootfstype a rootflags předávané přes příkazový řádek jádra.
- systemd-resolved poskytuje možnost konfigurovat parametry resolveru zadáním voleb nameserver, domain, network.dns a network.search_domains na příkazovém řádku jádra.
- Příkaz „systemd-analyze plot“ má nyní při zadání příznaku „-json“ možnost výstupu ve formátu JSON. Pro ovládání výstupu byly také přidány nové možnosti "--table" a "-no-legend".
- V roce 2023 plánujeme ukončit podporu pro cgroups v1 a rozdělené hierarchie adresářů (kde /usr je připojen odděleně od kořenového adresáře, nebo /bin a /usr/bin, /lib a /usr/lib jsou odděleny).
Zdroj: opennet.ru