ProHoster > blog > newyddion rhyngrwyd > rhyddhau rheolwr system systemd 243

rhyddhau rheolwr system systemd 243

Ar ôl pum mis o ddatblygiad wedi'i gyflwyno rhyddhau rheolwr system systemd 243. Ymhlith y datblygiadau arloesol, gallwn nodi integreiddio triniwr cof isel yn y system i PID 1, cefnogaeth ar gyfer atodi eich rhaglenni BPF eich hun ar gyfer hidlo traffig uned, nifer o opsiynau newydd ar gyfer systemd-networkd, modd ar gyfer monitro lled band rhwydwaith rhyngwynebau, gan alluogi yn ddiofyn ar systemau 64-did rhifau PID 22-did yn lle 16-did, trosglwyddo i hierarchaeth cgroups unedig, cynnwys yn systemd-network-generator.

Newidiadau mawr:

  • Mae cydnabyddiaeth o signalau a gynhyrchir gan gnewyllyn am y tu allan i'r cof (Allan o'r Cof, OOM) wedi'i ychwanegu at y triniwr PID 1 i drosglwyddo unedau sydd wedi cyrraedd y terfyn defnydd cof i gyflwr arbennig gyda'r gallu dewisol i'w gorfodi i derfynu neu stopio;
  • Ar gyfer ffeiliau uned, paramedrau newydd IPIngressFilterPath a
    IPEgressFilterPath, sy'n eich galluogi i gysylltu rhaglenni BPF â thrinwyr mympwyol i hidlo pecynnau IP sy'n dod i mewn ac allan a gynhyrchir gan brosesau sy'n gysylltiedig â'r uned hon. Mae'r nodweddion arfaethedig yn caniatáu ichi greu math o wal dân ar gyfer gwasanaethau systemd. Esiampl ysgrifennu hidlydd rhwydwaith syml yn seiliedig ar BPF;

  • Mae'r gorchymyn “glân” wedi'i ychwanegu at y cyfleustodau systemctl i ddileu'r storfa, ffeiliau amser rhedeg, gwybodaeth statws a chyfeiriaduron log;
  • systemd-networkd yn ychwanegu cefnogaeth ar gyfer rhyngwynebau rhwydwaith MACsec, nlmon, IPVTAP a Xfrm;
  • mae systemd-networkd yn gweithredu cyfluniad ar wahân o staciau DHCPv4 a DHCPv6 trwy'r adrannau “[DHCPv4]” a “[DHCPv6]” yn y ffeil ffurfweddu. Ychwanegwyd yr opsiwn RoutesToDNS i ychwanegu llwybr ar wahân i'r gweinydd DNS a nodir yn y paramedrau a dderbyniwyd gan y gweinydd DHCP (fel bod traffig i'r DNS yn cael ei anfon trwy'r un ddolen â'r prif lwybr a dderbyniwyd gan y DHCP). Mae opsiynau newydd wedi'u hychwanegu ar gyfer DHCPv4: MaxAttempts - uchafswm nifer y ceisiadau i gael cyfeiriad, BlackList - rhestr ddu o weinyddion DHCP, SendRelease - galluogi anfon negeseuon RELEASE DHCP pan ddaw'r sesiwn i ben;
  • Mae gorchmynion newydd wedi'u hychwanegu at y cyfleustodau systemd-analyze:
    • “stamp amser systemd-dadansoddi” - dosrannu a throsi amser;
    • “ystod amser dadansoddi systemd” - dadansoddi a throsi cyfnodau amser;
    • “systemd-analyze condition” - dosrannu a phrofi mynegiadau ConditionXYZ;
    • “systemd-analyze exit-status” - dosrannu a throsi codau ymadael o rifau i enwau ac i'r gwrthwyneb;
    • "systemd-analyze unit-files" - Yn rhestru'r holl lwybrau ffeil ar gyfer unedau ac arallenwau uned.
  • Opsiynau SuccessExitStatus, RestartPreventExitStatus a
    Mae RestartForceExitStatus bellach yn cefnogi nid yn unig godau dychwelyd rhifol, ond hefyd eu dynodwyr testun (er enghraifft, "DATAERR"). Gallwch weld y rhestr o godau a neilltuwyd i ddynodwyr gan ddefnyddio'r gorchymyn “sytemd-analyze exit-status”;

  • Mae'r gorchymyn “dileu” wedi'i ychwanegu at y cyfleustodau networkctl i ddileu dyfeisiau rhwydwaith rhithwir, yn ogystal â'r opsiwn “-stats” i arddangos ystadegau dyfais;
  • Mae gosodiadau SpeedMeter a SpeedMeterIntervalSec wedi'u hychwanegu at networkd.conf ar gyfer mesur trwybwn rhyngwynebau rhwydwaith o bryd i'w gilydd. Gellir gweld ystadegau a gafwyd o'r canlyniadau mesur yn allbwn y gorchymyn 'statws networkctl';
  • Ychwanegwyd systemd-network-generator cyfleustodau newydd ar gyfer cynhyrchu ffeiliau
    .network, .netdev a .link yn seiliedig ar osodiadau IP a basiwyd pan lansiwyd trwy'r llinell orchymyn cnewyllyn Linux mewn fformat gosodiadau Dracut;

  • Mae'r gwerth sysctl "kernel.pid_max" ar systemau 64-bit bellach wedi'i osod yn ddiofyn i 4194304 (PIDs 22-did yn lle 16-did), sy'n lleihau'r tebygolrwydd o wrthdrawiadau wrth aseinio PIDs, yn cynyddu'r terfyn ar nifer y rhai ar yr un pryd. rhedeg prosesau, ac yn cael effaith gadarnhaol ar ddiogelwch. Gallai’r newid o bosibl arwain at faterion cydnawsedd, ond nid yw materion o’r fath wedi’u hadrodd yn ymarferol eto;
  • Yn ddiofyn, mae'r cam adeiladu yn newid i'r hierarchaeth unedig cgroups-v2 (“-Ddefault-hierarchy=unified”). Yn flaenorol, y rhagosodiad oedd modd hybrid (“-Ddefault-hierarchy=hybrid”);
  • Mae ymddygiad hidlydd galwadau'r system (SystemCallFilter) wedi'i newid, sydd, yn achos galwad system waharddedig, bellach yn terfynu'r broses gyfan, yn hytrach nag edafedd unigol, oherwydd gallai terfynu edafedd unigol arwain at broblemau anrhagweladwy. Mae'r newidiadau ond yn berthnasol os oes gennych chi gnewyllyn Linux 4.14+ a libseccomp 2.4.0+;
  • Rhoddir y gallu i raglenni difreintiedig anfon pecynnau ICMP Echo (ping) trwy osod y sysctl "net.ipv4.ping_group_range" ar gyfer yr ystod gyfan o grwpiau (ar gyfer pob proses);
  • Er mwyn cyflymu'r broses adeiladu, mae cynhyrchu llawlyfrau dyn wedi'i atal yn ddiofyn (i adeiladu dogfennaeth lawn, mae angen i chi ddefnyddio'r opsiwn "-Dman=true" neu "-Dhtml=true" ar gyfer llawlyfrau mewn fformat html). Er mwyn ei gwneud hi'n haws gweld y ddogfennaeth, mae dwy sgript wedi'u cynnwys: build/man/man ac build/man/html ar gyfer cynhyrchu a rhagweld llawlyfrau o ddiddordeb;
  • I brosesu enwau parth gyda nodau o'r wyddor genedlaethol, defnyddir y llyfrgell libidn2 yn ddiofyn (i ddychwelyd libidn, defnyddiwch yr opsiwn "-Dlibidn=true");
  • Mae cefnogaeth ar gyfer y ffeil gweithredadwy /usr/sbin/halt.local, a oedd yn darparu swyddogaeth nad oedd wedi'i dosbarthu'n eang mewn dosbarthiadau, wedi'i therfynu. I drefnu lansiad gorchmynion wrth gau i lawr, argymhellir defnyddio sgriptiau yn /usr/lib/systemd/system-shutdown/ neu ddiffinio uned newydd sy'n dibynnu ar final.target;
  • Ar gam olaf y cau i lawr, mae systemd bellach yn cynyddu lefel y log yn y sysctl “kernel.printk” yn awtomatig, sy'n datrys y broblem gydag arddangos yn y log digwyddiadau a ddigwyddodd yng nghamau diweddarach y cau, pan fydd y daemonau logio rheolaidd eisoes wedi'u cwblhau ;
  • Mewn journalctl a chyfleustodau eraill sy'n arddangos boncyffion, mae rhybuddion wedi'u hamlygu mewn melyn, ac mae cofnodion archwilio wedi'u hamlygu mewn glas i'w hamlygu'n weledol o'r dorf;
  • Yn y newidyn amgylchedd $PATH, mae’r llwybr i’r bin/ nawr yn dod cyn y llwybr i sbin/, h.y. os oes enwau union yr un fath o ffeiliau gweithredadwy yn y ddau gyfeiriadur, bydd y ffeil o bin/ yn cael ei gweithredu;
  • mae systemd-logind yn darparu galwad SetBrightness() i newid disgleirdeb y sgrin yn ddiogel fesul sesiwn;
  • Mae'r faner “--wait-for-initialization” wedi'i hychwanegu at y gorchymyn “udevadm info” i aros i'r ddyfais gychwyn;
  • Yn ystod cychwyn y system, mae triniwr PID 1 bellach yn dangos enwau unedau yn hytrach na llinell gyda'u disgrifiad. I ddychwelyd i ymddygiad y gorffennol, gallwch ddefnyddio'r opsiwn StatusUnitFormat yn /etc/systemd/system.conf neu'r opsiwn cnewyllyn systemd.status_unit_format;
  • Ychwanegwyd opsiwn KExecWatchdogSec at /etc/systemd/system.conf ar gyfer corff gwarchod PID 1, sy'n pennu'r terfyn amser ar gyfer ailgychwyn gan ddefnyddio kexec. Hen osodiad
    Mae ShutdownWatchdogSec wedi'i ailenwi i RebootWatchdogSec ac mae'n diffinio terfyn amser ar gyfer swyddi yn ystod cau i lawr neu ailgychwyn arferol;

  • Mae opsiwn newydd wedi'i ychwanegu ar gyfer gwasanaethau ExecCondition, sy'n eich galluogi i nodi gorchmynion a fydd yn cael eu gweithredu cyn ExecStartPre. Yn seiliedig ar y cod gwall a ddychwelwyd gan y gorchymyn, gwneir penderfyniad ar weithredu'r uned ymhellach - os dychwelir cod 0, mae lansiad yr uned yn parhau, os daw o 1 i 254 i ben yn dawel heb faner methiant, os yw 255 yn gorffen gyda baner methiant;
  • Ychwanegwyd systemd-pstore.service gwasanaeth newydd i dynnu data o sys/fs/pstore/ ac o arbed i /var/lib/pstore i'w ddadansoddi ymhellach;
  • Mae gorchmynion newydd wedi'u hychwanegu at y cyfleustodau timedatectl ar gyfer ffurfweddu paramedrau NTP ar gyfer systemd-timesyncd mewn perthynas â rhyngwynebau rhwydwaith;
  • Nid yw'r gorchymyn "localectl list-locales" bellach yn dangos locales heblaw UTF-8;
  • Yn sicrhau bod gwallau aseiniad newidiol mewn ffeiliau sysctl.d/ yn cael eu hanwybyddu os yw enw'r newidyn yn dechrau gyda'r nod “-“;
  • Gwasanaeth systemd-hap-seed.service bellach yn gwbl gyfrifol am gychwyn cronfa entropi y generadur rhif ffug-gnewyllyn cnewyllyn Linux. Dylid cychwyn gwasanaethau sydd angen /dev/urandom wedi'u cychwyn yn gywir ar ôl systemd-random-seed.service;
  • Mae'r cychwynnydd systemd-boot yn darparu'r gallu dewisol i gefnogi ffeil hadau gyda dilyniant ar hap yn Rhaniad System EFI (ESP);
  • Mae gorchmynion newydd wedi'u hychwanegu at y cyfleustodau bootctl: “bootctl random-seed” i gynhyrchu ffeil hadau yn yr ESP a “bootctl is-installed” i wirio gosod y cychwynnydd systemd-boot. mae bootctl hefyd wedi'i addasu i ddangos rhybuddion am gyfluniad anghywir cofnodion cychwyn (er enghraifft, pan fydd delwedd y cnewyllyn yn cael ei ddileu, ond mae'r cofnod ar gyfer ei lwytho ar ôl);
  • Yn darparu dewis awtomatig o'r rhaniad cyfnewid pan fydd y system yn mynd i'r modd cysgu. Dewisir y rhaniad yn dibynnu ar y flaenoriaeth sydd wedi'i ffurfweddu ar ei gyfer, ac yn achos blaenoriaethau union yr un fath, faint o le rhydd;
  • Ychwanegwyd opsiwn goramser ffeil bysell at /etc/crypttab i osod pa mor hir y bydd dyfais ag allwedd amgryptio yn aros cyn annog cyfrinair i gael mynediad i'r rhaniad wedi'i amgryptio;
  • Ychwanegwyd opsiwn IOWeight i osod y pwysau I/O ar gyfer yr amserlennydd BFQ;
  • ychwanegodd systemd-resolved modd 'llym' ar gyfer DNS-over-TLS a gweithredodd y gallu i storio ymatebion DNS cadarnhaol yn unig ("Cache no-negative" yn resolution.conf);
  • Ar gyfer VXLAN, mae systemd-networkd wedi ychwanegu opsiwn GenericProtocolExtension i alluogi estyniadau protocol VXLAN. Ar gyfer VXLAN a GENEVE, mae'r opsiwn IPDoNotFragment wedi'i ychwanegu i osod y faner gwahardd darnio ar gyfer pecynnau sy'n mynd allan;
  • Yn systemd-networkd, yn yr adran “[Route]”, mae'n ymddangos bod yr opsiwn FastOpenNoCookie yn galluogi'r mecanwaith ar gyfer agor cysylltiadau TCP yn gyflym (TFO - TCP Fast Open, RFC 7413) mewn perthynas â llwybrau unigol, yn ogystal â'r opsiwn TTLPropagate i ffurfweddu TTL LSP (Label Switched Path ). Mae'r opsiwn “Math” yn darparu cefnogaeth ar gyfer dulliau llwybro lleol, darlledu, anycast, aml-ddarllediad, unrhyw a xresolve;
  • Mae Systemd-networkd yn cynnig opsiwn DefaultRouteOnDevice yn yr adran “[Rhwydwaith]” i ffurfweddu llwybr rhagosodedig yn awtomatig ar gyfer dyfais rhwydwaith benodol;
  • Mae systemd-networkd wedi ychwanegu ProxyARP a
    ProxyARPWifi ar gyfer gosod ymddygiad ARP dirprwyol, MulticastRouter ar gyfer gosod paramedrau llwybro yn y modd aml-gast, MulticastIGMPVersion ar gyfer newid y fersiwn IGMP (Protocol Rheoli Grŵp Rhyngrwyd) ar gyfer aml-ddarllediad;

  • Mae Systemd-networkd wedi ychwanegu opsiynau Lleol, Peer a PeerPort ar gyfer twneli FooOverUDP i ffurfweddu'r cyfeiriadau IP lleol ac anghysbell, yn ogystal â rhif porthladd y rhwydwaith. Ar gyfer twneli TUN, mae'r opsiwn VnetHeader wedi'i ychwanegu i ffurfweddu cefnogaeth GSO (Generic Segment Offload);
  • Yn systemd-networkd, yn y ffeiliau .network a .link yn yr adran [Match], mae opsiwn Eiddo wedi ymddangos, sy'n eich galluogi i adnabod dyfeisiau yn ôl eu priodweddau penodol yn udev;
  • Mewn systemd-networkd, mae opsiwn AssignToLoopback wedi'i ychwanegu ar gyfer twneli, sy'n rheoli a yw diwedd y twnnel wedi'i neilltuo i'r ddyfais loopback “lo”;
  • mae systemd-networkd yn actifadu'r stack IPv6 yn awtomatig os caiff ei rwystro trwy sysctl disable_ipv6 - mae IPv6 yn cael ei actifadu os yw gosodiadau IPv6 (statig neu DHCPv6) wedi'u diffinio ar gyfer y rhyngwyneb rhwydwaith, fel arall nid yw'r gwerth sysctl a osodwyd eisoes yn newid;
  • Mewn ffeiliau .network, mae'r gosodiad CriticalConnection wedi'i ddisodli gan yr opsiwn KeepConfiguration, sy'n darparu mwy o fodd i ddiffinio sefyllfaoedd (“ie”, “statig”, “dhcp-on-stop”, “dhcp”) lle dylai systemd-networkd peidio â chyffwrdd â chysylltiadau presennol wrth gychwyn;
  • Bregusrwydd sefydlog CVE-2019-15718, a achosir gan ddiffyg rheolaeth mynediad i'r rhyngwyneb D-Bus systemd-resolution. Mae'r mater yn caniatáu i ddefnyddiwr difreintiedig berfformio gweithrediadau sydd ar gael i weinyddwyr yn unig, megis newid gosodiadau DNS a chyfeirio ymholiadau DNS at weinydd twyllodrus;
  • Bregusrwydd sefydlog CVE-2019-9619yn ymwneud â pheidio â galluogi pam_systemd ar gyfer sesiynau nad ydynt yn rhyngweithiol, sy'n caniatáu ffugio'r sesiwn weithredol.

Ffynhonnell: opennet.ru

Ychwanegu sylw