ProHoster > blog > newyddion rhyngrwyd > rhyddhau rheolwr system systemd 248

rhyddhau rheolwr system systemd 248

Ar ôl pedwar mis o ddatblygiad, cyflwynir rhyddhau'r rheolwr system systemd 248. Mae'r datganiad newydd yn darparu cefnogaeth ar gyfer delweddau ar gyfer ehangu cyfeiriaduron system, y ffeil ffurfweddu /etc/veritytab, y cyfleustodau systemd-cryptenroll, datgloi LUKS2 gan ddefnyddio sglodion TPM2 a FIDO2 tocynnau, rhedeg unedau mewn gofod adnabod IPC ynysig, protocol B.A.T.M.A.N ar gyfer rhwydweithiau rhwyll, backend nftables ar gyfer systemd-nspawn. Systemd-oomd wedi'i sefydlogi.

Newidiadau mawr:

  • Mae'r cysyniad o ddelweddau Estyniad System wedi'i weithredu, y gellir ei ddefnyddio i ymestyn hierarchaeth y cyfeirlyfrau /usr/ a / opt/, ac ychwanegu ffeiliau ychwanegol ar amser rhedeg, hyd yn oed os yw'r cyfeiriaduron penodedig wedi'u gosod yn ddarllen-yn-unig. Pan fydd delwedd estyniad system wedi'i gosod, mae ei chynnwys yn cael ei throshaenu ar yr hierarchaeth /usr/ a /opt/ gan ddefnyddio OverlayFS.

    Mae cyfleustodau newydd, systemd-sysext, wedi'i gynnig i gysylltu, datgysylltu, gweld a diweddaru delweddau o estyniadau system. I gysylltu delweddau sydd eisoes wedi'u gosod yn awtomatig yn ystod y cychwyn, mae'r gwasanaeth systemd-sysext.service wedi'i ychwanegu. Ychwanegwyd " SYSEXT_LEVEL = " paramedr at y ffeil os-release i bennu lefel yr estyniadau system a gefnogir.

  • Ar gyfer unedau, mae'r gosodiad ExtensionImages wedi'i weithredu, y gellir ei ddefnyddio i gysylltu delweddau estyniad system i hierarchaeth gofod enwau FS o wasanaethau unigol unigol.
  • Ychwanegwyd ffeil ffurfweddu /etc/veritytab i ffurfweddu dilysu data ar lefel bloc gan ddefnyddio'r modiwl dm-verity. Mae fformat y ffeil yn debyg i /etc/crypttab - “section_name device_for_data device_for_hashes check_hash_root options.” Ychwanegwyd opsiwn llinell orchymyn cnewyllyn systemd.verity.root_options i ffurfweddu ymddygiad dm-verity ar gyfer y ddyfais gwraidd.
  • mae systemd-cryptsetup yn ychwanegu'r gallu i echdynnu'r tocyn PKCS#11 URI a'r allwedd wedi'i hamgryptio o bennyn metadata LUKS2 mewn fformat JSON, gan ganiatáu i wybodaeth am agor dyfais wedi'i hamgryptio gael ei hintegreiddio i'r ddyfais ei hun heb gynnwys ffeiliau allanol.
  • Mae systemd-cryptsetup yn darparu cefnogaeth ar gyfer datgloi rhaniadau wedi'u hamgryptio LUKS2 gan ddefnyddio sglodion TPM2 a thocynnau FIDO2, yn ogystal â thocynnau PKCS #11 a gefnogwyd yn flaenorol. Mae llwytho libfido2 yn cael ei wneud trwy dlopen(), h.y. mae argaeledd yn cael ei wirio ar y hedfan, yn hytrach nag fel dibyniaeth wifrog.
  • Mae opsiynau newydd “no-write-workqueue” a “no-read-workqueue” wedi’u hychwanegu at /etc/crypttab ar gyfer systemd-cryptsetup i alluogi prosesu I/O yn gydamserol sy’n gysylltiedig ag amgryptio a dadgryptio.
  • Mae'r cyfleustodau systemd-repart wedi ychwanegu'r gallu i actifadu rhaniadau wedi'u hamgryptio gan ddefnyddio sglodion TPM2, er enghraifft, i greu rhaniad wedi'i amgryptio /var ar y cychwyn cyntaf.
  • Mae'r cyfleustodau systemd-cryptenroll wedi'i ychwanegu i rwymo tocynnau TPM2, FIDO2 a PKCS#11 i raniadau LUKS, yn ogystal â dad-binio a gweld tocynnau, rhwymo allweddi sbâr a gosod cyfrinair ar gyfer mynediad.
  • Ychwanegwyd y paramedr PrivateIPC, sy'n eich galluogi i ffurfweddu ffeil yr uned i redeg prosesau mewn gofod IPC ynysig gyda'u dynodwyr ar wahân a'u ciw neges eu hunain. I gysylltu uned â gofod dynodwr IPC sydd eisoes wedi'i greu, cynigir yr opsiwn IPCNamespacePath.
  • Ychwanegwyd gosodiadau ExecPaths a NoExecPaths i ganiatáu i'r faner noexec gael ei gosod ar rannau penodol o'r system ffeiliau.
  • systemd-networkd yn ychwanegu cefnogaeth ar gyfer y protocol rhwyll B.A.T.M.A.N. (“Gwell Agwedd at Rwydweithio Adhoc Symudol”), sy'n eich galluogi i greu rhwydweithiau datganoledig, y mae pob nod ynddo wedi'i gysylltu trwy nodau cyfagos. Ar gyfer cyfluniad, cynigir yr adran [BatmanAdvanced] yn .netdev, y paramedr BatmanAdvanced mewn ffeiliau .network, a math dyfais newydd “batadv”.
  • Mae gweithrediad y mecanwaith ymateb cynnar ar gyfer cof isel yn y system systemd-oomd wedi'i sefydlogi. Ychwanegwyd yr opsiwn DefaultMemoryPressureDurationSec i ffurfweddu'r amser aros i adnodd gael ei ryddhau cyn effeithio ar uned. Mae Systemd-oomd yn defnyddio is-system cnewyllyn PSI (Gwybodaeth Stondin Pwysau) ac yn eich galluogi i ganfod cychwyniad oedi oherwydd diffyg adnoddau a therfynu prosesau adnoddau-ddwys yn ddetholus ar adeg pan nad yw'r system mewn cyflwr critigol eto ac nad yw'n gwneud hynny. dechrau tocio'r storfa yn ddwys a dadleoli'r data yn rhaniad cyfnewid.
  • Ychwanegwyd paramedr llinell orchymyn cnewyllyn “root = tmpfs”, sy'n eich galluogi i osod y rhaniad gwraidd mewn storfa dros dro sydd wedi'i lleoli yn RAM gan ddefnyddio Tmpfs.
  • Gall y paramedr /etc/crypttab sy'n pennu'r ffeil allweddol nawr bwyntio at fathau o soced AF_UNIX a SOCK_STREAM. Yn yr achos hwn, rhaid rhoi'r allwedd wrth gysylltu â'r soced, y gellir, er enghraifft, ei ddefnyddio i greu gwasanaethau sy'n cyhoeddi allweddi yn ddeinamig.
  • Bellach gellir gosod yr enw gwesteiwr wrth gefn i'w ddefnyddio gan reolwr y system a systemd-hostnamed mewn dwy ffordd: trwy'r paramedr DEFAULT_HOSTNAME mewn os-release a thrwy'r newidyn amgylchedd $SYSTEMD_DEFAULT_HOSTNAME. Mae systemd-hostnamed hefyd yn trin "localhost" yn yr enw gwesteiwr ac yn ychwanegu'r gallu i allforio'r enw gwesteiwr yn ogystal â'r eiddo "HardwareVendor" a "HardwareModel" trwy DBus.
  • Bellach gellir ffurfweddu'r bloc gyda newidynnau amgylchedd agored trwy'r opsiwn ManagerEnvironment newydd yn system.conf neu user.conf, ac nid yn unig trwy'r llinell orchymyn cnewyllyn a gosodiadau ffeil uned.
  • Ar amser llunio, mae'n bosibl defnyddio'r alwad system fexecve() i gychwyn prosesau yn lle execve() i leihau'r oedi rhwng gwirio'r cyd-destun diogelwch a'i gymhwyso.
  • Ar gyfer ffeiliau uned, mae gweithrediadau amodol newydd ConditionSecurity=tpm2 a ConditionCPUFeature wedi'u hychwanegu i wirio am bresenoldeb dyfeisiau TPM2 a galluoedd CPU unigol (er enghraifft, gellir defnyddio ConditionCPUFeature=rdrand i wirio a yw'r prosesydd yn cefnogi gweithrediad RDRAND).
  • Ar gyfer y cnewyllyn sydd ar gael, mae cynhyrchu tablau galwadau system yn awtomatig ar gyfer hidlwyr seccomp wedi'u rhoi ar waith.
  • Ychwanegwyd y gallu i amnewid mowntiau rhwymo newydd i ofodau enwau mowntio gwasanaethau presennol, heb ailgychwyn y gwasanaethau. Perfformir amnewid gyda’r gorchmynion ‘systemctl bind …’ a ‘systemctl mount-image …’.
  • Ychwanegwyd cefnogaeth ar gyfer pennu llwybrau yn y ffurf "truncate:" i'r gosodiadau StandardOutput a StandardError i'w clirio cyn ei ddefnyddio.
  • Ychwanegwyd y gallu i sefydlu cysylltiad â sesiwn defnyddiwr penodol o fewn cynhwysydd lleol i sd-bus. Er enghraifft "systemctl -user -M lennart@ start quux".
  • Mae'r paramedrau canlynol yn cael eu gweithredu yn y ffeiliau systemd.link yn yr adran [Cyswllt]:
    • Amlwg - yn caniatáu ichi newid y ddyfais i fodd “amlwg” i brosesu'r holl becynnau rhwydwaith, gan gynnwys y rhai nad ydynt wedi'u cyfeirio at y system gyfredol;
    • Ciwiau Trosglwyddo a Chiwiau Derbyn ar gyfer gosod nifer y ciwiau TX a RX;
    • TransmitQueueLength i osod maint y ciw TX; GenericSegmentOffloadMaxBytes a GenericSegmentOffloadMaxSegment ar gyfer gosod terfynau ar gyfer defnyddio technoleg GRO (Generic Receive Offload).
  • Mae gosodiadau newydd wedi'u hychwanegu at ffeiliau systemd.network:
    • [Rhwydwaith] RouteTable i ddewis tabl llwybro;
    • [RoutingPolicyRule] Math ar gyfer y math llwybro ("twll du, "anghygyrch", "gwaharddiad");
    • [IPv6AcceptRA] RouteDenyList a RouteAllowList ar gyfer rhestrau o hysbysebion llwybrau a ganiateir ac a wrthodwyd;
    • [DHCPv6] UseAddres i anwybyddu'r cyfeiriad a roddwyd gan DHCP;
    • [DHCPv6PrefixDelegation] RheoliCyfeiriad Dros Dro;
    • ActivationPolicy i ddiffinio'r polisi ynghylch gweithgaredd rhyngwyneb (cadwch mewn cyflwr UP neu I LAWR bob amser neu ganiatáu i'r defnyddiwr newid cyflwr gyda'r gorchymyn “ip link set dev”).
  • Ychwanegwyd [VLAN] Protocol, IngressQOSMaps, EgressQOSMaps, a [MACVLAN] opsiynau BroadcastMulticastQueueLength at ffeiliau systemd.netdev i ffurfweddu trin pecynnau VLAN.
  • Wedi stopio gosod y cyfeiriadur / dev / yn y modd noexec gan ei fod yn achosi gwrthdaro wrth ddefnyddio'r faner gweithredadwy gyda ffeiliau / dev / sgx. I ddychwelyd yr hen ymddygiad, gallwch ddefnyddio'r gosodiad NoExecPaths=/dev.
  • Mae caniatadau ffeil /dev/vsock wedi'u newid i 0o666, ac mae'r ffeiliau /dev/vhost-vsock a /dev/vhost-net wedi'u symud i'r grŵp kvm.
  • Mae'r gronfa ddata ID caledwedd wedi'i ehangu gyda darllenwyr olion bysedd USB sy'n cefnogi modd cysgu yn gywir.
  • cefnogaeth ychwanegol systemd-resolution ar gyfer cyhoeddi ymatebion i ymholiadau DNSSEC trwy ddatrysydd stub. Gall cleientiaid lleol berfformio dilysiad DNSSEC arnynt eu hunain, tra bod cleientiaid allanol yn cael eu dirprwyo heb eu newid i'r gweinydd DNS rhiant.
  • Ychwanegwyd yr opsiwn CacheFromLocalhost i resolution.conf, pan fydd wedi'i osod, bydd systemd-resolved yn defnyddio caching hyd yn oed ar gyfer galwadau i'r gweinydd DNS yn 127.0.0.1 (yn ddiofyn, mae caching ceisiadau o'r fath yn anabl er mwyn osgoi caching dwbl).
  • mae systemd-resolved yn ychwanegu cefnogaeth ar gyfer NSIDs RFC-5001 yn y datrysiad DNS lleol, gan ganiatáu i gleientiaid wahaniaethu rhwng rhyngweithiadau â'r datrysiad lleol a gweinydd DNS arall.
  • Mae'r cyfleustodau resolvectl yn gweithredu'r gallu i arddangos gwybodaeth am ffynhonnell data (storfa leol, cais rhwydwaith, ymateb prosesydd lleol) a'r defnydd o amgryptio wrth drosglwyddo data. Mae'r opsiynau --cache, --synthesize, --network, --zone, --trust-anchor, a --validate yn cael eu darparu i reoli'r broses pennu enw.
  • systemd-nspawn yn ychwanegu cefnogaeth ar gyfer ffurfweddu wal dân gan ddefnyddio nftables yn ychwanegol at y gefnogaeth iptables presennol. Mae'r gosodiad IPMasquerade yn systemd-networkd wedi ychwanegu'r gallu i ddefnyddio backend sy'n seiliedig ar nftables.
  • cefnogaeth ychwanegol systemd-localed ar gyfer galw locale-gen i gynhyrchu locales coll.
  • Mae opsiynau --pager/-no-pager/-json= wedi'u hychwanegu at wahanol gyfleustodau i alluogi/analluogi modd tudalennu ac allbwn mewn fformat JSON. Ychwanegwyd y gallu i osod nifer y lliwiau a ddefnyddir yn y derfynell trwy'r newidyn amgylchedd SYSTEMD_COLORS (“16” neu “256”).
  • Mae'r adeilad gyda hierarchaethau cyfeiriadur ar wahân (rhannu / a / usr) a chefnogaeth cgroup v1 wedi'u anghymeradwyo.
  • Mae'r brif gangen yn Git wedi'i hailenwi o 'feistr' i 'brif'.

Ffynhonnell: opennet.ru

Ychwanegu sylw