ProHoster > blog > newyddion rhyngrwyd > Rhyddhau rheolwr system systemd 252 gyda chefnogaeth UKI (Unified Kernel Image).

Rhyddhau rheolwr system systemd 252 gyda chefnogaeth UKI (Unified Kernel Image).

Ar ôl pum mis o ddatblygiad, cyflwynwyd rhyddhau'r rheolwr system systemd 252. Y newid allweddol yn y fersiwn newydd oedd integreiddio cefnogaeth ar gyfer proses gychwyn wedi'i moderneiddio, sy'n eich galluogi i wirio nid yn unig y cnewyllyn a'r llwyth cychwyn, ond hefyd y cydrannau amgylchedd y system sylfaenol gan ddefnyddio llofnodion digidol.

Mae'r dull arfaethedig yn cynnwys defnyddio delwedd cnewyllyn unedig UKI (Delwedd Cnewyllyn Unedig) wrth lwytho, sy'n cyfuno triniwr ar gyfer llwytho'r cnewyllyn o UEFI (bonyn cychwyn UEFI), delwedd cnewyllyn Linux ac amgylchedd y system initrd wedi'i lwytho i'r cof, a ddefnyddir. ar gyfer ymgychwyn cychwynnol yn y cam cyn gosod y gwraidd FS . Mae delwedd UKI wedi'i phecynnu fel un ffeil gweithredadwy mewn fformat PE, y gellir ei llwytho gan ddefnyddio cychwynwyr traddodiadol neu ei galw'n uniongyrchol o gadarnwedd UEFI. Pan gaiff ei alw o UEFI, mae'n bosibl gwirio cywirdeb a dibynadwyedd llofnod digidol nid yn unig y cnewyllyn, ond hefyd cynnwys yr initrd.

Er mwyn cyfrifo paramedrau cofrestri TPM PCR (Cofrestr Ffurfweddu Llwyfan Modiwl Llwyfan Ymddiriededig) a ddefnyddir i fonitro cywirdeb delwedd UKI a chynhyrchu llofnod digidol, cynhwysir mesur systemd cyfleustodau newydd. Gall yr allwedd gyhoeddus a'r wybodaeth PCR sy'n cyd-fynd a ddefnyddir yn y llofnod gael eu mewnosod yn uniongyrchol i ddelwedd cychwyn UKI (mae'r allwedd a'r llofnod yn cael eu cadw mewn ffeil PE yn y meysydd '.pcrsig' a ​​'.pcrkey') a'u tynnu ohono gan allanol neu gyfleustodau mewnol.

Yn benodol, mae'r cyfleustodau systemd-cryptsetup, systemd-cryptenroll a systemd-creds wedi'u haddasu i ddefnyddio'r wybodaeth hon, a thrwy hynny gallwch sicrhau bod rhaniadau disg wedi'u hamgryptio wedi'u rhwymo i gnewyllyn wedi'i lofnodi'n ddigidol (yn yr achos hwn, mynediad i'r rhaniad wedi'i amgryptio yn cael ei ddarparu dim ond os yw delwedd UKI wedi pasio dilysiad trwy lofnod digidol yn seiliedig ar baramedrau a leolir yn TPM).

Yn ogystal, mae'r cyfleustodau systemd-pcrphase wedi'i gynnwys, sy'n eich galluogi i reoli rhwymo gwahanol gamau cychwyn i baramedrau sydd wedi'u lleoli er cof am cryptoprocessors sy'n cefnogi manyleb TPM 2.0 (er enghraifft, gallwch sicrhau bod allwedd dadgryptio rhaniad LUKS2 ar gael yn unig yn y ddelwedd initrd a rhwystro mynediad iddo yn ystod camau diweddarach i'w lawrlwytho).

Rhai newidiadau eraill:

  • Yn sicrhau mai'r locale rhagosodedig yw C.UTF-8 oni bai bod locale gwahanol wedi'i nodi yn y gosodiadau.
  • Mae bellach yn bosibl cyflawni gweithrediad rhagosodedig gwasanaeth cyflawn (“systemctl presset”) yn ystod y cychwyn cyntaf. Mae galluogi rhagosodiadau ar amser cychwyn yn gofyn am adeiladu gyda'r opsiwn "-Dfirst-boot-full-preset", ond bwriedir ei alluogi yn ddiofyn mewn datganiadau yn y dyfodol.
  • Mae'r unedau rheoli defnyddwyr yn cynnwys rheolydd adnoddau CPU, a wnaeth hi'n bosibl sicrhau bod y gosodiadau CPUWeight yn cael eu cymhwyso i'r holl unedau tafell a ddefnyddir i rannu'r system yn rhannau (app.slice, background.slice, session.slice) i ynysu adnoddau rhwng gwasanaethau defnyddwyr gwahanol, yn cystadlu am adnoddau CPU. Mae CPUWeight hefyd yn cefnogi'r gwerth “segur” i actifadu'r modd darparu adnoddau priodol.
  • Mewn unedau dros dro (“dros dro”) ac yn y cyfleustodau systemd-repart, caniateir gor-redeg gosodiadau trwy greu ffeiliau galw heibio yn y cyfeiriadur /etc/systemd/system/name.d/.
  • Ar gyfer delweddau system, gosodir y faner â chymorth, gan bennu'r ffaith hon yn seiliedig ar werth y paramedr newydd “SUPPORT_END=” yn y ffeil /etc/os-release.
  • Ychwanegwyd gosodiadau “ConditionCredential=” ac “AssertCredential=”, y gellir eu defnyddio i anwybyddu neu chwalu unedau os nad yw rhai manylion adnabod yn bresennol yn y system.
  • Ychwanegwyd gosodiadau “DefaultSmackProcessLabel=” a “DefaultDeviceTimeoutSec=” i system.conf a user.conf i ddiffinio lefel diogelwch rhagosodedig SMACK a goramser actifadu uned.
  • Yn y gosodiadau “ConditionFirmware=” ac “AssertFirmware=”, mae'r gallu i nodi meysydd SMBIOS unigol wedi'i ychwanegu, er enghraifft, i lansio uned dim ond os yw'r maes /sys/class/dmi/id/board_name yn cynnwys y gwerth “Custom Bwrdd", gallwch chi nodi "ConditionFirmware=smbios" -field(board_name = "Bwrdd Cwsmer")".
  • Yn ystod y broses gychwynnol (PID 1), mae'r gallu i fewnforio tystlythyrau o feysydd SMBIOS (Math 11, “llinynnau gwerthwr OEM”) wedi'i ychwanegu yn ychwanegol at eu diffiniad trwy qemu_fwcfg, sy'n symleiddio'r ddarpariaeth o gymwysterau i beiriannau rhithwir ac yn dileu'r angen offer trydydd parti fel cwmwl -init a thanio.
  • Yn ystod y cau i lawr, mae'r rhesymeg ar gyfer dadosod systemau ffeiliau rhithwir (proc, sys) wedi'i newid ac mae gwybodaeth am brosesau sy'n rhwystro dadosod systemau ffeiliau yn cael ei chadw yn y log.
  • Mae'r hidlydd galwadau system (SystemCallFilter) yn caniatáu mynediad i'r alwad system riscv_flush_icache yn ddiofyn.
  • Mae'r cychwynnydd sd-boot yn ychwanegu'r gallu i gychwyn mewn modd cymysg, lle mae'r cnewyllyn Linux 64-bit yn rhedeg o firmware UEFI 32-bit. Ychwanegwyd gallu arbrofol i gymhwyso allweddi SecureBoot yn awtomatig o ffeiliau a geir yn ESP (rhaniad system EFI).
  • Mae opsiynau newydd wedi'u hychwanegu at y cyfleustodau bootctl: “—all-pensaernïaeth” ar gyfer gosod deuaidd ar gyfer pob pensaernïaeth EFI a gefnogir, “—root=” a “—image=” ar gyfer gweithio gyda chyfeiriadur neu ddelwedd disg, “—install-source =” ar gyfer diffinio ffynhonnell ar gyfer gosod, " -efi-boot-option-description = " i reoli enwau mynediad cychwyn.
  • Mae'r gorchymyn 'list-automounts' wedi'i ychwanegu at y cyfleustodau systemctl i ddangos rhestr o gyfeiriaduron wedi'u gosod yn awtomatig a'r opsiwn "--image=" i weithredu gorchmynion mewn perthynas â'r ddelwedd ddisg penodedig. Ychwanegwyd opsiynau "--state=" a "--type=" i'r gorchmynion 'show' a 'status'.
  • ychwanegodd systemd-networkd opsiynau “TCPCongestionControlAlgorithm=” i ddewis yr algorithm rheoli tagfeydd TCP, “KeepFileDescriptor=” i gadw disgrifydd ffeil rhyngwynebau TUN/TAP, “NetLabel=” i osod NetLabels, “RapidCommit=” i gyflymu'r ffurfweddiad trwy DHCPv6 (RFC 3315). Mae'r paramedr “RouteTable =” yn caniatáu nodi enwau tablau llwybro.
  • mae systemd-nspawn yn caniatáu defnyddio llwybrau ffeil cymharol yn yr opsiynau "--bind=" a "--overlay=". Ychwanegwyd cefnogaeth i'r paramedr 'rootidmap' i'r opsiwn "--bind=" i glymu'r ID defnyddiwr gwraidd yn y cynhwysydd i berchennog y cyfeiriadur wedi'i osod ar yr ochr gwesteiwr.
  • mae systemd-resolution yn defnyddio OpenSSL fel ei gefn amgryptio yn ddiofyn (mae cefnogaeth gnutls yn cael ei gadw fel opsiwn). Mae algorithmau DNSSEC nas cefnogir bellach yn cael eu trin fel rhai anniogel yn lle dychwelyd gwall (SERVFAIL).
  • Mae systemd-sysusers, systemd-tmpfiles a systemd-sysctl yn gweithredu'r gallu i drosglwyddo gosodiadau trwy fecanwaith storio credential.
  • Ychwanegwyd gorchymyn 'cymharu-fersiynau' i systemd-dadansoddi i gymharu llinynnau â rhifau fersiwn (tebyg i 'rpmdev-vercmp' a 'dpkg --compare-versions'). Ychwanegwyd y gallu i hidlo unedau trwy fwgwd i'r gorchymyn 'dympio systemd-analyze'.
  • Wrth ddewis modd cysgu aml-gam (atal - yna gaeafgysgu), mae'r amser a dreulir yn y modd segur bellach yn cael ei ddewis yn seiliedig ar y rhagolwg o weddill bywyd batri. Mae trosglwyddo ar unwaith i'r modd cysgu yn digwydd pan fydd llai na 5% o dâl batri yn parhau.
  • Mae modd allbwn newydd "-o short-delta" wedi'i ychwanegu at 'journalctl', sy'n dangos y gwahaniaeth amser rhwng gwahanol negeseuon yn y log.
  • systemd-repart yn ychwanegu cefnogaeth ar gyfer creu rhaniadau gyda'r system ffeiliau Squashfs a rhaniadau ar gyfer dm-verity, gan gynnwys gyda llofnodion digidol.
  • Ychwanegwyd "StopIdleSessionSec=" gosodiad i systemd-logind i ddod â sesiwn anactif i ben ar ôl terfyn amser penodedig.
  • Mae Systemd-cryptenroll wedi ychwanegu opsiwn " --unlock-key-file = " i echdynnu'r allwedd dadgryptio o ffeil yn hytrach nag annog y defnyddiwr.
  • Mae bellach yn bosibl rhedeg y cyfleustodau systemd-growfs mewn amgylcheddau heb udev.
  • systemd-backlight wedi gwella cefnogaeth ar gyfer systemau gyda chardiau graffeg lluosog.
  • Mae'r drwydded ar gyfer yr enghreifftiau cod a ddarperir yn y ddogfennaeth wedi'i newid o CC0 i MIT-0.

Newidiadau sy'n torri cydnawsedd:

  • Wrth wirio rhif fersiwn y cnewyllyn gan ddefnyddio cyfarwyddeb ConditionKernelVersion, mae cymhariaeth llinynnol syml bellach yn cael ei defnyddio yn y gweithredwyr '=' a '!=', ac os nad yw'r gweithredwr cymhariaeth wedi'i nodi o gwbl, gellir defnyddio paru masgiau glob gan ddefnyddio'r cymeriadau '*','?' A '[', ']'. I gymharu fersiynau arddull stverscmp(), defnyddiwch y gweithredwyr '<', '>', '<=' a '>='.
  • Mae'r tag SELinux a ddefnyddir i wirio mynediad o ffeil uned bellach yn cael ei ddarllen ar yr adeg y caiff y ffeil ei llwytho, yn hytrach nag ar adeg y gwiriad mynediad.
  • Mae'r amod "ConditionFirstBoot" bellach yn cael ei sbarduno ar gychwyn cyntaf y system yn uniongyrchol ar y cam cychwyn yn unig ac yn dychwelyd "ffug" wrth alw unedau ar ôl i'r cychwyn gael ei gwblhau.
  • Yn 2024, mae systemd yn bwriadu rhoi'r gorau i gefnogi'r mecanwaith cyfyngu adnoddau cgroup v1, a anghymeradwywyd yn rhyddhau systemd 248. Cynghorir gweinyddwyr i fod yn ofalus cyn mudo gwasanaethau cgroup v2 yn seiliedig ar cgroup v1. Y gwahaniaeth allweddol rhwng cgroups v2 a v1 yw'r defnydd o hierarchaeth cgroups cyffredin ar gyfer pob math o adnoddau, yn lle hierarchaethau ar wahân ar gyfer dyrannu adnoddau CPU, ar gyfer rheoleiddio defnydd cof, ac ar gyfer I/O. Mae hierarchaethau ar wahân yn arwain at anawsterau wrth drefnu rhyngweithio rhwng trinwyr ac at gostau adnoddau cnewyllyn ychwanegol wrth gymhwyso rheolau ar gyfer proses y cyfeirir ati mewn gwahanol hierarchaethau.
  • Yn ail hanner 2023, rydym yn bwriadu dod â chefnogaeth i hierarchaethau cyfeiriadur hollt i ben, lle mae / usr wedi'i osod ar wahân i'r gwraidd, neu / bin a / usr / bin, / lib a / usr / lib yn cael eu gwahanu.

Ffynhonnell: opennet.ru

Ychwanegu sylw