ProHoster > Blog > internet nyheder > systemd system manager udgivelse 250

systemd system manager udgivelse 250

Efter fem måneders udvikling blev udgivelsen af ​​system manager systemd 250 præsenteret. Den nye udgivelse introducerede muligheden for at gemme legitimationsoplysninger i krypteret form, implementeret verifikation af automatisk detekterede GPT-partitioner ved hjælp af en digital signatur, forbedret information om årsagerne til forsinkelser. starttjenester og tilføjede muligheder for at begrænse tjenesteadgang til visse filsystemer og netværksgrænseflader, understøttelse af partitionsintegritetsovervågning ved hjælp af dm-integrity-modulet er tilvejebragt, og understøttelse af sd-boot auto-update tilføjes.

Vigtigste ændringer:

  • Tilføjet understøttelse af krypterede og autentificerede legitimationsoplysninger, hvilket kan være nyttigt til sikker opbevaring af følsomme materialer såsom SSL-nøgler og adgangskoder. Dekryptering af legitimationsoplysninger udføres kun, når det er nødvendigt og i forbindelse med den lokale installation eller udstyr. Data krypteres automatisk ved hjælp af symmetriske krypteringsalgoritmer, hvis nøgle kan findes i filsystemet, i TPM2-chippen eller ved hjælp af et kombinationsskema. Når tjenesten starter, dekrypteres legitimationsoplysningerne automatisk og bliver tilgængelige for tjenesten i sin normale form. For at arbejde med krypterede legitimationsoplysninger er 'systemd-creds'-værktøjet blevet tilføjet, og indstillingerne LoadCredentialEncrypted og SetCredentialEncrypted er blevet foreslået for tjenester.
  • sd-stub, den eksekverbare EFI, der tillader EFI-firmware at indlæse Linux-kernen, understøtter nu opstart af kernen ved hjælp af LINUX_EFI_INITRD_MEDIA_GUID EFI-protokollen. Også tilføjet til sd-stub er muligheden for at pakke legitimationsoplysninger og sysext-filer ind i et cpio-arkiv og overføre dette arkiv til kernen sammen med initrd (yderligere filer placeres i /.extra/-mappen). Denne funktion giver dig mulighed for at bruge et verificerbart, uforanderligt initrd-miljø, suppleret med sysexts og krypterede autentificeringsdata.
  • Specifikationen for Discoverable Partitions er blevet betydeligt udvidet og giver værktøjer til at identificere, montere og aktivere systempartitioner ved hjælp af GPT (GUID Partition Tables). Sammenlignet med tidligere udgivelser understøtter specifikationen nu rodpartitionen og /usr-partitionen for de fleste arkitekturer, inklusive platforme, der ikke bruger UEFI.

    Discoverable Partitions tilføjer også understøttelse af partitioner, hvis integritet er verificeret af dm-verity-modulet ved hjælp af PKCS#7 digitale signaturer, hvilket gør det nemmere at skabe fuldt autentificerede diskbilleder. Verifikationsunderstøttelse er integreret i forskellige værktøjer, der manipulerer diskbilleder, inklusive systemd-nspawn, systemd-sysext, systemd-dissect, RootImage-tjenester, systemd-tmpfiler og systemd-sysusers.

  • For enheder, der tager lang tid at starte eller stoppe, er det, udover at vise en animeret statuslinje, muligt at vise statusinformation, der giver dig mulighed for at forstå, hvad der præcist sker med tjenesten i øjeblikket, og hvilken tjeneste systemadministratoren er venter i øjeblikket på at fuldføre.
  • Tilføjede DefaultOOMScoreAdjust-parameteren til /etc/systemd/system.conf og /etc/systemd/user.conf, som giver dig mulighed for at justere OOM-killer-tærsklen for lav hukommelse, gældende for processer, som systemd starter for systemet og brugerne. Som standard er vægten af ​​systemtjenester højere end for brugertjenester, dvs. Når der ikke er tilstrækkelig hukommelse, er sandsynligheden for opsigelse af brugertjenester højere end for systemtjenester.
  • Tilføjet indstillingen RestrictFileSystems, som giver dig mulighed for at begrænse tjenesters adgang til visse typer filsystemer. For at se de tilgængelige filsystemtyper kan du bruge kommandoen "systemd-analyze filesystems". Analogt er indstillingen RestrictNetworkInterfaces blevet implementeret, som giver dig mulighed for at begrænse adgangen til bestemte netværksgrænseflader. Implementeringen er baseret på BPF-modulet LSM, som begrænser adgangen til en gruppe processer til kerneobjekter.
  • Tilføjet en ny /etc/integritytab-konfigurationsfil og systemd-integritysetup-værktøj, der konfigurerer dm-integrity-modulet til at kontrollere dataintegritet på sektorniveau, for eksempel for at garantere uforanderligheden af ​​krypterede data (Authenticated Encryption, sikrer, at en datablok har ikke blevet ændret i en rundkørsel). Formatet på filen /etc/integritytab ligner filerne /etc/crypttab og /etc/veritytab, bortset fra at dm-integrity bruges i stedet for dm-crypt og dm-verity.
  • En ny enhedsfil systemd-boot-update.service er blevet tilføjet, når den er aktiveret og sd-boot bootloader er installeret, vil systemd automatisk opdatere versionen af ​​sd-boot bootloader, og holde bootloader-koden altid opdateret. Selve sd-boot er nu bygget som standard med understøttelse af SBAT-mekanismen (UEFI Secure Boot Advanced Targeting), som løser problemer med tilbagekaldelse af certifikater for UEFI Secure Boot. Derudover giver sd-boot mulighed for at parse Microsoft Windows boot-indstillinger for korrekt at generere navnene på boot-partitioner med Windows og vise Windows-versionen.

    sd-boot giver også mulighed for at definere et farveskema på byggestadiet. Under opstartsprocessen blev der tilføjet understøttelse for at ændre skærmopløsningen ved at trykke på "r"-tasten. Tilføjet genvejstast "f" for at gå til firmwarekonfigurationsgrænsefladen. Tilføjet en tilstand til automatisk indlæsning af systemet svarende til det menupunkt, der blev valgt under sidste opstart. Tilføjet muligheden for automatisk at indlæse EFI-drivere placeret i mappen /EFI/systemd/drivers/ i ESP (EFI System Partition) sektionen.

  • En ny enhedsfil factory-reset.target er inkluderet, som behandles i systemd-login på samme måde som genstart, poweroff, suspend og dvale-operationerne, og bruges til at oprette handlere til at udføre en fabriksnulstilling.
  • Den systemd-opløste proces skaber nu et ekstra lyttestik ved 127.0.0.54 ud over 127.0.0.53. Forespørgsler, der ankommer til 127.0.0.54, omdirigeres altid til en upstream DNS-server og behandles ikke lokalt.
  • Giver mulighed for at bygge systemd-import og systemd-resolved med OpenSSL-biblioteket i stedet for libgcrypt.
  • Tilføjet indledende understøttelse af LoongArch-arkitekturen, der bruges i Loongson-processorer.
  • systemd-gpt-auto-generator giver mulighed for automatisk at konfigurere systemdefinerede swap-partitioner krypteret af LUKS2-undersystemet.
  • GPT-billedparsingskoden, der bruges i systemd-nspawn, systemd-dissect og lignende hjælpeprogrammer, implementerer evnen til at afkode billeder til andre arkitekturer, hvilket gør det muligt for systemd-nspawn at blive brugt til at køre billeder på emulatorer af andre arkitekturer.
  • Når man inspicerer diskbilleder, viser systemd-dissect nu information om formålet med partitionen, såsom egnethed til opstart via UEFI eller kørsel i en container.
  • "SYSEXT_SCOPE"-feltet er blevet tilføjet til system-extension.d/-filerne, så du kan angive omfanget af systembilledet - "initrd", "system" eller "portable".
  • Et "PORTABLE_PREFIXES"-felt er blevet tilføjet til os-release-filen, som kan bruges i bærbare billeder til at bestemme understøttede enhedsfilpræfikser.
  • systemd-logind introducerer nye indstillinger HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress og HandleHibernateKeyLongPress, som kan bruges til at bestemme, hvad der sker, når bestemte taster holdes nede i mere end 5 sekunder (f.eks. kan man konfigurere Suspend-tasten for hurtigt at gå i standby-tilstand , og når den holdes nede, går den i dvale).
  • For enheder er indstillingerne StartupAllowedCPU'er og StartupAllowedMemoryNodes blevet implementeret, som adskiller sig fra lignende indstillinger uden Startup-præfikset ved, at de kun anvendes ved opstart og nedlukning, hvilket giver dig mulighed for at indstille andre ressourcebegrænsninger under opstart.
  • Tilføjet [Condition|Assert][Memory|CPU|IO]Tryktjek, der tillader enhedsaktivering at springes over eller mislykkes, hvis PSI-mekanismen registrerer en stor belastning af hukommelse, CPU og I/O i systemet.
  • Standard maksimum inode-grænsen er blevet øget for /dev-partitionen fra 64k til 1M, og for /tmp-partitionen fra 400k til 1M.
  • En ExecSearchPath-indstilling er blevet foreslået for tjenester, som gør det muligt at ændre stien til at søge efter eksekverbare filer, der er startet gennem indstillinger som ExecStart.
  • Tilføjet RuntimeRandomizedExtraSec-indstillingen, som giver dig mulighed for at indføre tilfældige afvigelser i RuntimeMaxSec-timeoutet, som begrænser en enheds eksekveringstid.
  • Syntaksen for indstillingerne RuntimeDirectory, StateDirectory, CacheDirectory og LogsDirectory er blevet udvidet, hvor du ved at angive en ekstra værdi adskilt af et kolon nu kan organisere oprettelsen af ​​et symbolsk link til en given mappe for at organisere adgangen langs flere stier.
  • For tjenester tilbydes indstillinger for TTYRows og TTYColumns for at indstille antallet af rækker og kolonner i TTY-enheden.
  • Tilføjet indstillingen ExitType, som giver dig mulighed for at ændre logikken for at bestemme slutningen af ​​en tjeneste. Som standard overvåger systemd kun hovedprocessens død, men hvis ExitType=cgroup er indstillet, vil systemadministratoren vente på, at den sidste proces i cgroup er fuldført.
  • systemd-cryptsetups implementering af TPM2/FIDO2/PKCS11-understøttelse er nu også bygget som et cryptsetup-plugin, hvilket gør det muligt at bruge den normale cryptsetup-kommando til at låse op for en krypteret partition.
  • TPM2-handleren i systemd-cryptsetup/systemd-cryptsetup tilføjer understøttelse af primære RSA-nøgler ud over ECC-nøgler for at forbedre kompatibiliteten med ikke-ECC-chips.
  • Indstillingen token-timeout er blevet tilføjet til /etc/crypttab, som giver dig mulighed for at definere den maksimale tid til at vente på en PKCS#11/FIDO2-tokenforbindelse, hvorefter du bliver bedt om at indtaste en adgangskode eller en gendannelsesnøgle.
  • systemd-timesyncd implementerer SaveIntervalSec-indstillingen, som giver dig mulighed for periodisk at gemme den aktuelle systemtid på disken, for eksempel for at implementere et monotont ur på systemer uden en RTC.
  • Indstillinger er blevet tilføjet til systemd-analyze-værktøjet: "--image" og "--root" til kontrol af enhedsfiler inde i et givet billede eller rodmappe, "--rekursive-fejl" for at tage hensyn til afhængige enheder, når der opstår en fejl er detekteret, "--offline" for separat kontrol af enhedsfiler, der er gemt på disken, "—json" for output i JSON-format, "—quiet" for at deaktivere uvigtige beskeder, "—profile" for at binde til en bærbar profil. Også tilføjet er inspect-elf-kommandoen til at analysere kernefiler i ELF-format og muligheden for at kontrollere enhedsfiler med et givet enhedsnavn, uanset om dette navn matcher filnavnet.
  • systemd-networkd har udvidet understøttelse af Controller Area Network (CAN) bussen. Tilføjede indstillinger til at styre CAN-tilstande: Loopback, OneShot, PresumeAck og ClassicDataLengthCode. Tilføjet TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 og DataSyncJumpWidth til indstillingerne for [CAN]-interfacet i synkroniseringsfilerne i CAN-sektionen.
  • Systemd-networkd har tilføjet en Label-indstilling til DHCPv4-klienten, som giver dig mulighed for at konfigurere den adresselabel, der bruges ved konfiguration af IPv4-adresser.
  • systemd-udevd for "ethtool" implementerer understøttelse af specielle "max" værdier, der indstiller bufferstørrelsen til den maksimale værdi, der understøttes af hardwaren.
  • I .link-filer til systemd-udevd kan du nu konfigurere forskellige parametre til at kombinere netværksadaptere og forbinde hardwarehandlere (offload).
  • systemd-networkd tilbyder nye .network-filer som standard: 80-container-vb.network til at definere netværksbroer, der oprettes, når systemd-nspawn køres med “--network-bridge” eller “--network-zone” mulighederne; 80-6rd-tunnel.network til at definere tunneler, der oprettes automatisk, når der modtages et DHCP-svar med 6RD-indstillingen.
  • Systemd-networkd og systemd-udevd har tilføjet understøttelse af IP-videresendelse over InfiniBand-grænseflader, hvor "[IPoIB]"-sektionen er blevet tilføjet til systemd.netdev-filerne, og behandling af "ipoib"-værdien er implementeret i typen indstilling.
  • systemd-networkd giver automatisk rutekonfiguration for adresser angivet i parameteren AllowedIPs, som kan konfigureres gennem parametrene RouteTable og RouteMetric i sektionerne [WireGuard] og [WireGuardPeer].
  • systemd-networkd giver automatisk generering af ikke-ændrende MAC-adresser til batadv- og brogrænseflader. For at deaktivere denne adfærd kan du angive MACAddress=none i .netdev-filer.
  • En WakeOnLanPassword-indstilling er blevet tilføjet til .link-filer i "[Link]"-sektionen for at bestemme adgangskoden, når WoL kører i "SecureOn"-tilstand.
  • Tilføjede AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO og UserRawPacketSize indstillinger til "[CAKE]"-sektionen af ​​.network-filer for at definere parametrene for CAKE (Common Applications Network Kept Enhanced) .
  • Tilføjet en IgnoreCarrierLoss-indstilling til "[Netværk]"-sektionen af ​​.network-filer, så du kan bestemme, hvor længe du skal vente, før du reagerer på et tab af operatørsignal.
  • Systemd-nspawn, homectl, machinectl og systemd-run har udvidet syntaksen for parameteren "--setenv" - hvis kun variabelnavnet er angivet (uden "="), vil værdien blive taget fra den tilsvarende miljøvariabel (f.eks. for eksempel, når du angiver "--setenv=FOO", vil værdien blive taget fra $FOO miljøvariablen og brugt i miljøvariablen af ​​samme navn, der er sat i containeren).
  • systemd-nspawn har tilføjet en "--suppress-sync" mulighed for at deaktivere sync()/fsync()/fdatasync() systemkald ved oprettelse af en container (nyttigt når hastighed er en prioritet og bevarelse af byggeartefakter i tilfælde af fejl ikke er vigtigt, da de til enhver tid kan genskabes).
  • Der er tilføjet en ny hwdb-database, som omfatter forskellige typer signalanalysatorer (multimetre, protokolanalysatorer, oscilloskoper osv.). Oplysninger om kameraer i hwdb er udvidet med et felt med information om kameratype (almindelig eller infrarød) og objektivplacering (for eller bag).
  • Aktiveret generering af ikke-ændrende netværksgrænsefladenavne til netfront-enheder, der bruges i Xen.
  • Analysen af ​​kernefiler ved hjælp af systemd-coredump-værktøjet baseret på libdw/libelf-bibliotekerne udføres nu i en separat proces, isoleret i et sandkassemiljø.
  • systemd-importd har tilføjet understøttelse af miljøvariablerne $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, hvormed du kan deaktivere genereringen af ​​Btrfs-underpartitioner, samt konfigurere kvoter og disksynkronisering.
  • I systemd-journald, på filsystemer, der understøtter kopi-på-skriv-tilstand, er COW-tilstand genaktiveret for arkiverede journaler, hvilket gør det muligt at komprimere dem ved hjælp af Btrfs.
  • systemd-journald implementerer deduplikering af identiske felter i en enkelt meddelelse, som udføres på stadiet, før meddelelsen placeres i journalen.
  • Tilføjet "--show" mulighed for nedlukningskommando for at vise planlagt nedlukning.

Kilde: opennet.ru

Tilføj en kommentar