ProHoster > Blog > internet nyheder > systemd 245 tilgængelig med bærbar hjemmemappeimplementering

systemd 245 tilgængelig med bærbar hjemmemappeimplementering

Efter tre måneders udvikling præsenteret frigivelse af systemadministrator systemd 245. I den nye udgivelse tilføjes nye komponenter systemd-homed og systemd-repart, understøttelse af bærbare brugerprofiler i JSON-format er inkluderet, muligheden for at definere navnerum i systemd-journald er tilvejebragt, og understøttelse af "pidfd"-mekanismen er tilføjet . Fuldstændig nydesignet projektets hjemmeside, som samler det meste af den tilgængelige dokumentation og foreslår et nyt logo.

systemd 245 tilgængelig med bærbar hjemmemappeimplementering

The main ændringer:

  • Tilføjet service systemd-homed, som giver styring af bærbare hjemmemapper, leveret i form af en monteret billedfil, hvor dataene er krypteret. Systemd-homed giver dig mulighed for at skabe selvstændige miljøer for brugerdata, der kan overføres mellem forskellige systemer uden at bekymre dig om identifikatorsynkronisering og fortrolighed. Brugerlegitimationsoplysninger er knyttet til hjemmebiblioteket i stedet for systemindstillinger - en profil i formatet bruges i stedet for /etc/passwd, /etc/group og /etc/shadow JSON. For flere detaljer, se sidste meddelelse systemd-homed.
  • Tilføjet systemd-homed ledsagende komponent "brugerdb" ("systemd-userdb"), som oversætter UNIX/glibc NSS-konti til JSON-poster og giver et samlet Varlink API til forespørgsel og iteration over poster. JSON-profilen, der er knyttet til hjemmebiblioteket, specificerer de parametre, der kræves til brugerens arbejde, herunder brugernavn, adgangskodehash, krypteringsnøgler, kvoter og klargjorte ressourcer. Profilen kan certificeres med en digital signatur gemt på et eksternt Yubikey-token. For at administrere profiler foreslås værktøjet "userdbctl". Understøttelse af JSON-profiler er blevet tilføjet til forskellige systemd-komponenter, herunder systemd-logind og pam-systemd, hvilket giver brugere af bærbare mapper mulighed for at godkende, logge på, indstille miljøvariabler, oprette en session, sætte grænser osv. I fremtiden forventes det, at sssd-rammeværket vil kunne generere JSON-profiler med brugerindstillinger gemt i LDAP.
  • Et nyt værktøj "systemd-repart" er blevet tilføjet, designet til at ompartitionere diskpartitionstabeller i GPT-format. Partitionsstrukturen er defineret i deklarativ form gennem filer, der beskriver, hvilke partitioner der skal eller kan eksistere. Ved hver opstart sammenlignes den faktiske partitionstabel med disse filer, hvorefter de manglende partitioner tilføjes eller, hvis den relative eller absolutte størrelse defineret i indstillingerne ikke stemmer overens, øges størrelsen af ​​de eksisterende. Kun trinvise ændringer er tilladt, dvs. sletning og formindskelse af størrelsen er ikke mulig, partitioner kan kun tilføjes og forstørres.
    Hjælpeprogrammet er designet til at blive lanceret fra initrd'en og registrerer automatisk den disk, hvorpå rodpartitionen er placeret, hvilket ikke kræver yderligere konfiguration, bortset fra filer med definitionen af ​​ændringer.

    I praksis kan systemd-repart være nyttigt til operativsystembilleder, der i første omgang kan sendes i en minimal form, og efter den første opstart kan udvides til størrelsen af ​​den eksisterende blokenhed eller suppleres med yderligere partitioner (f.eks. partition kan udvides til at dække hele disken eller efter den første opstart oprette en swap-partition eller /home). En anden anvendelse ville være konfigurationer med to roterende partitioner - kun den første partition kan blive leveret til at begynde med, og den anden vil blive oprettet ved første opstart.

  • Det er nu muligt at starte flere forekomster af systemd-journald, som hver fører logs i sit eget navneområde. Ud over hovedsystemet systemd-journald.service tilbyder .service-biblioteket en skabelon til oprettelse af yderligere forekomster bundet til deres navnerum ved hjælp af "LogNamespace"-direktivet. Hvert lognavneområde betjenes af en separat baggrundsproces med sit eget sæt indstillinger og begrænsninger. Den foreslåede funktion kan være nyttig til belastningsbalancering med en stor mængde logfiler eller til at forbedre applikationsisolering. Tilføjet "--namespace" mulighed til journalctl for kun at begrænse forespørgslen til det angivne navneområde.
  • Systemd-udevd og andre systemd-komponenter har tilføjet understøttelse af en mekanisme til at tildele alternative navne til netværksgrænseflader, hvilket gør det muligt at bruge flere navne samtidigt til en grænseflade. Navnet kan være på op til 128 tegn (tidligere var netværksgrænsefladenavnet begrænset til 16 tegn). Som standard tildeler systemd-udevd nu hver netværksgrænseflade alle variantnavne genereret af understøttede navneskemaer. Denne adfærd kan ændres gennem de nye AlternativeName og AlternativeNamesPolicy-indstillinger i .link-filer. systemd-nspawn implementerer genereringen af ​​alternative navne med det fulde containernavn for veth-links oprettet på værtssiden.
  • sd-event.h API tilføjer understøttelse af Linux-kerneundersystemet "pidfd" for at håndtere situationen med PID-genbrug (pidfd er forbundet med en specifik proces og ændres ikke, mens en PID kan associeres med en anden proces efter den aktuelle proces forbundet med det afslutter denne PID). Alle systemd komponenter undtagen PID 1 er blevet konverteret til at bruge pidfds, hvis undersystemet understøttes af den aktuelle kerne.
  • systemd-logind giver adgangskontrol til den virtuelle terminalændringsoperation via PolicyKit. Som standard gives tilladelser til at ændre den aktive terminal kun til brugere, der har startet en session på den lokale virtuelle terminal mindst én gang.
  • For at gøre det nemmere at oprette initrd-billeder med systemd, registrerer PID 1-handleren nu, om initrd'en bliver brugt og indlæser i dette tilfælde automatisk initrd.target i stedet for default.target. Med denne tilgang kan initrd- og hovedsystembillederne kun adskille sig i nærvær af filen /etc/initrd-release.
  • Tilføjet en ny kerne-kommandolinjeparameter - "systemd.cpu_affinity", svarende til CPUAffinity-indstillingen i /etc/systemd/system.conf og giver dig mulighed for at konfigurere CPU-affinitetsmasken til PID 1 og andre processer.
  • Aktiverede genindlæsning af SELinux-database sammen med genstart af PID 1 via kommandoer som "systemctl daemon-reload".
  • Indstillingen "systemd.show-status=error" er blevet tilføjet til PID 1-handleren, når den er indstillet, vises kun fejlmeddelelser og væsentlige forsinkelser under indlæsning på konsollen.
  • systemd-sysusers tilføjede understøttelse til at oprette brugere med et primært gruppenavn, der er forskelligt fra brugernavnet.
  • systemd-growfs introducerer understøttelse af XFS-partitionsudvidelse via x-systemd.growfs-monteringsmuligheden i /etc/fstab, foruden tidligere understøttet partitionsudvidelse med Ext4 og Btrfs.
  • Tilføjet muligheden x-initrd.attach til /etc/crypttab for at definere en krypteret partition, der allerede er låst op på initrd-stadiet.
  • systemd-cryptsetup har tilføjet understøttelse (mulighed pkcs11-uri i /etc/crypttab) til at låse krypterede partitioner op ved hjælp af PKCS#11 smartcards, for eksempel til at vedhæfte partitionskryptering til YubiKeys.
  • Nye monteringsmuligheder "x-systemd.required-by" og "x-systemd.wanted-by" er blevet tilføjet til /etc/fstab for eksplicit at konfigurere enheder, der definerer monteringsoperationer, der skal kaldes i stedet for local-fs.target og remote -fs .mål.
  • En ny tjenestesandboxing-mulighed er blevet tilføjet - ProtectClock, som begrænser skrivning til systemuret (adgang er blokeret på niveauet /dev/rtc, systemkald og CAP_SYS_TIME/CAP_WAKE_ALARM-tilladelser).
  • Til specifikation Opdagelige partitioner og systemd-gpt-auto-generator tilføjede partitionsdetektion
    /var og /var/tmp.

  • I "systemctl list-unit-files", når der vises en liste over enheder, er der dukket en ny kolonne op, der afspejler aktiveringstilstanden, der tilbydes i producentens forudindstillinger for denne type enhed.
  • En mulighed "—med afhængigheder" er blevet tilføjet til "systemctl", når den er installeret, vil kommandoer som "systemctl status" og "systemctl cat" ikke kun vise alle tilsvarende enheder, men også de enheder, de er afhængige af.
  • I systemd-networkd har qdisc-konfigurationen tilføjet muligheden for at konfigurere TBF (Token Bucket Filter), SFQ (Stochastic Fairness Queuing), CoDel (Controlled-Delay Active Queue Management) og FQ (Fair Queue) parametre.
  • systemd-networkd tilføjede understøttelse af IFB netværksenheder (Mellem funktionel blok).
  • Systemd-networkd implementerer MultiPathRoute-parameteren i [Route]-sektionen for at konfigurere multi-path-ruter.
  • I systemd-networkd for DHCPv4-klienten er indstillingen SendDecline blevet tilføjet, når den er angivet, efter modtagelse af et DHCP-svar med en adresse, udføres en duplikatadressekontrol, og hvis en adressekonflikt detekteres, afvises den udstedte adresse. RouteMTUBytes-indstillingen er også blevet tilføjet til DHCPv4-klienten, så du kan bestemme MTU-størrelsen for ruter genereret fra IP-adressebindinger (leasingkontrakter).
  • PræfixRoute-indstillingen i [Adresse]-sektionen af ​​.network-filer er blevet forældet. Den blev erstattet af indstillingen "AddPrefixRoute", som har den modsatte betydning.
  • I .network-filer er understøttelse af den nye værdi "_dhcp" blevet tilføjet til Gateway-indstillingen i afsnittet "[Route]", når den er indstillet, vælges en statisk rute baseret på den gateway, der er konfigureret via DHCP.
  • Indstillinger er vist i .network-filerne i afsnittet "[RoutingPolicyRule]".
    User og SuppressPrefixLength for at angive kilderuting baseret på UID-intervaller og præfiksstørrelse.

  • I networkctl giver kommandoen "status" mulighed for at vise logfiler i forhold til hver netværksgrænseflade.
  • systemd-networkd-wait-online tilføjer understøttelse til at indstille den maksimale tid til at vente på, at en grænseflade bliver operationel, og til at vente på, at en grænseflade går ned.
  • Stoppet med at behandle .link- og .network-filer med en tom eller kommenteret "[Match]"-sektion.
  • I .link- og .network-filerne er der i afsnittet "[Match]" tilføjet en "PermanentMACAddress"-indstilling for at kontrollere den permanente MAC-adresse på enheder i tilfælde af brug af en genereret tilfældig MAC.
  • Sektionen "[TrafficControlQueueingDiscipline]" i .network-filer er blevet omdøbt til "[NetworkEmulator]", og "NetworkEmulator"-præfikset er blevet fjernet fra navnene på tilknyttede indstillinger.
  • systemd-resolved for DNS-over-TLS tilføjer understøttelse af SNI-kontrol.

Kilde: opennet.ru

Tilføj en kommentar