ProHoster > Blog > internet nyheder > systemd system manager udgivelse 257

systemd system manager udgivelse 257

Efter seks måneders udvikling blev udgivelsen af ​​systemmanageren systemd 257 præsenteret. Nøgleændringer: nye hjælpeprogrammer systemd-sbsign og systemd-keyutil, understøttelse af MPTCP, når den aktiveres over en socket, indledende understøttelse af bygning med Musl C-biblioteket. updatectl-værktøj til at styre installationen af ​​opdateringer via systemd-sysupdate, evnen til at køre tjenester i separate PID-navneområder, beskyttelse mod utilsigtet sletning af filer ved brug af "systemd-tmpfiles —purge".

Blandt ændringerne i den nye udgivelse:

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux og initrd-systemmiljøet blev indlæst i hukommelsen.
  • Et nyt hjælpeprogram, systemd-keyutil, er blevet tilføjet, der implementerer forskellige operationer på private nøgler og X.509-certifikater. For eksempel kan systemd-keyutil bruges til at teste evnen til at indlæse private nøgler og certifikater og udtrække offentlige nøgler fra dem i PEM-format.
  • I ".socket"-enhederne, der bruges til at sikre driften af ​​socket-aktiveringsmekanismen (start af processer under forsøg på at etablere en netværksforbindelse), er der implementeret understøttelse af MPTCP (Multipath TCP), en udvidelse af TCP-protokollen til at organisere driften af ​​en TCP-forbindelse med levering af pakker samtidigt langs flere ruter gennem forskellige netværksgrænseflader, der er bundet til forskellige netværk. IP-adresser.
  • Indeholder ændringer, der er nødvendige for at bygge ved hjælp af standard Musl C-biblioteket.
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • Funktionerne i systemd-sysupdate-komponenten er blevet udvidet, brugt til automatisk at detektere, downloade og installere opdateringer ved hjælp af en atommekanisme til udskiftning af partitioner, filer eller mapper (to uafhængige partitioner/filer/mapper bruges, hvoraf den ene indeholder den aktuelle arbejdsgruppe ressource, og den anden installerer den næste) opdatering, hvorefter sektionerne/filerne/mapperne byttes). I praksis bruges systemd-sysupdate allerede i GNOME OS.

    Ud over systemd-sysupdate-processen er der tilføjet en tjeneste af samme navn, der gør det muligt at bruge D-Bus til at administrere systemopdateringer af en uprivilegeret bruger. For at administrere tjenesten er der også inkluderet et nyt updatectl-værktøj. Tilføjet "--offline" flag til systemd-sysupdate for at deaktivere download af metadata over netværket og kun bruge versioner, der allerede er downloadet til det lokale system. Tilføjet understøttelse af output i JSON-format for alle kommandoer.

  • En ny egenskab "PrivatePIDs" er implementeret til tjenester, hvormed du kan organisere lanceringen af ​​processer med PID 1 (init process) i et separat procesidentifikationsrum (PID-navneområde). I det miljø, der er oprettet til den lancerede proces, vil kun processer fra det navneområde, der er oprettet til den, være synlige.
  • Tilføjet understøttelse af forskelle mellem store og små bogstaver til udev-regler (f.eks. 'ATTR{foo}==i»abcd»'). Ved at bruge udev er det muligt at give uprivilegerede lokale brugere adgang ("uaccess") til /dev/udmabuf-enheden, som er nødvendig for at arbejde med IPMI-kameraer via libcamera. udev giver genkendelse af forskellige hardware-krypto-punge med en USB-grænseflade og indstiller ID_HARDWARE_WALLET-egenskaben for dem, hvilket giver dig mulighed for at anvende "uaccess"-tilstanden til dem for adgang for uprivilegerede brugere.
  • Nye felter RELEASE_TYPE, EXPERIMENT og EXPERIMENT_URL er blevet tilføjet til filen /etc/os-release. "RELEASE_TYPE" kan tage værdierne "eksperimentel", "udvikling", "stabil" og "lts" for at adskille stabile versioner fra udvikling og eksperimentelle builds. Parametrene EXPERIMENT og EXPERIMENT_URL er beregnet til at forklare essensen af ​​den eksperimentelle build.
  • Run0-værktøjet, der er udviklet som en erstatning for sudo-programmet, har tilføjet "--shell-prompt-prefix", som specificerer præfiksstrengen for kommandoskalprompten. Som standard vises emojin "🦸" som et præfiks for visuelt at fremhæve en forhøjet session.
  • I systemd-tmpfiles, for at undgå utilsigtet sletning af de forkerte filer, gælder "--purge" muligheden nu kun for indstillinger i tmpfiles.d/, som har "$" flaget eksplicit sat. Operationen "--purge" kræver nu også, at man specificerer mindst én fil fra tmpfiles.d/-mappen. For strenge med typen 'L' er flaget '?' blevet tilføjet, når det er angivet, vil der kun blive oprettet et symbolsk link, hvis målfilen eksisterer.
  • I servicemanageren og relaterede hjælpeprogrammer bliver processporingskoden fortsat konverteret til at bruge PIDFD i stedet for PID. En PIDFD er knyttet til en specifik proces og ændres ikke, mens en PID kan knyttes til en anden proces, efter at den aktuelle proces, der er knyttet til den pågældende PID, afsluttes.
  • For tjenester er det nu muligt at angive værdien "debug" i parameteren "RestartMode", hvor den mislykkede tjeneste vil blive genstartet med debug-tilstand aktiveret (miljøvariablen DEBUG_INVOCATION=1 er indstillet), og LogLevelMax-værdien vil være midlertidigt hævet til fejlretningsniveauet.
  • PID 1-handleren har mulighed for at indlæse regler for IPE (Integrity Policy Enforcement) LSM-modulet, som definerer integritetspolitikken for hele systemet (hvilke operationer er tilladt, og hvordan ægtheden af ​​komponenter skal verificeres).
  • "DeferReactivation"-indstillingen er blevet tilføjet til ".timer"-enhedsfilerne, hvilket giver dig mulighed for at springe den næste timeraktivering over, hvis tjenesten endnu ikke har afsluttet sin eksekvering siden sidste aktivering.
  • I PrivateUsers-enhedsfilparameteren er det nu muligt at angive "identitet"-værdien for at aktivere kortlægning af bruger-id'er, når der oprettes et brugernavneområde.
  • Tilføjet understøttelse af "disconnected"-værdien til PrivateTmp-enhedsfilparameteren, som vil bruge separate tmpfs-instanser til mapperne /tmp/ og /var/tmp/.
  • Understøttelse af nye "private" og "strenge" tilstande er blevet tilføjet til ProtectControlGroups-enhedsfilparameteren, når den er indstillet, oprettes et nyt cgroup-navneområde til tjenesten, og cgroupfs monteres. Når indstillingen "streng" er indstillet, er cgroupfs monteret i skrivebeskyttet tilstand.
  • Parametrene StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory og ConfigurationDirectory giver mulighed for at bruge ':ro'-flaget til at begrænse adgangen til de tilsvarende mapper til skrivebeskyttet tilstand.
  • Tilføjet understøttelse af "firmware"-værdien til "systemd.machine_id"-kernens kommandolinjeparameter, hvor system-id'et (maskine-id) vil blive beregnet baseret på UUID'et fra SMBIOS/DeviceTree.
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • Resolvectl, timedatectl og systemd-inhibit-værktøjerne understøtter nu interaktiv godkendelse ved hjælp af Polkit.
  • Tilføjet muligheden for at bruge flaget "--now" i kommandoen "genaktiver" til systemctl-værktøjet.
  • Tilføjet "--json"-indstilling til systemd-mount-værktøjet til output i JSON-format (for eksempel, når det er angivet sammen med "--list-devices", vil en liste over enheder blive outputtet i JSON-format).
  • Tilføjet "-l" og "--full" muligheder til "localectl"-værktøjet for at deaktivere trimning af lange linjer under output.
  • HibernateOnACPower-indstillingen er blevet tilføjet til sleep.conf, som giver dig mulighed for at forsinke skift til dvaletilstand, indtil enheden afbrydes fra den stationære strømkilde.
  • I systemd-sysusers er der tilføjet understøttelse af "!"-modifikatoren til "u"-linjerne, hvormed du kan oprette fuldstændig låste brugerkonti (tidligere blev indstilling af en forkert adgangskode brugt til at blokere en bruger, hvilket f.eks. førte ikke til blokering under nøglegodkendelse i SSH ).
  • Systemd-coredump tilføjer en "EnterNamespace"-indstilling, der giver adgang til monteringspunktsområdet for alle nedbrudte processer for at få deres fejlfindingssymboler. I praksis kan indstillingen være nyttig til at organisere backtrace af kernefiler fra applikationer, der kører i isolerede containere.
  • systemd-logind inkluderer behandling af Ctrl-Alt-Shift-Esc-kombinationen for at sende org.freedesktop.login1.SecureAttentionKey-signalet til brugermiljøets komponenter med en anmodning om at vise en sikker login-dialog. Implementerede "DesignatedMaintenanceTime"-indstillingen for automatisk at planlægge arbejde til fuldførelse på et bestemt tidspunkt. I analogi med understøttelse af DRM- og evdev-enheder er der tilføjet understøttelse til konfiguration af adgang for uprivilegerede brugere til hidraw-enheder (spilcontrollere og joysticks).
  • systemd-machined understøtter nu ikke-privilegerede klientlogins. virtuel maskine og containere. Adgang til systemd-maskineret funktionalitet gives via Varlink API'en, udover D-Bus.
  • Et nyt afsnit "[IPv6AddressLabel]" er blevet tilføjet til networkd.conf-konfigurationsfilen for at konfigurere etiketter og præfikser for IPv6-adresser
  • Tilføjet "--stdin"-mulighed til kommandoen 'networkctl edit' for at hente filindhold fra standardstrøm. Tilføjet understøttelse for redigering og visning af .netdev-filer ved at angive en netværksgrænseflade til kommandoerne 'networkctl edit' og 'networkctl cat'. Tilføjet mulighed "--no-ask-password" for at deaktivere interaktiv godkendelse.
  • Tilføjet en "--certificate-source"-indstilling til hjælpeprogrammerne ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart og systemd-sbsign for at indlæse et X.509-certifikat gennem OpenSSL-udbyderen i stedet for at indlæse direkte fra en fil.
  • systemd-boot tilføjer muligheden for at bruge lydstyrkeknapperne til at flytte op og ned gennem boot-menuen, hvilket kan være nyttigt på enheder som smartphones. Understøttelse af installation af UEFI Secure Boot-databasen i ESL(db/dbx/...)-format til systemd-boot er blevet tilføjet til bootctl-værktøjet.
  • Tilføjet "--list-invocation"-mulighed til journalctl for at vise en liste over enhedsopkald og "--invocation"-mulighed ("-I") for at vise logfiler, der kun er knyttet til et specifikt opkald.
  • systemd-nspawn tilføjer understøttelse af uprivilegeret brug af FUSE (Filesystem in Userspace) i containere. Når du bruger "--bind-bruger" muligheden, videresendes brugerens SSH nøgler, der kræves for adgang via SSH, til containeren.
  • libsystemd har tilføjet en ny programmeringsgrænseflade "sd-json", der bruger JSON-formatet, samt en grænseflade "sd-varlink", der bruger IPC Varlink.
  • Den anbefalede basiskerneversion er blevet opgraderet til udgivelse 5.4, dannet i 2019. Næste år planlægger de at stoppe med at understøtte ældre kerner og markere 5.4-udgivelsen som den mindste understøttede basisversion.
  • Understøttelse af cgroups v1 er blevet forældet og er deaktiveret som standard (for at aktivere det, skal du angive SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 på kernens kommandolinje ud over at aktivere det i systemd-indstillingerne). Den næste udgivelse af systemd 258 planlægger fuldstændig at fjerne den cgroups v1-relaterede kode. Systemd version 258 er også beregnet til at fjerne understøttelse af System V service scripts.

Kilde: opennet.ru

Køb pålidelig hosting til websteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Køb pålidelig webhosting med DDoS-beskyttelse, VPS VDS-servere | ProHoster