Veröffentlichung des Systemmanagers systemd 253

Nach dreieinhalb Monaten Entwicklungszeit wurde die Version 253 des Systemmanagers systemd veröffentlicht.

Zu den Änderungen in der neuen Version gehören:

  • Enthalten ist das Tool ‚ukify‘, das zur Erstellung, ÜberprĂŒfung und Signierung von vereinheitlichten Kernel-Images (UKI, Unified Kernel Image) dient, die den Boot-Handler fĂŒr den Kernel aus UEFI (UEFI boot stub), das Linux-Kernel-Image und die in den Speicher geladene Initrd-Umgebung verwenden, die fĂŒr die initiale Initialisierung vor dem Mounten des Root-Dateisystems eingesetzt wird. Das Tool ersetzt die FunktionalitĂ€t, die zuvor durch den Befehl ‚dracut —uefi‘ bereitgestellt wurde, und ergĂ€nzt sie mit Möglichkeiten zur automatischen Berechnung von Offsets in PE-Dateien, zur Kombination von initrd, zur Signierung der Embedded-Kernel-Images, zur Erstellung kombinierten Images mit sbsign, zur Heuristik zur Bestimmung von uname des Kernels, zur ÜberprĂŒfung des Splash-Images und zur HinzufĂŒgung signierter PCR-Politiken, die mit dem Tool systemd-measure generiert wurden.
  • Die UnterstĂŒtzung fĂŒr initrd-Umgebungen, die nicht auf den Speicherplatz beschrĂ€nkt sind, wurde hinzugefĂŒgt, in denen anstelle von tmpfs overlayfs verwendet wird. In solchen Umgebungen fĂŒhrt systemd keine Löschung aller Dateien in initrd nach dem Wechsel des Root-Dateisystems durch.
  • Im Dienst wurden der Parameter „OpenFile“ hinzugefĂŒgt, um beliebige Dateien im Dateisystem zu öffnen (oder sich mit Unix-Sockets zu verbinden) und die damit verbundenen Dateideskriptoren an den gestarteten Prozess zu ĂŒbergeben (zum Beispiel, wenn der Zugriff auf eine Datei fĂŒr einen nicht privilegierten Dienst organisiert werden muss, ohne die Zugriffsrechte auf die Datei zu Ă€ndern).
  • In systemd-cryptenroll wurde bei der Registrierung neuer SchlĂŒssel die Möglichkeit zur Entsperrung verschlĂŒsselter Partitionen mit FIDO2-Token (—unlock-fido2-device) eingefĂŒhrt, ohne dass ein Passwort eingegeben werden muss. Es ist sichergestellt, dass der vom Benutzer angegebene PIN-Code mit Salt gespeichert wird, um das Erraten durch Brute-Force zu erschweren.
  • Die Einstellungen ReloadLimitIntervalSec und ReloadLimitBurst sowie die Kernel-Optionen (systemd.reload_limit_interval_sec und /systemd.reload_limit_burst) wurden hinzugefĂŒgt, um die HĂ€ufigkeit der Wiederstartversuche von Hintergrundprozessen zu begrenzen.
  • FĂŒr Units wurde die Option „MemoryZSwapMax“ implementiert, um die Eigenschaft memory.zswap.max zu konfigurieren, die die maximale GrĂ¶ĂŸe von zswap bestimmt.
  • FĂŒr Units wurde die Option «LogFilterPatterns» implementiert, die es ermöglicht, regulĂ€re AusdrĂŒcke zur Filterung der im Log ausgegebenen Informationen festzulegen (diese kann verwendet werden, um bestimmte Ausgaben auszuschließen oder nur bestimmte Daten zu speichern).
  • In den Scope-Units wurde die UnterstĂŒtzung fĂŒr die Konfiguration «OOMPolicy» implementiert, um das Verhalten beim Versuchen des Ausstoßes bei Speichermangel zu bestimmen (fĂŒr Eingabesitzungen ist der Wert OOMPolicy=continue gesetzt, damit der OOM-Killer sie nicht zwangsweise beendet).
  • Ein neuer Servicetyp wurde definiert — «Type=notify-reload», der den Typ «Type=notify» um die Möglichkeit erweitert, auf den Abschluss der Verarbeitung des Neustartsignals (SIGHUP) zu warten. Die Dienste systemd-networkd.service, systemd-udevd.service und systemd-logind wurden auf den neuen Typ umgestellt.
  • In udev wurde ein neues Benennungsschema fĂŒr NetzgerĂ€te eingefĂŒhrt, dessen Unterschiede darin bestehen, dass fĂŒr nicht an den PCI-Bus gebundene USB-GerĂ€te nun ID_NET_NAME_PATH gesetzt wird, um eine grĂ¶ĂŸere Vorhersehbarkeit der Namen zu gewĂ€hrleisten. FĂŒr die Variablen SYMLINK wurde der Operator ‘-=’ implementiert, der symbolische Links unkonfiguriert lĂ€sst, wenn zuvor eine Regel zu deren HinzufĂŒgung definiert wurde.
  • Im systemd-boot wurde die Übertragung des Seeds fĂŒr die Pseudozufallszahlengeneratoren im Kernel und fĂŒr das Disk-Backend ĂŒberarbeitet. Es wurde die UnterstĂŒtzung hinzugefĂŒgt, das Kernel nicht nur aus der ESP (EFI System Partition) zu laden, beispielsweise aus der Firmware oder direkt fĂŒr QEMU. Zudem erfolgt die Analyse der SMBIOS-Parameter zur Erkennung des Starts in einer Virtualisierungsumgebung. Ein neuer ‘if-safe’-Modus wurde implementiert, bei dem das Zertifikat fĂŒr UEFI Secure Boot aus der ESP nur geladen wird, wenn es als sicher angesehen wird (gestart in virtuellen Maschine).
  • Im Tool bootctl wurde die Generierung von System-Token auf allen EFI-Systemen, außer in Virtualisierungsumgebungen, realisiert. Es wurden die Befehle ‘kernel-identify’ und ‘kernel-inspect’ hinzugefĂŒgt, um den Typ des Kernel-Images sowie Informationen ĂŒber die Befehlszeilenoptionen und die Kernel-Version anzuzeigen, ‘unlink’ zum Entfernen von Dateien, die mit dem ersten Typ der BooteintrĂ€ge verbunden sind, und ‘cleanup’ zum Entfernen aller Dateien aus dem Verzeichnis ‘entry-token’ in der ESP und XBOOTLDR, die nicht mit dem ersten Typ der BooteintrĂ€ge verbunden sind. Die Verarbeitung der Variable KERNEL_INSTALL_CONF_ROOT wurde sichergestellt.
  • Im Befehl ‘systemctl list-dependencies’ wird die Verarbeitung der Optionen ‘—type’ und ‘—state’ unterstĂŒtzt, und im Befehl ‘systemctl kexec’ wurde die UnterstĂŒtzung fĂŒr Hypervisor-basierte Umgebungen von Xen hinzugefĂŒgt.
  • In den .network-Dateien wurde im Abschnitt [DHCPv4] die UnterstĂŒtzung fĂŒr die Optionen SocketPriority und QuickAck, RouteMetric=high|medium|low hinzugefĂŒgt.
  • In systemd-repart wurden die Optionen "—include-partitions", "—exclude-partitions" und "—defer-partitions" zum Filtern von Partitionen nach dem Typ UUID hinzugefĂŒgt, was es beispielsweise ermöglicht, Images zu erstellen, bei denen eine Partition auf dem Inhalt einer anderen Partition basiert. Außerdem wurde die Option "—sector-size" eingefĂŒhrt, um die SektorgrĂ¶ĂŸe anzugeben, die bei der Erstellung einer Partition verwendet wird. UnterstĂŒtzung fĂŒr die Generierung des Dateisystems erofs wurde hinzugefĂŒgt. Bei der Einstellung Minimize wurde die Verarbeitung des Werts "best" implementiert, um die minimal mögliche BildgrĂ¶ĂŸe auszuwĂ€hlen.
  • In systemd-journal-remote wurde die Verwendung der Einstellungen MaxUse, KeepFree, MaxFileSize und MaxFiles zur Begrenzung des Speicherplatzverbrauchs erlaubt.
  • In systemd-cryptsetup wurde die UnterstĂŒtzung fĂŒr das Senden von prĂ€ventiven Abfragen an FIDO2-Token hinzugefĂŒgt, um deren VerfĂŒgbarkeit vor der Authentifizierung zu bestimmen.
  • In crypttab wurden die neuen Parameter tpm2-measure-bank und tpm2-measure-pcr hinzugefĂŒgt.
  • In systemd-gpt-auto-generator wurde das EinhĂ€ngen der ESP- und XBOOTLDR-Partitionen im Modus „noexec,nosuid,nodev“ implementiert, und es wurde auch die BerĂŒcksichtigung der ĂŒber die Befehlszeile ĂŒbergebenen Kernel-Parameter rootfstype und rootflags hinzugefĂŒgt.
  • In systemd-resolved gibt es die Möglichkeit, die Resolver-Einstellungen ĂŒber die Optionen nameserver, domain, network.dns und network.search_domains in der Kernel-Befehlszeile zu konfigurieren.
  • Mit dem Befehl „systemd-analyze plot“ kann die Ausgabe jetzt im JSON-Format erfolgen, wenn das Flag „—json“ angegeben wird. Zudem wurden neue Optionen „—table“ und „—no-legend“ hinzugefĂŒgt, um die Ausgabe zu steuern.
  • Im Jahr 2023 wird die UnterstĂŒtzung von cgroups v1 und getrennten Verzeichnis-Hierarchien eingestellt (wenn /usr separiert von Root oder die Verzeichnisse /bin und /usr/bin, /lib und /usr/lib getrennt gemountet werden).

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster