ProHoster > Blog > Internetnachrichten > systemd Systemmanager Version 253

systemd Systemmanager Version 253

Nach dreieinhalb Monaten Entwicklungszeit wurde das Release des Systemmanagers systemd 253 vorgestellt.

Zu den Änderungen in der neuen Version gehören:

  • Das Paket enthält das Dienstprogramm „ukify“, das zum Erstellen, Überprüfen und Generieren von Signaturen für einheitliche Kernel-Images (UKI, Unified Kernel Image) entwickelt wurde und einen Handler zum Laden des Kernels aus UEFI (UEFI-Boot-Stub), ein Linux-Kernel-Image und ein kombiniert In den Speicher geladene Systemumgebung initrd, die für die Erstinitialisierung in der Phase vor dem Mounten des Root-Dateisystems verwendet wird. Das Dienstprogramm ersetzt die zuvor vom Befehl „dracut -uefi“ bereitgestellte Funktionalität und ergänzt sie um Funktionen zur automatischen Berechnung von Offsets in PE-Dateien, zum Zusammenführen von Initrds, zum Signieren eingebetteter Kernel-Images, zum Erstellen kombinierter Images mit sbsign, zur Heuristik zur Bestimmung des Kernel-Uname und zur Überprüfung der Bild mit Begrüßungsbildschirm und Hinzufügen signierter PCR-Richtlinien, die vom Dienstprogramm systemd-measure generiert wurden.
  • Unterstützung für initrd-Umgebungen hinzugefügt, die nicht durch die Speicherplatzierung eingeschränkt sind und in denen overlayfs anstelle von tmpfs verwendet wird. In solchen Umgebungen löscht systemd nach dem Wechsel des Root-Dateisystems nicht alle Dateien in der initrd.
  • Der Parameter „OpenFile“ wurde den Diensten zum Öffnen beliebiger Dateien im Dateisystem (oder zum Herstellen einer Verbindung zu Unix-Sockets) und zum Übergeben der zugehörigen Dateideskriptoren an den gestarteten Prozess hinzugefügt (z. B. wenn Sie den Zugriff auf eine Datei für eine organisieren müssen). unprivilegierter Dienst ohne Änderung der Zugriffsrechte auf die Datei).
  • In systemd-cryptenroll ist es bei der Registrierung neuer Schlüssel möglich, verschlüsselte Partitionen mithilfe von FIDO2-Tokens (--unlock-fido2-device) zu entsperren, ohne dass ein Passwort erforderlich ist. Ein vom Benutzer angegebener PIN-Code wird mit Salt gespeichert, um die Erkennung durch Brute-Force-Angriffe zu erschweren.
  • ReloadLimitIntervalSec- und ReloadLimitBurst-Einstellungen sowie Kernel-Befehlszeilenoptionen (systemd.reload_limit_interval_sec und /systemd.reload_limit_burst) hinzugefügt, um die Intensität von Hintergrundprozessneustarts zu begrenzen.
  • Für Einheiten wurde die Option „MemoryZSwapMax“ implementiert, um die Eigenschaft „memory.zswap.max“ zu konfigurieren, die die maximale Zswap-Größe bestimmt.
  • Für Einheiten wurde die Option „LogFilterPatterns“ implementiert, mit der Sie reguläre Ausdrücke festlegen können, um die Informationsausgabe in das Protokoll zu filtern (kann verwendet werden, um bestimmte Ausgaben auszuschließen oder nur bestimmte Daten zu speichern).
  • Scope-Einheiten unterstützen jetzt die Einstellung „OOMPolicy“, um das Verhalten festzulegen, wenn versucht wird, bei geringem Speichermangel vorzubeugen (Anmeldesitzungen werden auf OOMPolicy=continue gesetzt, damit der OOM-Killer sie nicht zwangsweise beendet).
  • Es wurde ein neuer Diensttyp definiert – „Type=notify-reload“, der den Typ „Type=notify“ um die Möglichkeit erweitert, auf das Neustartsignal zu warten, um die Verarbeitung abzuschließen (SIGHUP). Die Dienste systemd-networkd.service, systemd-udevd.service und systemd-logind wurden auf den neuen Typ übertragen.
  • udev verwendet ein neues Benennungsschema für Netzwerkgeräte. Der Unterschied besteht darin, dass für USB-Geräte, die nicht an den PCI-Bus gebunden sind, jetzt ID_NET_NAME_PATH festgelegt ist, um vorhersehbarere Namen zu gewährleisten. Der Operator „-=“ wurde für SYMLINK-Variablen implementiert, wodurch symbolische Links unkonfiguriert bleiben, wenn zuvor eine Regel zum Hinzufügen dieser Links definiert wurde.
  • Im systemd-boot wurde die Seed-Übertragung für Pseudozufallszahlengeneratoren im Kernel und für das Disk-Backend überarbeitet. Unterstützung für das Laden des Kernels nicht nur von der ESP (EFI-Systempartition) hinzugefügt, beispielsweise von der Firmware oder direkt für QEMU. Das Parsen von SMBIOS-Parametern wird bereitgestellt, um den Start in einer Virtualisierungsumgebung zu bestimmen. Es wurde ein neuer „If-Safe“-Modus implementiert, bei dem das Zertifikat für UEFI Secure Boot nur dann vom ESP geladen wird, wenn es als sicher gilt (in einer virtuellen Maschine ausgeführt wird).
  • Das Dienstprogramm bootctl implementiert die Generierung von Systemtokens auf allen EFI-Systemen mit Ausnahme von Virtualisierungsumgebungen. Die Befehle „kernel-identify“ und „kernel-inspect“ wurden hinzugefügt, um den Kernel-Image-Typ und Informationen zu Befehlszeilenoptionen und der Kernel-Version anzuzeigen. „Unlink“ zum Entfernen der Datei, die mit dem ersten Typ von Boot-Records verknüpft ist, „Cleanup“ zum Entfernen aller Dateien aus dem Verzeichnis „entry-token“ in ESP und XBOOTLDR, die nicht mit dem ersten Typ von Boot-Records verknüpft sind. Die Verarbeitung der Variable KERNEL_INSTALL_CONF_ROOT wurde bereitgestellt.
  • Der Befehl „systemctl list-dependencies“ unterstützt jetzt die Verarbeitung der Optionen „--type“ und „--state“ und der Befehl „systemctl kexec“ fügt Unterstützung für Umgebungen hinzu, die auf dem Xen-Hypervisor basieren.
  • In .network-Dateien im Abschnitt [DHCPv4] wurde jetzt Unterstützung für die Optionen SocketPriority und QuickAck, RouteMetric=high|medium|low hinzugefügt.
  • Systemd-repart hat die Optionen „--include-partitions“, „--exclude-partitions“ und „--defer-partitions“ hinzugefügt, um Partitionen nach UUID-Typ zu filtern, wodurch Sie beispielsweise Images erstellen können, in denen sich eine Partition befindet Basierend auf dem Inhalt einer anderen Partition erstellt. Außerdem wurde die Option „--sector-size“ hinzugefügt, um die Größe des Sektors anzugeben, der beim Erstellen der Partition verwendet wird. Unterstützung für die Generierung von Erofs-Dateien hinzugefügt. Die Einstellung „Minimieren“ implementiert die Verarbeitung des „besten“ Werts, um die minimal mögliche Bildgröße auszuwählen.
  • systemd-journal-remote ermöglicht die Verwendung der Einstellungen MaxUse, KeepFree, MaxFileSize und MaxFiles, um den Speicherplatzverbrauch zu begrenzen.
  • systemd-cryptsetup fügt Unterstützung für das Senden proaktiver Anfragen an FIDO2-Tokens hinzu, um deren Anwesenheit vor der Authentifizierung festzustellen.
  • Neue Parameter tpm2-measure-bank und tpm2-measure-pcr wurden zu crypttab hinzugefügt.
  • systemd-gpt-auto-generator implementiert das Mounten von ESP- und
  • systemd-resolved bietet die Möglichkeit, Resolver-Parameter zu konfigurieren, indem die Optionen nameserver, domain, network.dns und network.search_domains in der Kernel-Befehlszeile angegeben werden.
  • Der Befehl „systemd-analyze plot“ bietet jetzt die Möglichkeit, bei Angabe des Flags „-json“ im JSON-Format auszugeben. Zur Steuerung der Ausgabe wurden außerdem die neuen Optionen „--table“ und „-no-legend“ hinzugefügt.
  • Im Jahr 2023 planen wir, die Unterstützung für cgroups v1 und geteilte Verzeichnishierarchien einzustellen (wobei /usr separat vom Stammverzeichnis gemountet wird oder /bin und /usr/bin, /lib und /usr/lib getrennt sind).

Source: opennet.ru

Kommentar hinzufügen