ProHoster > Блог > interretaj novaĵoj > Systemd Systemd Manager eldono 250

Systemd Systemd Manager eldono 250

Post kvin monatoj da evoluo, la liberigo de la sistemmanaĝero systemd 250 estis prezentita La nova eldono enkondukis la kapablon stoki akreditaĵojn en ĉifrita formo, efektivigis konfirmon de aŭtomate detektitaj GPT-diskoj per cifereca subskribo, plibonigita informojn pri la kaŭzoj de prokrastoj kiam. startaj servoj, kaj aldonitaj elektoj por limigi servon aliron al certaj dosiersistemoj kaj retaj interfacoj, subteno por sekcio integrecmonitorado uzante la dm-integrity modulo estas provizita, kaj subteno por sd-boot aŭtomata ĝisdatigo estas aldonita.

Ĉefaj ŝanĝoj:

  • Aldonita subteno por ĉifritaj kaj aŭtentikigitaj akreditaĵoj, kiuj povas esti utilaj por sekure stoki sentemajn materialojn kiel SSL-ŝlosiloj kaj alirpasvortoj. Malĉifrado de akreditaĵoj estas farita nur kiam necese kaj lige kun la loka instalado aŭ ekipaĵo. Datenoj estas ĉifritaj aŭtomate per simetriaj ĉifradaj algoritmoj, kies ŝlosilo troviĝas en la dosiersistemo, en la TPM2-peceto aŭ uzante kombinskemon. Kiam la servo komenciĝas, la akreditaĵoj estas aŭtomate malĉifritaj kaj iĝas haveblaj al la servo en ĝia normala formo. Por labori kun ĉifritaj akreditaĵoj, la utileco 'systemd-creds' estis aldonita, kaj la agordoj LoadCredentialEncrypted kaj SetCredentialEncrypted estis proponitaj por servoj.
  • sd-stub, la efektivigebla EFI, kiu permesas al EFI-firmvaro ŝargi la Linuksan kernon, nun subtenas lanĉadon de la kerno per la LINUX_EFI_INITRD_MEDIA_GUID EFI-protokolo. Ankaŭ aldonita al sd-stub estas la kapablo paki akreditaĵojn kaj sysext-dosierojn en cpio-arkivon kaj transdoni ĉi tiun arkivon al la kerno kune kun la initrd (aldonaj dosieroj estas metitaj en la dosierujon /.extra/). Ĉi tiu funkcio ebligas al vi uzi kontroleblan neŝanĝeblan initrd-medion, kompletigitan per sysexts kaj ĉifritaj aŭtentikigdatenoj.
  • La specifo Discoverable Partitions estis signife vastigita, provizante ilojn por identigi, munti kaj aktivigi sistemajn sekciojn uzante GPT (GUID Partition Tables). Kompare kun antaŭaj eldonoj, la specifo nun subtenas la radikan sekcion kaj /usr-diskon por plej multaj arkitekturoj, inkluzive de platformoj kiuj ne uzas UEFI.

    Discoverable Partitions ankaŭ aldonas subtenon por sekcioj kies integreco estas kontrolita per la dm-verity modulo uzante PKCS#7 ciferecajn subskribojn, faciligante krei plene aŭtentikigitajn diskobildojn. Konfirmsubteno estas integrita en diversaj servaĵoj kiuj manipulas diskobildojn, inkluzive de systemd-nspawn, systemd-sysext, systemd-dissect, RootImage-servoj, systemd-tmpfiles, kaj systemd-sysusers.

  • Por unuoj, kiuj daŭras longan tempon por komenci aŭ halti, krom montri viglan progresbreton, eblas montri statusajn informojn, kiuj ebligas kompreni kio ĝuste okazas kun la servo nuntempe kaj kiu servo estas la sistemmanaĝero. nuntempe atendas por kompletigi.
  • Aldonis la parametron DefaultOOMScoreAdjust al /etc/systemd/system.conf kaj /etc/systemd/user.conf, kiu ebligas al vi ĝustigi la OOM-killer-sojlon por malalta memoro, aplikebla al procezoj, kiujn systemd startas por la sistemo kaj uzantoj. Defaŭlte, la pezo de sistemaj servoj estas pli alta ol tiu de uzantservoj, t.e. Kiam estas nesufiĉa memoro, la probablo de ĉesigo de uzantservoj estas pli alta ol tiu de sistemaj.
  • Aldonis la agordon RestrictFileSystems, kiu ebligas al vi limigi la aliron de servoj al iuj specoj de dosiersistemoj. Por vidi la disponeblajn dosiersistemojn, vi povas uzi la komandon "systemd-analyze filesystems". Analogie, la opcio RestrictNetworkInterfaces estis efektivigita, kiu permesas vin limigi aliron al certaj retaj interfacoj. La efektivigo estas bazita sur la BPF LSM-modulo, kiu limigas la aliron de grupo de procezoj al kernaj objektoj.
  • Aldonis novan agordan dosieron /etc/integritytab kaj systemd-integritysetup ilon, kiuj agordas la dm-integrity-modulon por kontroli datumintegrecon ĉe la sektornivelo, ekzemple, por garantii la neŝanĝeblecon de ĉifritaj datumoj (Aŭtentikigita Ĉifrado, certigas, ke datumbloko havas. ne estis modifita en ĉirkaŭvojo). La formato de la dosiero /etc/integritytab estas simila al la dosieroj /etc/crypttab kaj /etc/veritytab, krom ke dm-integrity estas uzata anstataŭ dm-crypt kaj dm-verity.
  • Nova unuodosiero systemd-boot-update.service estis aldonita, kiam aktivigita kaj la sd-boot ekŝargilo estas instalita, systemd aŭtomate ĝisdatigos la version de la sd-boot ekŝargilo, tenante la ekŝargilon kodon ĉiam ĝisdatigita. sd-boot mem nun estas konstruita defaŭlte kun subteno por la mekanismo SBAT (UEFI Secure Boot Advanced Targeting), kiu solvas problemojn kun atestila revoko por UEFI Secure Boot. Krome, sd-boot disponigas la kapablon analizi Mikrosoftan Vindozon-botigajn agordojn por ĝuste generi la nomojn de lanĉaj sekcioj kun Vindozo kaj montri la Vindozan version.

    sd-boot ankaŭ disponigas la kapablon difini kolorskemon je konstrua tempo. Dum la ekfunkciigo, aldonis subtenon por ŝanĝi la ekranan rezolucion premante la klavon "r". Aldonita klavoklavo "f" por iri al la firmware-agorda interfaco. Aldonita reĝimo por aŭtomate ekŝalti la sistemon respondan al la menuero elektita dum la lasta ekŝargo. Aldonis la kapablon aŭtomate ŝargi EFI-ŝoforojn situantajn en la dosierujo /EFI/systemd/drivers/ en la sekcio ESP (EFI System Partition).

  • Nova unuodosiero factory-reset.target estas inkluzivita, kiu estas prilaborita en systemd-logind en simila maniero al la operacioj de reboot, poweroff, suspendo kaj vintrodormo, kaj estas uzata por krei prizorgilojn por fari fabrikrestarigon.
  • La systemd-solvita procezo nun kreas plian aŭskultan ingon ĉe 127.0.0.54 krom 127.0.0.53. Petoj alvenantaj ĉe 127.0.0.54 estas ĉiam redirektitaj al kontraŭflua DNS-servilo kaj ne estas prilaboritaj loke.
  • Provizis la kapablon konstrui systemd-importd kaj systemd-solved kun la OpenSSL-biblioteko anstataŭ libgcrypt.
  • Aldonita komenca subteno por la LoongArch-arkitekturo uzita en Loongson-procesoroj.
  • systemd-gpt-auto-generator disponigas la kapablon aŭtomate agordi sistem-difinitajn interŝanĝajn sekciojn ĉifritajn de la LUKS2-subsistemo.
  • La GPT-bilda analiza kodo uzita en systemd-nspawn, systemd-dissect, kaj similaj servaĵoj efektivigas la kapablon deĉifri bildojn por aliaj arkitekturoj, permesante al systemd-nspawn esti uzita por prizorgi bildojn sur emuliloj de aliaj arkitekturoj.
  • Inspektante diskobildojn, systemd-dissect nun montras informojn pri la celo de la sekcio, kiel taŭgeco por lanĉado per UEFI aŭ funkcii en ujo.
  • La kampo "SYSEXT_SCOPE" estis aldonita al la system-extension.d/ dosieroj, permesante al vi indiki la amplekson de la sistema bildo - "initrd", "system" aŭ "portable".
  • Kampo "PORTABLE_PREFIXES" estis aldonita al la os-eldondosiero, kiu povas esti uzata en porteblaj bildoj por determini subtenatajn unudosierprefiksojn.
  • systemd-logind enkondukas novajn agordojn HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress kaj HandleHibernateKeyLongPress, kiuj povas esti uzataj por determini kio okazas kiam certaj klavoj estas premitaj dum pli ol 5 sekundoj (ekzemple, premante rapide en la standon povas esti agordita al la reĝimo). , kaj kiam ĝi estas tenita, ĝi ekdormos).
  • Por unuoj, la StartupAllowedCPUs kaj StartupAllowedMemoryNodes-agordoj estas efektivigitaj, kiuj diferencas de similaj agordoj sen la Startup-prefikso pro tio, ke ili estas aplikataj nur ĉe la starto kaj ĉesigo, kio ebligas al vi agordi aliajn rimedlimigojn dum lanĉo.
  • Aldonitaj [Kondiĉo|Aserto][Memoro|CPU|IO]Premo-kontroloj kiuj permesas al unuo-aktivigo esti preterlasita aŭ malsukcesi se la PSI-mekanismo detektas pezan ŝarĝon sur memoro, CPU, kaj I/O en la sistemo.
  • La defaŭlta maksimuma inoda limo estis pliigita por la /dev-diskodo de 64k ĝis 1M, kaj por la /tmp-diskodo de 400k ĝis 1M.
  • Agordo ExecSearchPath estis proponita por servoj, kio ebligas ŝanĝi la vojon por serĉi ruleblajn dosierojn lanĉitajn per agordoj kiel ExecStart.
  • Aldonita la agordo RuntimeRandomizedExtraSec, kiu ebligas al vi enkonduki hazardajn deviojn en la tempodaŭron RuntimeMaxSec, kiu limigas la ekzekuttempon de unuo.
  • La sintakso de la agordoj RuntimeDirectory, StateDirectory, CacheDirectory kaj LogsDirectory estis vastigita, en kiuj specifante aldonan valoron apartigitan per dupunkto, vi nun povas organizi la kreadon de simbola ligo al donita dosierujo por organizi aliron laŭ pluraj vojoj.
  • Por servoj, agordoj de TTYRows kaj TTYColumns estas ofertitaj por agordi la nombron da vicoj kaj kolumnoj en la TTY-aparato.
  • Aldonita la agordo ExitType, kiu ebligas al vi ŝanĝi la logikon por determini la finon de servo. Defaŭlte, systemd nur kontrolas la morton de la ĉefa procezo, sed se ExitType=cgroup estas agordita, la sistemadministranto atendos la lastan procezon en la cgroup finiĝi.
  • La efektivigo de systemd-cryptsetup de TPM2/FIDO2/PKCS11-subteno nun ankaŭ estas konstruita kiel cryptsetup-kromaĵo, permesante la normalan cryptsetup-komandon esti uzata por malŝlosi ĉifritan sekcion.
  • La TPM2 prizorganto en systemd-cryptsetup/systemd-cryptsetup aldonas subtenon por RSA-ĉefaj ŝlosiloj aldone al ECC-ŝlosiloj por plibonigi kongruecon kun ne-ECC-fritoj.
  • La opcio de token-timeout estis aldonita al /etc/crypttab, kiu ebligas al vi difini la maksimuman tempon por atendi PKCS#11/FIDO2-ĵeton-konekton, post kiu vi estos petata enigi pasvorton aŭ reakivan ŝlosilon.
  • systemd-timesyncd efektivigas la agordon SaveIntervalSec, kiu permesas vin periode ŝpari la nunan sisteman tempon al disko, ekzemple, por efektivigi monotonan horloĝon sur sistemoj sen RTC.
  • Opcioj estis aldonitaj al la systemd-analyze ilo: "--image" kaj "--root" por kontroli unuo-dosierojn ene de donita bildo aŭ radika dosierujo, "--recursive-errors" por konsideri dependajn unuojn kiam eraro. estas detektita, “--offline” por kontroli aparte unuo-dosierojn konservitajn al disko, “—json” por eligo en JSON-formato, “—quiet” por malŝalti negravajn mesaĝojn, “—profile” por ligi al portebla profilo. Aldonas ankaŭ la komando inspekt-elfo por analizi kernajn dosierojn en ELF-formato kaj la kapablo kontroli unuo-dosierojn kun donita unuonomo, sendepende de ĉu ĉi tiu nomo kongruas kun la dosiernomo.
  • systemd-networkd vastigis subtenon por la Controller Area Network (CAN) buso. Aldonitaj agordoj por kontroli CAN-reĝimojn: Loopback, OneShot, PresumeAck kaj ClassicDataLengthCode. Aldonita TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 kaj DataSyncJumpWidth opcioj al la opcioj de [CAN]-interfaco de sinkronigaj sekcioj de POVAS-interfaco de sinkronigaj sekcioj.
  • Systemd-networkd aldonis Etiked-opcion por la DHCPv4-kliento, kiu ebligas al vi agordi la adresetikedon uzatan dum agordado de IPv4-adresoj.
  • systemd-udevd por "ethtool" efektivigas subtenon por specialaj "max" valoroj, kiuj fiksas la bufran grandecon al la maksimuma valoro subtenata de la aparataro.
  • En .link-dosieroj por systemd-udevd vi nun povas agordi diversajn parametrojn por kombini retajn adaptilojn kaj konekti aparataron pritraktilojn (malŝarĝo).
  • systemd-networkd proponas novajn dosierojn .network defaŭlte: 80-container-vb.network por difini retajn pontojn kreitajn dum rulado de systemd-nspawn kun la opcioj "--network-bridge" aŭ "--network-zone"; 80-6rd-tunnel.network por difini tunelojn kiuj estas aŭtomate kreitaj kiam ricevas DHCP-respondon kun la 6RD-opcio.
  • Systemd-networkd kaj systemd-udevd aldonis subtenon por IP-sendo tra InfiniBand-interfacoj, por kiuj la sekcio "[IPoIB]" estis aldonita al la systemd.netdev dosieroj, kaj pretigo de la "ipoib" valoro estis efektivigita en la Kind. fikso.
  • systemd-networkd disponigas aŭtomatan itineran agordon por adresoj specifitaj en la parametro AllowedIPs, kiu povas esti agordita per la parametroj RouteTable kaj RouteMetric en la sekcioj [WireGuard] kaj [WireGuardPeer].
  • systemd-networkd disponigas aŭtomatan generacion de ne-ŝanĝiĝantaj MAC-adresoj por la batadv kaj pontinterfacoj. Por malŝalti ĉi tiun konduton, vi povas specifi MACAddress=neniu en .netdev dosieroj.
  • Agordo de WakeOnLanPassword estis aldonita al .link dosieroj en la sekcio "[Link]" por determini la pasvorton kiam WoL funkcias en "SecureOn" reĝimo.
  • Aldonitaj agordoj de AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO kaj UseRawPacketSize al la sekcio "[CAKE]" de .network-dosieroj por difini la parametrojn de la reto de administrado de la mekanismo de Komunaj Aplikoj Kept Enhanced). .
  • Aldonis agordon IgnoreCarrierLoss al la sekcio "[Reto]" de .network-dosieroj, ebligante al vi determini kiom longe atendi antaŭ reagi al perdo de portanta signalo.
  • Systemd-nspawn, homectl, machinectl kaj systemd-run etendis la sintakson de la parametro "--setenv" - se nur la variablo nomo estas specifita (sen "="), la valoro estos prenita de la responda mediovariablo (por ekzemple, kiam oni specifas "--setenv=FOO" la valoro estos prenita el la mediovariablo $FOO kaj uzata en la samnoma mediovariablo aro en la ujo).
  • systemd-nspawn aldonis "--suppress-sync" opcion por malŝalti sync()/fsync()/fdatasync() sistemajn vokojn dum kreado de ujo (utila kiam rapideco estas prioritato kaj konservi konstruajn artefaktojn en kazo de malsukceso ne estas. grava, ĉar ili povas esti rekreitaj iam ajn).
  • Nova hwdb-datumbazo estis aldonita, kiu inkluzivas diversajn specojn de signalanaliziloj (multimetroj, protokolanaliziloj, osciloskopoj, ktp.). Informoj pri fotiloj en hwdb estis pligrandigitaj kun kampo kun informoj pri la speco de fotilo (regula aŭ infraruĝa) kaj lenslokigo (antaŭa aŭ malantaŭa).
  • Ebligita generacio de neŝanĝiĝantaj retinterfacaj nomoj por netfront-aparatoj uzitaj en Xen.
  • La analizo de kerndosieroj per la systemd-coredump ilo bazita sur la libdw/libelf-bibliotekoj nun estas farita en aparta procezo, izolita en sablokesto-medio.
  • systemd-importd aldonis subtenon por la mediovariabloj $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, per kiuj vi povas malŝalti la generacion de Btrfs-subsekcioj, same kiel agordi kvotojn kaj diskan sinkronigon.
  • En systemd-journald, sur dosiersistemoj kiuj subtenas kopi-sur-skriban reĝimon, COW-reĝimo estas reebligita por arkivitaj ĵurnaloj, permesante al ili esti kunpremitaj uzante Btrfs.
  • systemd-journald efektivigas deduplikadon de identaj kampoj en ununura mesaĝo, kiu estas farita ĉe la stadio antaŭ metado de la mesaĝo en la ĵurnalon.
  • Aldonita "--show" opcio al malŝalta komando por montri planitan ĉesigon.

fonto: opennet.ru

Aldoni komenton