Post kvin monatoj da evoluo
Ĉefa
- Aldonita subteno por la frostuja rimedregilo bazita sur cgroups v2, per kiu vi povas ĉesigi procezojn kaj provizore liberigi iujn rimedojn (CPU, I/O, kaj eble eĉ memoron) por plenumi aliajn taskojn. Frostigado kaj malfrostigo de unuoj estas kontrolataj per la nova komando "systemctl freeze" aŭ per D-Bus.
- Aldonita subteno por kontroli la radikan diskobildon per cifereca subskribo. Konfirmo estas farita uzante novajn agordojn en servaj unuoj: RootHash (radika hash por kontroli la diskbildon specifitan per la opcio RootImage) kaj RootHashSignature (cifereca subskribo en formato PKCS#7 por la radika hash).
- La prizorganto de PID 1 efektivigas la kapablon aŭtomate ŝarĝi antaŭkompilitajn AppArmor-regulojn (/etc/apparmor/earlypolicy) ĉe la komenca startstadio.
- Novaj unuodosieraj agordoj estis aldonitaj: ConditionPathIsEncrypted kaj AssertPathIsEncrypted por kontroli la lokigon de la specifita vojo sur bloka aparato, kiu uzas ĉifradon (dm-crypt/LUKS), ConditionEnvironment kaj AssertEnvironment por kontroli mediajn variablojn (ekzemple, tiujn fiksitajn de PAM aŭ kiam oni starigas ujojn).
- Por *.mount unuoj, la agordo ReadWriteOnly estis efektivigita, kiu malpermesas munti subdiskon en nurlegebla reĝimo se ne eblis munti ĝin por legado kaj skribo. En /etc/fstab ĉi tiu reĝimo estas agordita uzante la opcion "x-systemd.rw-only".
- Por *.socket-unuoj, la agordo PassPacketInfo estis aldonita, kiu ebligas al la kerno aldoni pliajn metadatumojn por ĉiu pakaĵeto legita de la ingo (ebligas la IP_PKTINFO, IPV6_RECVPKTINFO kaj NETLINK_PKTINFO-reĝimojn por la ingo).
- Por servoj (*.service-unuoj), CoredumpFilter-agordoj estas proponitaj (difinas memorsekciojn, kiuj devus esti inkluzivitaj en kerndeponejoj) kaj
TimeoutStartFailureMode/TimeoutStopFailureMode (difinas la konduton (SIGTERM, SIGABRT aŭ SIGKILL) kiam tempoforigo okazas dum ekfunkciigo aŭ ĉesigo de servo). - Plej multaj opcioj nun subtenas deksesumajn valorojn specifitajn per la prefikso "0x".
- En diversaj komandliniaj parametroj kaj agordaj dosieroj rilataj al agordo de ŝlosiloj aŭ atestiloj, eblas specifi la vojon al uniksaj ingoj (AF_UNIX) por translokado de ŝlosiloj kaj atestiloj per alvokoj al IPC-servoj kiam ne estas dezirinde meti atestojn sur neĉifritan diskon. stokado.
- Aldonita subteno por ses novaj specifiloj uzeblaj en unuoj, tmpfiles.d/, sysusers.d/ kaj aliaj agordaj dosieroj: %a por anstataŭigi la nunan arkitekturon, %o/%w/%B/%W por anstataŭigi kampojn per identigiloj de /etc/os-release kaj %l por mallonga anstataŭigo de gastiga nomo.
- Unuaj dosieroj ne plu subtenas la sintakson ".include", kiu estis malrekomendita antaŭ 6 jaroj.
- La agordoj StandardError kaj StandardOutput ne plu subtenas la valorojn "syslog" kaj "syslog-console", kiuj aŭtomate konvertiĝos al "ĵurnalo" kaj "ĵurnalo+konzolo".
- Por aŭtomate kreitaj tmpfs-bazitaj muntpunktoj (/tmp, /run, /dev/shm, ktp.), limoj sur la grandeco kaj nombro da inodoj estas disponigitaj, egalrilatante al 50% de la RAM-grandeco por /tmp kaj /dev/ shm, kaj 10% de RAM por ĉiuj aliaj.
- Aldonitaj novaj kernaj komandliniaj opcioj: systemd.hostname por agordi la gastigan nomon ĉe la komenca startstadio, udev.blockdev_read_only por limigi ĉiujn blokajn aparatojn asociitajn kun fizikaj diskoj al nurlegebla reĝimo (vi povas uzi la komandon "blockdev --setrw" por elekte nuligi), systemd .swap por malŝalti aŭtomatan aktivigon de la interŝanĝa sekcio, systemd.clock-usec por agordi la sisteman horloĝon en mikrosekundoj, systemd.condition-needs-update kaj systemd.condition-first-boot por superregi la ConditionNeedsUpdate kaj ConditionFirstBoot ĉekoj.
- Defaŭlte, sysctl fs.suid_dumpable estas agordita al 2 ("suidsafe"), kio permesas konservi kernajn rubejojn por procezoj kun la suid flago.
- La dosiero /usr/lib/udev/hwdb.d/60-autosuspend.hwdb estis pruntita en la aparatara datumbazo de ChromiumOS, kiu inkluzivas informojn pri PCI kaj USB-aparatoj, kiuj subtenas aŭtomatan dormreĝimon.
- Agordo ManageForeignRoutes estis aldonita al networkd.conf, kiam ĝi estas ebligita, systemd-networkd komencos administri ĉiujn itinerojn agorditajn de aliaj iloj.
- Sekcio "[SR-IOV]" estis aldonita al .network-dosieroj por agordi retajn aparatojn kiuj subtenas SR-IOV (Single Root I/O Virtualization).
- En systemd-networkd, la agordo IPv4AcceptLocal estis aldonita al la sekcio "[Reto]" por permesi pakojn alvenantajn kun loka fontadreso ricevi sur la retinterfaco.
- systemd-networkd aldonis la kapablon agordi HTB-trafikajn prioritatdisciplinojn per la [HierarchyTokenBucket] kaj
[HierarchyTokenBucketClass], "pfifo" per [PFIFO], "GRED" per [GenericRandomEarlyDetection], "SFB" per [StochasticFairBlue], "kuko"
per [CUKTO], "PIE" per [PIE], "DRR" per [DeficitRoundRobinScheduler] kaj
[DeficitRoundRobinSchedulerClass], "BFIFO" per [BFIFO],
"PFIFOHeadDrop" per [PFIFOHeadDrop], "PFIFOHeadDrop" per [PFIFOHeadDrop], "HHF"
per [HeavyHitterFilter], "ETS" per [EnhancedTransmissionSelection],
"QFQ" per [QuickFairQueueing] kaj [QuickFairQueueingClass]. - En systemd-networkd, agordo UseGateway estis aldonita al la sekcio [DHCPv4] por malŝalti la uzon de informoj pri enirejo akirita per DHCP.
- En systemd-networkd, en la sekcioj [DHCPv4] kaj [DHCPServer], agordo SendVendorOption estis aldonita por instali kaj prilabori pliajn vendistajn opciojn.
- systemd-networkd efektivigas novan aron de EmitPOP3/POP3, EmitSMTP/SMTP kaj EmitLPR/LPR-opcioj en la sekcio [DHCPServer] por aldoni informojn pri POP3, SMTP kaj LPR-serviloj.
- En systemd-networkd, en la .netdev-dosieroj en la sekcio [Bridge], agordo de VLANProtocol estis aldonita por elekti la VLAN-protokolon por uzi.
- En systemd-networkd, en .network-dosieroj en la sekcio [Link], la Grupo-agordo estas efektivigita por administri grupon de ligiloj.
- BlackList-agordoj estis renomitaj al DenyList (konservante malnovan nomtraktadon por retrokongruo).
- Systemd-networkd aldonis grandan parton de agordoj rilataj al IPv6 kaj DHCPv6.
- Aldonita "forcerenew" komando al networkctl por devigi ĉiujn adresligojn esti ĝisdatigitaj (luo).
- En systemd-solvita, en la DNS-agordo, iĝis eble specifi la havennumeron kaj gastigantan nomon por DNS-over-TLS-atestilkontrolo. La efektivigo de DNS-over-TLS aldonis subtenon por SNI-kontrolado.
- Systemd-resolved nun havas la kapablon agordi alidirektado de unu-etikedaj DNS-nomoj (unu-etikedo, de unu gastiga nomo).
- systemd-journald disponigas subtenon por uzado de la zstd-algoritmo por kunpremi grandajn kampojn en ĵurnaloj. Laboro estis farita por protekti kontraŭ kolizioj en hashtabeloj uzataj en ĵurnaloj.
- Klakeblaj URL-oj kun ligiloj al dokumentaro estis aldonitaj al journalctl dum montrado de protokolaj mesaĝoj.
- Aldonis Audit-agordon al journald.conf por kontroli ĉu reviziado estas ebligita dum systemd-journald-komencigo.
- Systemd-coredump nun havas la kapablon kunpremi kernajn rubejojn uzante la zstd-algoritmon.
- Aldonita UUID-agordo al systemd-repart por asigni UUID al la kreita sekcio.
- La systemd-hejma servo, kiu provizas administradon de porteblaj hejmaj dosierujoj, aldonis la kapablon malŝlosi hejmajn adresarojn per FIDO2-ĵetonoj. La subtena ĉifrado de LUKS-diskodo aldonis subtenon por aŭtomate resendi malplenajn dosiersistemajn blokojn kiam sesio finiĝas. Aldonita protekto kontraŭ duobla ĉifrado de datumoj se estas determinite, ke la /hejma subdisko en la sistemo jam estas ĉifrita.
- Aldonitaj agordoj al /etc/crypttab: "keyfile-erase" por forigi ŝlosilon post uzo kaj "try-empty-password" por provi malŝlosi sekcion kun malplena pasvorto antaŭ peti la uzanton por pasvorto (utila por instali ĉifritajn bildojn kun pasvorto asignita post la unua ekkuro, ne dum instalado).
- systemd-cryptsetup aldonas subtenon por malŝlosi Microsoft BitLocker-diskojn ĉe lanĉo per /etc/crypttab. Ankaŭ aldonis la kapablon legi
ŝlosiloj por aŭtomate malŝlosi sekciojn de la dosieroj /etc/cryptsetup-keys.d/.key kaj /run/cryptsetup-keys.d/.key. - Aldonita systemd-xdg-autostart-generator por krei unuo-dosierojn el .desktop aŭtostart-dosieroj.
- Aldonita "reboot-to-firmware" komando al "bootctl".
- Aldonitaj opcioj al systemd-firstboot: "--image" por specifi la diskobildon por lanĉi, "--kernel-command-line" por pravalorigi la /etc/kernel/cmdline dosieron, "--root-password-hashed" al specifu la radikan pasvorton hash, kaj "--delete-root-password" por forigi la radikan pasvorton.
fonto: opennet.ru