ProHoster > Блог > interretaj novaĵoj > Systemd Systemd Manager eldono 246

Systemd Systemd Manager eldono 246

Post kvin monatoj da evoluo prezentita eldono de la sistemmanaĝero systemd 246. La nova eldono inkluzivas subtenon por frostigaj unuoj, la kapablon kontroli la radikan diskobildon uzante ciferecan subskribon, subtenon por protokolo-kunpremado kaj kernforĵetoj uzante la ZSTD-algoritmon, la kapablon malŝlosi porteblajn hejmajn dosierujojn per FIDO2-ĵetonoj, subteno por malŝlosi Microsoft BitLocker. subdiskoj per /etc/crypttab, BlackList estis renomita al DenyList.

Ĉefa ŝanĝi:

  • Aldonita subteno por la frostuja rimedregilo bazita sur cgroups v2, per kiu vi povas ĉesigi procezojn kaj provizore liberigi iujn rimedojn (CPU, I/O, kaj eble eĉ memoron) por plenumi aliajn taskojn. Frostigado kaj malfrostigo de unuoj estas kontrolataj per la nova komando "systemctl freeze" aŭ per D-Bus.
  • Aldonita subteno por kontroli la radikan diskobildon per cifereca subskribo. Konfirmo estas farita uzante novajn agordojn en servaj unuoj: RootHash (radika hash por kontroli la diskbildon specifitan per la opcio RootImage) kaj RootHashSignature (cifereca subskribo en formato PKCS#7 por la radika hash).
  • La prizorganto de PID 1 efektivigas la kapablon aŭtomate ŝarĝi antaŭkompilitajn AppArmor-regulojn (/etc/apparmor/earlypolicy) ĉe la komenca startstadio.
  • Novaj unuodosieraj agordoj estis aldonitaj: ConditionPathIsEncrypted kaj AssertPathIsEncrypted por kontroli la lokigon de la specifita vojo sur bloka aparato, kiu uzas ĉifradon (dm-crypt/LUKS), ConditionEnvironment kaj AssertEnvironment por kontroli mediajn variablojn (ekzemple, tiujn fiksitajn de PAM aŭ kiam oni starigas ujojn).
  • Por *.mount unuoj, la agordo ReadWriteOnly estis efektivigita, kiu malpermesas munti subdiskon en nurlegebla reĝimo se ne eblis munti ĝin por legado kaj skribo. En /etc/fstab ĉi tiu reĝimo estas agordita uzante la opcion "x-systemd.rw-only".
  • Por *.socket-unuoj, la agordo PassPacketInfo estis aldonita, kiu ebligas al la kerno aldoni pliajn metadatumojn por ĉiu pakaĵeto legita de la ingo (ebligas la IP_PKTINFO, IPV6_RECVPKTINFO kaj NETLINK_PKTINFO-reĝimojn por la ingo).
  • Por servoj (*.service-unuoj), CoredumpFilter-agordoj estas proponitaj (difinas memorsekciojn, kiuj devus esti inkluzivitaj en kerndeponejoj) kaj
    TimeoutStartFailureMode/TimeoutStopFailureMode (difinas la konduton (SIGTERM, SIGABRT aŭ SIGKILL) kiam tempoforigo okazas dum ekfunkciigo aŭ ĉesigo de servo).

  • Plej multaj opcioj nun subtenas deksesumajn valorojn specifitajn per la prefikso "0x".
  • En diversaj komandliniaj parametroj kaj agordaj dosieroj rilataj al agordo de ŝlosiloj aŭ atestiloj, eblas specifi la vojon al uniksaj ingoj (AF_UNIX) por translokado de ŝlosiloj kaj atestiloj per alvokoj al IPC-servoj kiam ne estas dezirinde meti atestojn sur neĉifritan diskon. stokado.
  • Aldonita subteno por ses novaj specifiloj uzeblaj en unuoj, tmpfiles.d/, sysusers.d/ kaj aliaj agordaj dosieroj: %a por anstataŭigi la nunan arkitekturon, %o/%w/%B/%W por anstataŭigi kampojn per identigiloj de /etc/os-release kaj %l por mallonga anstataŭigo de gastiga nomo.
  • Unuaj dosieroj ne plu subtenas la sintakson ".include", kiu estis malrekomendita antaŭ 6 jaroj.
  • La agordoj StandardError kaj StandardOutput ne plu subtenas la valorojn "syslog" kaj "syslog-console", kiuj aŭtomate konvertiĝos al "ĵurnalo" kaj "ĵurnalo+konzolo".
  • Por aŭtomate kreitaj tmpfs-bazitaj muntpunktoj (/tmp, /run, /dev/shm, ktp.), limoj sur la grandeco kaj nombro da inodoj estas disponigitaj, egalrilatante al 50% de la RAM-grandeco por /tmp kaj /dev/ shm, kaj 10% de RAM por ĉiuj aliaj.
  • Aldonitaj novaj kernaj komandliniaj opcioj: systemd.hostname por agordi la gastigan nomon ĉe la komenca startstadio, udev.blockdev_read_only por limigi ĉiujn blokajn aparatojn asociitajn kun fizikaj diskoj al nurlegebla reĝimo (vi povas uzi la komandon "blockdev --setrw" por elekte nuligi), systemd .swap por malŝalti aŭtomatan aktivigon de la interŝanĝa sekcio, systemd.clock-usec por agordi la sisteman horloĝon en mikrosekundoj, systemd.condition-needs-update kaj systemd.condition-first-boot por superregi la ConditionNeedsUpdate kaj ConditionFirstBoot ĉekoj.
  • Defaŭlte, sysctl fs.suid_dumpable estas agordita al 2 ("suidsafe"), kio permesas konservi kernajn rubejojn por procezoj kun la suid flago.
  • La dosiero /usr/lib/udev/hwdb.d/60-autosuspend.hwdb estis pruntita en la aparatara datumbazo de ChromiumOS, kiu inkluzivas informojn pri PCI kaj USB-aparatoj, kiuj subtenas aŭtomatan dormreĝimon.
  • Agordo ManageForeignRoutes estis aldonita al networkd.conf, kiam ĝi estas ebligita, systemd-networkd komencos administri ĉiujn itinerojn agorditajn de aliaj iloj.
  • Sekcio "[SR-IOV]" estis aldonita al .network-dosieroj por agordi retajn aparatojn kiuj subtenas SR-IOV (Single Root I/O Virtualization).
  • En systemd-networkd, la agordo IPv4AcceptLocal estis aldonita al la sekcio "[Reto]" por permesi pakojn alvenantajn kun loka fontadreso ricevi sur la retinterfaco.
  • systemd-networkd aldonis la kapablon agordi HTB-trafikajn prioritatdisciplinojn per la [HierarchyTokenBucket] kaj
    [HierarchyTokenBucketClass], "pfifo" per [PFIFO], "GRED" per [GenericRandomEarlyDetection], "SFB" per [StochasticFairBlue], "kuko"
    per [CUKTO], "PIE" per [PIE], "DRR" per [DeficitRoundRobinScheduler] kaj
    [DeficitRoundRobinSchedulerClass], "BFIFO" per [BFIFO],
    "PFIFOHeadDrop" per [PFIFOHeadDrop], "PFIFOHeadDrop" per [PFIFOHeadDrop], "HHF"
    per [HeavyHitterFilter], "ETS" per [EnhancedTransmissionSelection],
    "QFQ" per [QuickFairQueueing] kaj [QuickFairQueueingClass].

  • En systemd-networkd, agordo UseGateway estis aldonita al la sekcio [DHCPv4] por malŝalti la uzon de informoj pri enirejo akirita per DHCP.
  • En systemd-networkd, en la sekcioj [DHCPv4] kaj [DHCPServer], agordo SendVendorOption estis aldonita por instali kaj prilabori pliajn vendistajn opciojn.
  • systemd-networkd efektivigas novan aron de EmitPOP3/POP3, EmitSMTP/SMTP kaj EmitLPR/LPR-opcioj en la sekcio [DHCPServer] por aldoni informojn pri POP3, SMTP kaj LPR-serviloj.
  • En systemd-networkd, en la .netdev-dosieroj en la sekcio [Bridge], agordo de VLANProtocol estis aldonita por elekti la VLAN-protokolon por uzi.
  • En systemd-networkd, en .network-dosieroj en la sekcio [Link], la Grupo-agordo estas efektivigita por administri grupon de ligiloj.
  • BlackList-agordoj estis renomitaj al DenyList (konservante malnovan nomtraktadon por retrokongruo).
  • Systemd-networkd aldonis grandan parton de agordoj rilataj al IPv6 kaj DHCPv6.
  • Aldonita "forcerenew" komando al networkctl por devigi ĉiujn adresligojn esti ĝisdatigitaj (luo).
  • En systemd-solvita, en la DNS-agordo, iĝis eble specifi la havennumeron kaj gastigantan nomon por DNS-over-TLS-atestilkontrolo. La efektivigo de DNS-over-TLS aldonis subtenon por SNI-kontrolado.
  • Systemd-resolved nun havas la kapablon agordi alidirektado de unu-etikedaj DNS-nomoj (unu-etikedo, de unu gastiga nomo).
  • systemd-journald disponigas subtenon por uzado de la zstd-algoritmo por kunpremi grandajn kampojn en ĵurnaloj. Laboro estis farita por protekti kontraŭ kolizioj en hashtabeloj uzataj en ĵurnaloj.
  • Klakeblaj URL-oj kun ligiloj al dokumentaro estis aldonitaj al journalctl dum montrado de protokolaj mesaĝoj.
  • Aldonis Audit-agordon al journald.conf por kontroli ĉu reviziado estas ebligita dum systemd-journald-komencigo.
  • Systemd-coredump nun havas la kapablon kunpremi kernajn rubejojn uzante la zstd-algoritmon.
  • Aldonita UUID-agordo al systemd-repart por asigni UUID al la kreita sekcio.
  • La systemd-hejma servo, kiu provizas administradon de porteblaj hejmaj dosierujoj, aldonis la kapablon malŝlosi hejmajn adresarojn per FIDO2-ĵetonoj. La subtena ĉifrado de LUKS-diskodo aldonis subtenon por aŭtomate resendi malplenajn dosiersistemajn blokojn kiam sesio finiĝas. Aldonita protekto kontraŭ duobla ĉifrado de datumoj se estas determinite, ke la /hejma subdisko en la sistemo jam estas ĉifrita.
  • Aldonitaj agordoj al /etc/crypttab: "keyfile-erase" por forigi ŝlosilon post uzo kaj "try-empty-password" por provi malŝlosi sekcion kun malplena pasvorto antaŭ peti la uzanton por pasvorto (utila por instali ĉifritajn bildojn kun pasvorto asignita post la unua ekkuro, ne dum instalado).
  • systemd-cryptsetup aldonas subtenon por malŝlosi Microsoft BitLocker-diskojn ĉe lanĉo per /etc/crypttab. Ankaŭ aldonis la kapablon legi
    ŝlosiloj por aŭtomate malŝlosi sekciojn de la dosieroj /etc/cryptsetup-keys.d/.key kaj /run/cryptsetup-keys.d/.key.

  • Aldonita systemd-xdg-autostart-generator por krei unuo-dosierojn el .desktop aŭtostart-dosieroj.
  • Aldonita "reboot-to-firmware" komando al "bootctl".
  • Aldonitaj opcioj al systemd-firstboot: "--image" por specifi la diskobildon por lanĉi, "--kernel-command-line" por pravalorigi la /etc/kernel/cmdline dosieron, "--root-password-hashed" al specifu la radikan pasvorton hash, kaj "--delete-root-password" por forigi la radikan pasvorton.

fonto: opennet.ru

Aldoni komenton