ProHoster > Блог > interretaj novaĵoj > Systemd Systemd Manager eldono 248

Systemd Systemd Manager eldono 248

Post kvar monatoj da evoluo, estas prezentita la eldono de la sistemmanaĝero systemd 248. La nova eldono provizas subtenon por bildoj por vastigi sistemajn dosierujojn, la agordan dosieron /etc/veritytab, la systemd-cryptenroll ilon, malŝlosi LUKS2 per TPM2-fritoj kaj FIDO2. ĵetonoj, kurantaj unuoj en izolita IPC-identigspaco, BATMAN-protokolo por maŝretoj, nftables backend por systemd-nspawn. Systemd-oomd estis stabiligita.

Ĉefaj ŝanĝoj:

  • La koncepto de System Extension-bildoj estis efektivigita, kiu povas esti uzata por etendi la hierarkion de la dosierujoj /usr/ kaj /opt/, kaj aldoni pliajn dosierojn ĉe rultempo, eĉ se la specifitaj dosierujoj estas muntitaj nurlegeblaj. Kiam sistema etenda bildo estas muntita, ĝia enhavo estas supermetita sur la /usr/ kaj /opt/-hierarkio uzante OverlayFS.

    Nova ilo, systemd-sysext, estis proponita por konekti, malkonekti, vidi kaj ĝisdatigi bildojn de sistemaj etendaĵoj. Por aŭtomate konekti jam instalitajn bildojn dum lanĉo, la servo systemd-sysext.service estis aldonita. Aldonis "SYSEXT_LEVEL=" parametron al la os-liberiga dosiero por determini la nivelon de subtenataj sistemaj etendoj.

  • Por unuoj, la agordo ExtensionImages estis efektivigita, kiu povas esti uzata por ligi sistemajn etendaĵojn al la FS-nomspaco-hierarkio de individuaj izolitaj servoj.
  • Aldonita /etc/veritytab agorda dosiero por agordi datumkonfirmon ĉe la bloknivelo uzante la dm-verity-modulon. La dosierformato estas simila al /etc/crypttab - "section_name device_for_data device_for_hashes check_hash_root-opcioj." Aldonita systemd.verity.root_options kerna komandlinia opcio por agordi dm-verity-konduton por la radika aparato.
  • systemd-cryptsetup aldonas la kapablon ĉerpi la PKCS#11-ĵetonan URI kaj ĉifritan ŝlosilon de la LUKS2-metadatuma kaplinio en JSON-formato, permesante informojn pri malfermado de ĉifrita aparato esti integrita en la aparaton mem sen implikado de eksteraj dosieroj.
  • systemd-cryptsetup provizas subtenon por malŝlosi LUKS2 ĉifritajn sekciojn uzante TPM2-fritojn kaj FIDO2-ĵetonojn, aldone al antaŭe subtenataj PKCS#11-ĵetonoj. Ŝargado de libfido2 estas farita per dlopen(), t.e. havebleco estas kontrolita sur la flugo, prefere ol kiel malmola dependeco.
  • Novaj opcioj "no-write-workqueue" kaj "no-read-workqueue" estis aldonitaj al /etc/crypttab por systemd-cryptsetup por ebligi sinkronan prilaboradon de I/O asociita kun ĉifrado kaj deĉifrado.
  • La systemd-repart ilo aldonis la kapablon aktivigi ĉifritajn sekciojn uzante TPM2-fritojn, ekzemple, por krei ĉifritan /var-sekcion ĉe la unua ekkuro.
  • La systemd-cryptenroll ilo estis aldonita por ligi TPM2, FIDO2 kaj PKCS#11-ĵetonojn al LUKS-diskoj, same kiel por malpingli kaj vidi ĵetonojn, ligi rezervajn ŝlosilojn kaj agordi pasvorton por aliro.
  • Aldonita la PrivateIPC-parametro, kiu ebligas al vi agordi la unuodosieron por ruli procezojn en izolita IPC-spaco kun siaj propraj apartaj identigiloj kaj mesaĝvico. Por konekti unuon al jam kreita IPC-identigspaco, la opcio IPCNamespacePath estas proponita.
  • Aldonitaj agordoj de ExecPaths kaj NoExecPaths por permesi la noexec-flagon esti aplikita al specifaj partoj de la dosiersistemo.
  • systemd-networkd aldonas subtenon por la maŝprotokolo BATMAN (Better Approach To Mobile Adhoc Networking), kiu permesas la kreadon de malcentralizitaj retoj en kiuj ĉiu nodo estas konektita tra najbaraj nodoj. Por agordo, la sekcio [BatmanAdvanced] en .netdev, la parametro BatmanAdvanced en .network dosieroj, kaj nova aparato tipo "batadv" estas proponita.
  • La efektivigo de la frua respondmekanismo por malalta memoro en la systemd-oomd sistemo estis stabiligita. Aldonis la opcion DefaultMemoryPressureDurationSec por agordi la atendan tempon por rimedo por esti liberigita antaŭ ol tuŝi unuon. Systemd-oomd uzas la kernan subsistemon PSI (Prema Stall Information) kaj permesas vin detekti la komencon de prokrastoj pro manko de rimedoj kaj selekteme ĉesigi rimedintensajn procezojn en stadio kiam la sistemo ankoraŭ ne estas en kritika stato kaj ne faras. komencu intense eltondi la kaŝmemoron kaj delokigi datumojn en interŝanĝan sekcion.
  • Aldonita kerna komandlinia parametro "root=tmpfs", kiu ebligas al vi munti la radikan sekcion en provizora stokado situanta en RAM uzante Tmpfs.
  • La parametro /etc/crypttab, kiu specifas la ŝlosilan dosieron, nun povas montri al AF_UNIX kaj SOCK_STREAM ingotipoj. En ĉi tiu kazo, la ŝlosilo devas esti donita kiam li konektas al la ingo, kiu, ekzemple, povas esti uzata por krei servojn, kiuj dinamike eldonas ŝlosilojn.
  • La rezerva gastiga nomo por uzo de la sistemmanaĝero kaj systemd-hostnamed nun povas esti agordita laŭ du manieroj: per la parametro DEFAULT_HOSTNAME en os-liberigo kaj per la mediovariablo $SYSTEMD_DEFAULT_HOSTNAME. systemd-hostnamed ankaŭ pritraktas "localhost" en la gastiga nomo kaj aldonas la kapablon eksporti la gastigan nomon same kiel la "HardwareVendor" kaj "HardwareModel" trajtojn per DBus.
  • La bloko kun elmontritaj mediovariabloj nun povas esti agordita per la nova opcio ManagerEnvironment en system.conf aŭ user.conf, kaj ne nur per la agordoj de la komandlinio de la kerno kaj unuodosiero.
  • Je kompilo, eblas uzi la sistemvokon fexecve() por komenci procezojn anstataŭ execve() por redukti la prokraston inter kontrolado de la sekureca kunteksto kaj aplikado de ĝi.
  • Por unuopaj dosieroj, novaj kondiĉaj operacioj ConditionSecurity=tpm2 kaj ConditionCPUFeature estis aldonitaj por kontroli la ĉeeston de TPM2-aparatoj kaj individuaj CPU-kapabloj (ekzemple, ConditionCPUFeature=rdrand povas esti uzata por kontroli ĉu la procesoro subtenas la RDRAND-operacion).
  • Por disponeblaj kernoj, aŭtomata generacio de sistemaj vokotabeloj por seccomp-filtriloj estis efektivigita.
  • Aldonis la kapablon anstataŭigi novajn bind-montojn en ekzistantajn muntajn nomspacojn de servoj, sen rekomenci la servojn. Anstataŭigo estas farita per la komandoj 'systemctl bind ...' kaj 'systemctl-munto-bildo …'.
  • Aldonita subteno por specifi vojojn en la agordoj StandardOutput kaj StandardError en la formo "tranĉigi: » por purigado antaŭ uzo.
  • Aldonis la kapablon establi konekton al la sesio de specifa uzanto ene de loka ujo al sd-buso. Ekzemple "systemctl -user -M lennart@ start quux".
  • La sekvaj parametroj estas efektivigitaj en la systemd.link-dosieroj en la sekcio [Link]:
    • Promiscuous - permesas vin ŝanĝi la aparaton al "promiskua" reĝimo por prilabori ĉiujn retajn pakaĵojn, inkluzive de tiuj ne adresitaj al la nuna sistemo;
    • TransmitQueues kaj ReceiveQueues por agordi la nombron da TX kaj RX vostoj;
    • TransmitQueueLength por agordi la TX-vicograndecon; GenericSegmentOffloadMaxBytes kaj GenericSegmentOffloadMaxSegment por fiksi limojn por la uzo de GRO (Generic Receive Offload) teknologio.
  • Novaj agordoj estis aldonitaj al systemd.network dosieroj:
    • [Reto] RouteTable por elekti vojtabelon;
    • [RoutingPolicyRule] Tajpu por la vojtipo ("nigra truo, "neatingebla", "malpermeso");
    • [IPv6AcceptRA] RouteDenyList kaj RouteAllowList por listoj de permesitaj kaj malakceptitaj itinerreklamoj;
    • [DHCPv6] UzuAdreson por ignori la adreson eldonitan de DHCP;
    • [DHCPv6PrefixDelegation] AdministriTemporanAdreson;
    • ActivationPolicy por difini la politikon pri interfacagado (ĉiam konservu UP aŭ DOWN staton, aŭ permesu al la uzanto ŝanĝi ŝtatojn per la komando "ip link set dev").
  • Aldonitaj [VLAN] Protokolo, IngressQOSMaps, EgressQOSMaps, kaj [MACVLAN] BroadcastMulticastQueueLength opcioj al systemd.netdev dosieroj por agordi VLAN-pakaĵtraktadon.
  • Ĉesis munti la dosierujon /dev/ en noexec-reĝimo ĉar ĝi kaŭzas konflikton dum uzado de la rulebla flago kun /dev/sgx dosieroj. Por redoni la malnovan konduton, vi povas uzi la agordon NoExecPaths=/dev.
  • La dosierpermesoj /dev/vsock estis ŝanĝitaj al 0o666, kaj la dosieroj /dev/vhost-vsock kaj /dev/vhost-net estis movitaj al la kvm-grupo.
  • La aparatara ID-datumbazo estis vastigita per USB-fingrospuraj legantoj, kiuj ĝuste subtenas dormreĝimon.
  • systemd-solvita aldonis subtenon por eldonado de respondoj al DNSSEC-demandoj per stumsolvilo. Lokaj klientoj povas plenumi DNSSEC-validigon sur si mem, dum eksteraj klientoj estas proksitaj senŝanĝe al la gepatra DNS-servilo.
  • Aldonita la opcio CacheFromLocalhost al resolved.conf, kiam agordita, systemd-resolved uzos kaŝmemoron eĉ por vokoj al la DNS-servilo ĉe 127.0.0.1 (defaŭlte, kaŝmemoro de tiaj petoj estas malŝaltita por eviti duoblan kaŝmemoron).
  • systemd-resolved aldonas subtenon por RFC-5001 NSIDoj en la loka DNS-solvilo, permesante al klientoj diferenciĝi inter interagoj kun la loka solvilo kaj alia DNS-servilo.
  • La resolvectl-servaĵo efektivigas la kapablon montri informojn pri la fonto de datenoj (loka kaŝmemoro, retpeto, loka procesororespondo) kaj la uzon de ĉifrado dum elsendado de datumoj. La opcioj --cache, --synthesize, --network, --zone, --trust-anchor, kaj --validate estas disponigitaj por kontroli la nomdeterminadprocezon.
  • systemd-nspawn aldonas subtenon por agordo de fajroŝirmilo uzante nftables aldone al la ekzistanta iptables-subteno. La agordo de IPMasquerade en systemd-networkd aldonis la kapablon uzi nftables-bazitan backend.
  • systemd-localed aldonis subtenon por voki locale-gen por generi mankantajn lokojn.
  • Opcioj --pager/-no-pager/-json= estis aldonitaj al diversaj iloj por ebligi/malŝalti paĝigan reĝimon kaj eligon en JSON-formato. Aldonita la kapablo agordi la nombron da koloroj uzataj en la terminalo per la mediovariablo SYSTEMD_COLORS ("16" aŭ "256").
  • La konstruo kun apartaj dosierujoj hierarkioj (split / kaj /usr) kaj cgroup v1 subteno estis malrekomendita.
  • La majstra branĉo en Git estis renomita de "majstro" al "ĉefa".

fonto: opennet.ru

Aldoni komenton