ProHoster > Блог > interretaj novaĵoj > Systemd Systemd Manager eldono 249

Systemd Systemd Manager eldono 249

Post tri monatoj da evoluo, estas prezentita la liberigo de la sistemmanaĝero systemd 249. La nova eldono disponigas la kapablon difini uzantojn/grupojn en formato JSON, stabiligas la protokolon Journal, simpligas la organizon de ŝarĝado de sinsekvaj diskdiskodiskoj, aldonas la kapablon al ligi BPF-programojn al servoj, kaj efektivigas identigilojn de mapado de uzantoj en surmuntitaj sekcioj, granda parto de novaj retaj agordoj kaj ŝancoj por lanĉi ujojn estas ofertitaj.

Ĉefaj ŝanĝoj:

  • La Ĵurnalo-protokolo estas dokumentita kaj povas esti uzata en klientoj anstataŭ la syslog-protokolo por loka livero de protokoloj. La protokolo de Ĵurnalo estas efektivigita delonge kaj jam estas uzata en kelkaj klientbibliotekoj, tamen ĝia oficiala subteno ĵus estas anoncita.
  • Userdb kaj nss-systemd provizas subtenon por legado de pliaj uzantdifinoj situantaj en la dosierujoj /etc/userdb/, /run/userdb/, /run/host/userdb/ kaj /usr/lib/userdb/, specifitaj en formato JSON. Oni rimarkas, ke ĉi tiu funkcio provizos plian mekanismon por krei uzantojn en la sistemo, provizante ĝin per plena integriĝo kun NSS kaj /etc/shadow. JSON-subteno por uzant-/grupaj eniroj ankaŭ permesos al diversaj rimedoj-administrado kaj aliaj agordoj esti alfiksitaj al uzantoj, kiujn pam_systemd kaj systemd-logind rekonas.
  • nss-systemd provizas sintezon de uzant-/grupaj eniroj en /etc/shadow uzante hakitajn pasvortojn de systemd-homed.
  • Mekanismo estis efektivigita, kiu simpligas la organizon de ĝisdatigoj uzante diskpartojn, kiuj anstataŭas unu la alian (unu subdisko estas aktiva, kaj la dua estas rezerva - la ĝisdatigo estas kopiita al la rezerva sekcio, post kiu ĝi fariĝas aktiva). Se estas du radikaj aŭ /usr-diskoj en la diskbildo, kaj udev ne detektis la ĉeeston de la parametro 'root=', aŭ prilaboras diskobildojn specifitajn per la opcio "--image" en la systemd-nspawn kaj systemd -dissect iloj, la ekdisko povas esti kalkulita komparante GPT-etikedojn (supozante, ke la GPT-etikedo mencias la version-numeron de la enhavo de la sekcio kaj systemd elektos la subdiskon kun la pli lastatempaj ŝanĝoj).
  • BPFProgram-agordo estis aldonita al la servodosieroj, per kiu vi povas organizi la ŝarĝon de BPF-programoj en la kernon kaj administri ilin kun ligado al specifaj sistemaj servoj.
  • Systemd-fstab-generator kaj systemd-repart aldonas la kapablon lanĉi de diskoj kiuj nur havas /usr-diskon kaj neniun radikan subdiskon (la radikdisko estos generita per systemd-repart dum la unua ekŝargo).
  • En systemd-nspawn, la opcio "--private-user-chown" estis anstataŭigita per la pli ĝenerala opcio "--private-user-ownership", kiu povas akcepti "chown" valorojn kiel ekvivalenton de "-- private-user-chown", "off" por malŝalti malnovan agordon, "map" por mapi uzantidentigilojn sur muntitaj dosiersistemoj kaj "aŭto" por elekti "mapon" se la bezonata funkcieco ĉeestas en la kerno (5.12+) aŭ refalo. al rekursiva voko al "chown" alie. Uzante mapadon, vi povas mapi la dosierojn de unu uzanto sur muntita eksterlanda sekcio al alia uzanto en la nuna sistemo, faciligante kunhavigi dosierojn inter malsamaj uzantoj. En la systemd-hejma portebla hejma dosierujo-mekanismo, mapado permesos al uzantoj movi siajn hejmajn adresarojn al eksteraj amaskomunikiloj kaj uzi ilin en malsamaj komputiloj kiuj ne havas la saman uzantan ID-aranĝon.
  • En systemd-nspawn, la opcio "--private-user" nun povas uzi la valoron "identeco" por rekte reflekti uzantidentigilojn dum agordado de uzantnomspaco, t.e. UID 0 kaj UID 1 en la ujo estos reflektitaj en UID 0 kaj UID 1 sur la mastro-flanko, por redukti atakvektorojn (la ujo nur ricevos procezkapablojn en sia nomspaco).
  • La opcio "--bind-user" estis aldonita al systemd-nspawn por plusendi uzantkonton ekzistantan en la gastiga medio al la ujo (la hejma dosierujo estas muntita en la ujo, eniro de uzanto/grupo estas aldonita kaj UID-mapado. estas farita inter la ujo kaj la gastiga medio).
  • Aldonita subteno por peti fiksitajn pasvortojn al systemd-ask-password kaj systemd-sysusers (passwd.hashed-password. kaj passwd.plaintext-password. ) uzante la mekanismon enkondukitan en systemd 247 por sekure transdoni sentemajn datumojn uzante mezajn dosierojn en aparta dosierujo. Defaŭlte, akreditaĵoj estas akceptitaj de la procezo kun PID1, kiu ricevas ilin, ekzemple, de la kontenera administradmanaĝero, kiu ebligas al vi agordi la uzantpasvorton ĉe la unua ekkuro.
  • systemd-firstboot aldonas subtenon por uzi la sekuran translokigon de sentema datummekanismo por pridemandi diversajn sistemajn parametrojn, kiuj povas esti uzataj por pravalorigi sistemajn agordojn kiam unue ekŝargas ujo-bildon kiu ne havas la necesajn agordojn en la dosierujo /etc.
  • La PID 1-procezo certigas, ke kaj la unuonomo kaj priskribo estas montrataj dum lanĉo. Vi povas ŝanĝi la eligon per la parametro "StatusUnitFormat=kombinita" en system.conf aŭ la opcio de komandlinia kerno "systemd.status-unit-format=kombinita"
  • La opcio "--image" estis aldonita al la systemd-machine-id-setup kaj systemd-repart iloj por transdoni dosieron kun maŝinid al diskobildo aŭ por pliigi la grandecon de diskobildo.
  • Parametro MakeDirectories estis aldonita al la diskpartiga agordodosiero uzata de la systemd-repart ilo, kiu povas esti uzata por krei arbitrajn dosierujojn en la kreita dosiersistemo antaŭ ol esti reflektita en la sekciotabelo (ekzemple, por krei dosierujojn por muntpunktoj en la radikan subdiskon por ke vi tuj povu munti la subdiskon en nurlegebla reĝimo). Por kontroli GPT-flagojn en kreitaj sekcioj, la respondaj Flagoj, ReadOnly kaj NoAuto parametroj estis aldonitaj. La parametro CopyBlocks havas valoron "aŭtomate" por aŭtomate elekti la nunan lanĉan sekcion kiel la fonton dum kopiado de blokoj (ekzemple, kiam vi bezonas translokigi vian propran radikan sekcion al novaj amaskomunikiloj).
  • GPT efektivigas la flagon "grow-file-system", kiu estas simila al la opcio de muntado x-systemd.growfs kaj disponigas aŭtomatan vastiĝon de la FS-grandeco al la limoj de la bloka aparato se la FS-grandeco estas pli malgranda ol la sekcio. La flago aplikeblas al dosiersistemoj Ext3, XFS kaj Btrfs, kaj povas esti aplikata al aŭtomate detektitaj sekcioj. La flago estas ebligita defaŭlte por skribeblaj sekcioj aŭtomate kreitaj per systemd-repart. La opcio GrowFileSystem estis aldonita por agordi la flagon en systemd-repart.
  • La /etc/os-release dosiero provizas subtenon por novaj IMAGE_VERSION kaj IMAGE_ID variabloj por determini la version kaj ID de atome ĝisdatigitaj bildoj. La %M kaj %A-specifiloj estas proponitaj por anstataŭigi specifitajn valorojn en diversaj komandoj.
  • La parametro "--extension" estis aldonita al la utileco portablectl por aktivigi porteblajn sistemajn etendaĵo-bildojn (ekzemple, per ili vi povas distribui bildojn kun aldonaj servoj integritaj en la radikan sekcion).
  • La systemd-coredump-servaĵo disponigas la eltiron de ELF-konstru-id-informoj dum generado de kernrubejo de procezo, kiu povas esti utila por determini al kiu pakaĵo malsukcesa procezo apartenas se informoj pri la nomo kaj versio de deb aŭ rpm-pakaĵoj estis konstruitaj. en la ELF-dosierojn.
  • Nova aparatara bazo por FireWire (IEEE 1394) aparatoj estis aldonita al udev.
  • En udev, tri ŝanĝoj estis aldonitaj al la "net_id" retinterfaco-nomelektoskemo, kiuj malobservas malantaŭan kongruecon: malĝustaj signoj en interfacnomoj nun estas anstataŭigitaj per "_"; PCI-hotplug-fendnomoj por s390-sistemoj estas prilaboritaj en deksesuma formo; La uzo de ĝis 65535 enkonstruitaj PCI-aparatoj estas permesita (antaŭe nombroj super 16383 estis blokitaj).
  • systemd-resolved aldonas la domajnon "home.arpa" al la listo de NTA (Negative Trust Anchors), kiu estas rekomendita por lokaj hejmaj retoj, sed ne uzata en DNSSEC.
  • La parametro CPUAffinity provizas analizon de la "%"-specifiloj.
  • Parametro ManageForeignRoutingPolicyRules estis aldonita al .network-dosieroj, kiuj povas esti uzataj por ekskludi systemd-networkd de prilaborado de triapartaj vojaj politikoj.
  • La parametro RequiredFamilyForOnline estis aldonita al la dosieroj ".network" por determini la ĉeeston de IPv4 aŭ IPv6-adreso kiel signo, ke la reto-interfaco estas en la "reta" ŝtato. Networkctl disponigas montradon de la "reta" statuso por ĉiu ligo.
  • Aldonita OutgoingInterface-parametro al .network-dosieroj por difini eksiĝintajn interfacojn dum agordado de retaj pontoj.
  • Grupo-parametro estis aldonita al ".network" dosieroj, permesante al vi agordi Multvojan grupon por enskriboj en la sekcio "[NextHop]".
  • Aldonitaj opcioj "-4" kaj "-6" al systemd-network-wait-online por limigi konektoatendojn nur al IPv4 aŭ IPv6.
  • Parametro RelayTarget estis aldonita al la agordoj de DHCP-servilo, kiu ŝanĝas la servilon al DHCP Ralay-reĝimo. Por kroma agordo de la DHCP-relajso, la opcioj RelayAgentCircuitId kaj RelayAgentRemoteId estas ofertitaj.
  • La parametro ServerAddress estis aldonita al la DHCP-servilo, permesante al vi eksplicite agordi la IP-adreson de la servilo (alie la adreso estas elektita aŭtomate).
  • La DHCP-servilo efektivigas la sekcion [DHCPServerStaticLease], kiu ebligas al vi agordi senmovajn adresligojn (DHCP-ligoj), specifante fiksajn IP-ligojn al MAC-adresoj kaj inverse.
  • La agordo RestrictAddressFamilies subtenas la valoron "neniu", kio signifas, ke la servo ne havos aliron al ingoj de iu ajn adresfamilio.
  • En la dosieroj ".network" en la sekcioj [Adreso], [DHCPv6PrefixDelegation] kaj [IPv6Prefix], subteno por la agordo RouteMetric estas efektivigita, kiu ebligas al vi specifi la metrikon por la itinerprefikso kreita por la specifita adreso.
  • nss-myhostname kaj systemd-resolved provizas sintezon de DNS-rekordoj kun adresoj por gastigantoj kun speciala nomo "_outbound", por kiu loka IP estas ĉiam eldonita, elektita laŭ la defaŭltaj itineroj uzataj por elirantaj konektoj.
  • En .network-dosieroj, en la sekcio "[DHCPv4]", defaŭlta aktiva agordo RoutesToNTP estis aldonita, kiu postulas aldoni apartan itineron tra la nuna retinterfaco por aliri la NTP-serviladreson akiritan por ĉi tiu interfaco uzante DHCP (simila al DNS). , la agordo permesas vin garantii, ke trafiko al la NTP-servilo estos direktita per la interfaco per kiu ĉi tiu adreso estis ricevita).
  • Aldonitaj agordoj SocketBindAllow kaj SocketBindDeny por kontroli aliron al ingoj ligitaj al la nuna servo.
  • Por unuopaj dosieroj, kondiĉa agordo nomata ConditionFirmware estis efektivigita, kiu ebligas al vi krei ĉekojn, kiuj taksas firmware-funkciojn, kiel laboro sur UEFI kaj device.tree-sistemoj, kaj ankaŭ kontroli kongruecon kun certaj aparato-arbaj kapabloj.
  • Efektivigis la opcion ConditionOSRelease por kontroli kampojn en la /etc/os-release-dosiero. Kiam oni difinas kondiĉojn por kontroli kampajn valorojn, la operatoroj “=”, “!=”, “<“, “<=”, “>=”, “>” estas akcepteblaj.
  • En la ilo hostnamectl, komandoj kiel "get-xyz" kaj "set-xyz" estas liberigitaj de la "get" kaj "set" prefiksoj, ekzemple, anstataŭ "hostnamectl get-hostname" kaj "hostnamectl "set-hostname" vi povas uzi la komandon "hostnamectl hostname" , la atribuo de valoro en kiu estas determinita per specifo de plia argumento ("hostnamectl hostname valoro"). Subteno por pli malnovaj komandoj estis konservita por certigi kongruecon.
  • La systemd-detect-virt ilo kaj la agordo ConditionVirtualization certigas ĝustan identigon de Amazon EC2-medioj.
  • La agordo LogLevelMax en unuodosieroj nun validas ne nur por protokolaj mesaĝoj generitaj de la servo, sed ankaŭ por PID 1-procezaj mesaĝoj, kiuj mencias la servon.
  • Provizis la kapablon inkludi SBAT (UEFI Secure Boot Advanced Targeting) datumojn en systemd-boot EFI PE-dosieroj.
  • /etc/crypttab efektivigas novajn opciojn "senkapa" kaj "pasvort-eĥo" - la unua permesas salti ĉiujn operaciojn asociitajn kun interage petado de pasvortoj kaj PIN-oj de la uzanto, kaj la dua permesas agordi la metodon por montri pasvortan enigon. (montru nenion, montru signon post signo kaj montru asteriskojn). La opcio "--echo" estis aldonita al systemd-ask-password por similaj celoj.
  • systemd-cryptenroll, systemd-cryptsetup, kaj systemd-homed vastigis subtenon por malŝlosi ĉifritajn LUKS2-sekciojn per FIDO2-ĵetonoj. Aldonitaj novaj opcioj "--fido2-with-user-presence", "--fido2-with-user-verification" kaj "-fido2-with-client-pin" por kontroli uzantan fizikan ĉeeston-konfirmon, konfirmon kaj la bezonon eniri. PIN-kodo.
  • Aldonitaj opcioj "--user", "--system", "--merge" kaj "--file" al systemd-journal-gatewayd, simile al la opcioj journalctl.
  • Aldone al rektaj dependecoj inter unuoj specifitaj per la parametroj OnFailure kaj Slice, subteno por implicaj inversaj dependecoj OnFailureOf kaj SliceOf estis aldonita, kiuj povas esti utilaj, ekzemple, por determini ĉiujn unuojn inkluzivitajn en tranĉaĵo.
  • Aldonitaj novaj specoj de dependecoj inter unuoj: OnSuccess kaj OnSuccessOf (la malo de OnFailure, vokita sur sukcesa kompletigo); PropagatesStopTo kaj StopPropagatedFrom (permesas al vi disvastigi la haltokazaĵon de unuo al alia unuo); Upholds kaj UpheldBy (alternativo al Restart).
  • La systemd-ask-password ilo nun havas "--emoji" opcion por kontroli la aspekton de la pendseruro simbolo (🔐) en la pasvorta eniga linio.
  • Aldonita dokumentaro pri systemd fonta arbostrukturo.
  • Por unuoj, posedaĵo MemoryAvailable estis aldonita, montrante kiom da memoro la unuo lasis antaŭ atingi la limon fiksitan per la parametroj MemoryMax, MemoryHigh aŭ MemoryAvailable.

fonto: opennet.ru

Aldoni komenton