ProHoster > Blogo > interretaj novaĵoj > Systemd Systemd Manager eldono 257

Systemd Systemd Manager eldono 257

Post ses monatoj da evoluo, la liberigo de la sistemmanaĝero systemd 257 estis prezentita Ŝlosilŝanĝoj: novaj utilecoj systemd-sbsign kaj systemd-keyutil, subteno por MPTCP kiam aktivigita per ingo, komenca subteno por konstruado kun la Musl C-biblioteko, la. updatectl-utilo por administri la instaladon de ĝisdatigoj per systemd-sysupdate, la kapablo lanĉi servojn en apartaj PID-nomspacoj, protekto kontraŭ hazarda forigo de dosieroj kiam vi uzas "systemd-tmpfiles —purge".

Inter la ŝanĝoj en la nova eldono:

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd.
  • Nova ilo, systemd-keyutil, estis aldonita, kiu efektivigas diversajn operaciojn sur privataj ŝlosiloj kaj X.509-atestiloj. Ekzemple, systemd-keyutil povas esti uzata por testi la kapablon ŝargi privatajn ŝlosilojn kaj atestilojn, kaj ĉerpi publikajn ŝlosilojn de ili en PEM-formato.
  • En la unuoj ".socket" uzataj por certigi la funkciadon de la ingo-aktiviga mekanismo (startigo de procezoj dum provado establi retkonekton), subteno estas efektivigita por MPTCP (Multipath TCP), etendaĵo de la TCP-protokolo por organizi la funkciadon de TCP-konekto kun la liverado de pakaĵoj samtempe laŭ pluraj vojoj tra malsamaj retinterfacoj ligitaj al malsamaj... IP-adresoj.
  • Inkluzivas ŝanĝojn necesajn por konstrui uzante la norman Musl C-bibliotekon.
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • La kapabloj de la systemd-sysupdate-komponento estis pligrandigitaj, uzataj por aŭtomate detekti, elŝuti kaj instali ĝisdatigojn uzante atoman mekanismon por anstataŭigi sekciojn, dosierojn aŭ dosierujojn (du sendependaj sekcioj/dosieroj/dosierujoj estas uzataj, unu el kiuj enhavas la nunan funkciadon. rimedo, kaj la alia instalas la sekvan) ĝisdatigon, post kiu la sekcioj/dosieroj/dosierujoj estas interŝanĝitaj). En praktiko, systemd-sysupdate jam estas uzata en GNOME OS.

    Aldone al la systemd-sysupdate procezo, servo de la sama nomo estis aldonita kiu permesas D-Bus esti uzita por administri sistemĝisdatigojn de senprivilegia uzanto. Por administri la servon, nova updatectl ankaŭ estas inkluzivita. Aldonita "--senrete" flago al systemd-sysupdate por malebligi elŝuton de metadatenoj tra la reto kaj uzi nur versiojn jam elŝutitajn al la loka sistemo. Aldonita subteno por eligo en JSON-formato por ĉiuj komandoj.

  • Nova posedaĵo "PrivatePIDs" estis efektivigita por servoj, per kiu vi povas organizi la lanĉon de procezoj kun PID 1 (init-procezo) en aparta proceza identigilo-spaco (PID-nomspaco). En la medio kreita por la lanĉita procezo, nur procezoj de la nomspaco kreita por ĝi estos videblaj.
  • Aldonita subteno por uskleksentemaj kongruoj al udev-reguloj (ekz. 'ATTR{foo}==i»abcd»'). Uzante udev, eblas provizi senprivilegiajn lokajn uzantojn per aliro ("uaccess") al la /dev/udmabuf-aparato, kiu estas necesa por labori kun IPMI-fotiloj per libcamera. udev provizas rekonon de diversaj aparataj kriptaj monujoj kun USB-interfaco kaj fiksante la posedaĵon ID_HARDWARE_WALLET por ili, kiu permesas vin apliki la "uaccess" reĝimon al ili por aliro de senprivilegiaj uzantoj.
  • Novaj kampoj RELEASE_TYPE, EXPERIMENT kaj EXPERIMENT_URL estis aldonitaj al la /etc/os-release-dosiero. "RELEASE_TYPE" povas preni la valorojn "eksperimenta", "evoluo", "stabila" kaj "lts" por apartigi stabilajn versiojn de evoluaj kaj eksperimentaj konstruoj. La parametroj EXPERIMENT kaj EXPERIMENT_URL celas klarigi la esencon de la eksperimenta konstruo.
  • La ilo run0, evoluigita kiel anstataŭaĵo por la sudo-programo, aldonis la opcion "--shell-prompt-prefix", kiu specifas la prefiksan ĉenon por la komandŝela promptilo. Defaŭlte, la emoji "🦸" montriĝas kiel prefikso por videble reliefigi altigitan sesion.
  • En systemd-tmpfiles, por eviti hazarde forigi malĝustajn dosierojn, la opcio "--purge" nun validas nur por agordoj en tmpfiles.d/, kiuj havas la flagon "$" eksplicite agordita. La operacio "--purge" ankaŭ nun postulas specifi almenaŭ unu dosieron el la dosierujo tmpfiles.d/. Por ĉenoj kun la tipo 'L', la flago '?' estis aldonita, kiam specifite, simbola ligilo estos kreita nur se la celdosiero ekzistas.
  • En la servmanaĝero kaj rilataj servaĵoj, la proceza spurkodo daŭre estas konvertita por uzi PIDFD anstataŭe de PID. PIDFD estas rilata al specifa procezo kaj ne ŝanĝiĝas, dum PID povas esti asociita kun alia procezo post kiam la nuna procezo asociita kun tiu PID finiĝas.
  • Por servoj, nun eblas specifi la valoron "debug" en la parametro "RestartMode", en kiu la malsukcesa servo estos rekomencita kun sencimiga reĝimo ebligita (la mediovariablo DEBUG_INVOCATION=1 estas agordita), kaj la valoro LogLevelMax estos provizore altigita al la senara nivelo.
  • La prizorganto PID 1 havas la kapablon ŝarĝi regulojn por la IPE (Integrity Policy Enforcement) LSM-modulo, kiuj difinas la integrecpolitikon por la tuta sistemo (kiu operacioj estas permesitaj kaj kiel la aŭtenteco de komponentoj devus esti kontrolita).
  • La opcio "DeferReactivation" estis aldonita al la ".timer" unuodosieroj, kio permesas vin preterlasi la sekvan tempigilon aktivigon se la servo ankoraŭ ne kompletigis sian ekzekuton ekde la lasta aktivigo.
  • En la parametro de unuodosiera PrivateUsers, nun eblas specifi la "identecon" valoron por ebligi mapadon de uzantidentigiloj dum kreado de uzantnomspaco.
  • Aldonita subteno por la "malkonektita" valoro al la PrivateTmp-unua dosierparametro, kiu uzos apartajn tmpfs-kazojn por la dosierujoj /tmp/ kaj /var/tmp/.
  • Subteno por novaj "privataj" kaj "striktaj" reĝimoj estis aldonita al la unuodosiera parametro de ProtectControlGroups, kiam fiksite, nova cgroup nomspaco estas kreita por la servo kaj cgroupfs estas muntita. Kiam la "strikta" opcio estas agordita, cgroupfs estas muntita en nurlegebla reĝimo.
  • La parametroj StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory kaj ConfigurationDirectory disponigas la kapablon uzi la flagon ':ro' por limigi aliron al la respondaj dosierujoj al nurlegebla reĝimo.
  • Aldonita subteno por la "firmware" valoro al la "systemd.machine_id" kerna komandlinia parametro, en kiu la sistemidentigilo (maŝina ID) estos kalkulita surbaze de la UUID de SMBIOS/DeviceTree.
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • La resolvectl, timedatectl kaj systemd-inhibit iloj nun subtenas interagan rajtigon uzante Polkit.
  • La systemctl ilo aldonis la kapablon uzi la "--nun" flagon en la "reenable" komando.
  • Aldonita "--json" opcio al la systemd-mount ilo por eligo en JSON-formato (ekzemple, kiam specifite kune kun "--list-devices", listo de aparatoj estos eligita en JSON-formato).
  • Aldonita "-l" kaj "--full" opcioj al la "localectl" ilo por malŝalti tondado de longaj linioj dum eligo.
  • La opcio HibernateOnACPower estis aldonita al sleep.conf, kiu ebligas al vi prokrasti ŝanĝadon al dormreĝimo ĝis la aparato estas malkonektita de la senmova energifonto.
  • En systemd-sysusers, subteno por la modifilo "!" estis aldonita al la "u" linioj, per kiuj vi povas krei komplete ŝlositajn uzantkontojn (antaŭe, agordi malĝustan pasvorton estis uzata por bloki uzanton, kiu, ekzemple, ne kaŭzis blokadon dum ŝlosila aŭtentigo en SSH ).
  • Systemd-coredump aldonas "EnterNamespace" opcion kiu permesas aliron al la munta punktospaco de iuj kraŝintaj procezoj por akiri iliajn sencimigajn simbolojn. En praktiko, la opcio povas esti utila por organizi malantaŭan spuron de kernaj dosieroj de aplikaĵoj kurantaj en izolitaj ujoj.
  • systemd-logind inkluzivas prilaboradon de la kombinaĵo Ctrl-Alt-Shift-Esc por sendi la org.freedesktop.login1.SecureAttentionKey-signalon al la uzantmedio-komponentoj kun peto montri sekuran ensalutan dialogon. Efektivigis la agordon "DesignatedMaintenanceTime" por aŭtomate plani laboron por fini je difinita tempo. Analogie kun subteno por DRM kaj evdev-aparatoj, subteno estis aldonita por agordi aliron por senprivilegiaj uzantoj por hidraw aparatoj (ludaj regiloj kaj stirstangoj).
  • systemd-machined nun subtenas neprivilegiajn klientajn ensalutojn. virtualaj maŝinoj kaj ujoj. Aliro al systemd-maŝinitaj funkcioj estas provizita per la Varlink API, aldone al D-Bus.
  • Nova sekcio "[IPv6AddressLabel]" estis aldonita al la agorda dosiero networkd.conf por agordi etikedojn kaj prefiksojn por IPv6-adresoj.
  • Aldonita "--stdin" opcio al 'networkctl redakti' komando por akiri dosierenhavon de norma fluo. Aldonita subteno por redaktado kaj montrado .netdev-dosieroj specifante retan interfacon al la komandoj 'networkctl edit' kaj 'networkctl cat'. Aldonita opcio "--no-ask-password" por malŝalti interagan rajtigon.
  • Aldonis "--certificate-source" opcion al la ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart, kaj systemd-sbsign iloj por ŝargi X.509-atestilon per la OpenSSL-provizanto anstataŭ rekte ŝargi de iu. dosiero.
  • systemd-boot aldonas la kapablon uzi la volumajn butonojn por movi supren kaj malsupren tra la lanĉa menuo, kiu povas esti utila ĉe aparatoj kiel inteligentaj telefonoj. Subteno por instali la datumbazon de UEFI Secure Boot en ESL(db/dbx/...) formato por systemd-boot estis aldonita al la bootctl-ilaĵo.
  • Aldonita opcio "--list-invocation" al journalctl por montri liston de unuovokoj kaj opcion "--invocation" ("-I") por montri protokolojn asociitajn nur kun specifa alvoko.
  • systemd-nspawn aldonas subtenon por senprivilegia uzo de FUSE (Dosiersistemo en Uzulspaco) en ujoj. Kiam vi uzas la opcion "--bind-user", la SSH-ŝlosiloj de la uzanto necesaj por aliro per SSH estas plusenditaj al la ujo.
  • libsystemd aldonis novan programan interfacon "sd-json" kiu uzas la JSON-formaton, same kiel interfacon "sd-varlink" kiu uzas IPC Varlink.
  • La rekomendita baza kernversio estis ĝisdatigita por liberigi 5.4, formitan en 2019. Venontjare ili planas ĉesi subteni pli malnovajn kernojn kaj marki la 5.4-eldonon kiel la minimuman subtenata baza versio.
  • Subteno por cgroups v1 estis malrekomendita kaj estas malebligita defaŭlte (por ebligi ĝin, vi devas specifi SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 sur la kerna komandlinio krom ebligi ĝin en la systemd-agordoj). La sekva eldono de systemd 258 planas tute forigi la rilatan kodon de cgroups v1. Systemd-versio 258 ankaŭ estas planita forigi subtenon por System V-servmanuskriptoj.

fonto: opennet.ru

Aĉetu fidindan gastigadon por retejoj kun DDoS-protekto, VPS-VDS-serviloj 🔥 Aĉetu fidindan retejan gastigadon kun DDoS-protekto, VPS VDS-servilojn | ProHoster