ProHoster > Blogi > internetiuudised > systemd süsteemihalduri versioon 250

systemd süsteemihalduri versioon 250

Pärast viit kuud kestnud arendustööd esitleti süsteemihalduri systemd 250 väljalaset. Uus versioon tutvustas võimalust salvestada mandaate krüpteeritud kujul, rakendas automaatselt tuvastatud GPT-sektsioonide kontrolli digitaalallkirja abil, täiustas teavet viivituste põhjuste kohta. teenuste käivitamine ja lisatud võimalused teenusele juurdepääsu piiramiseks teatud failisüsteemidele ja võrguliidestele, pakutakse dm-terviklusmooduli abil partitsiooni terviklikkuse jälgimise tuge ja lisatakse sd-boot automaatse värskendamise tugi.

Peamised muudatused:

  • Lisatud on krüptitud ja autentitud mandaatide tugi, mis võib olla kasulik tundlike materjalide (nt SSL-võtmed ja juurdepääsuparoolid) turvaliseks salvestamiseks. Mandaatide dekrüpteerimine toimub ainult vajaduse korral ja seoses kohaliku installi või seadmega. Andmed krüpteeritakse automaatselt sümmeetriliste krüpteerimisalgoritmide abil, mille võti võib asuda failisüsteemis, TPM2 kiibis või kombineeritud skeemi abil. Kui teenus käivitub, dekrüpteeritakse mandaadid automaatselt ja need muutuvad teenusele kättesaadavaks selle tavakujul. Krüptitud mandaatidega töötamiseks on lisatud utiliit „systemd-creds” ning teenuste jaoks on pakutud sätteid LoadCredentialEncrypted ja SetCredentialEncrypted.
  • sd-stub, EFI käivitatav fail, mis võimaldab EFI püsivaral laadida Linuxi tuuma, toetab nüüd kerneli käivitamist, kasutades EFI-protokolli LINUX_EFI_INITRD_MEDIA_GUID. Samuti on sd-stub lisatud võimalus pakkida mandaadid ja sysext-failid cpio arhiivi ning edastada see arhiiv koos initrd-ga kernelisse (lisafailid paigutatakse kataloogi /.extra/). See funktsioon võimaldab teil kasutada kontrollitavat muutumatut initrd-keskkonda, mida täiendavad süsteemid ja krüptitud autentimisandmed.
  • Avastatavate partitsioonide spetsifikatsiooni on oluliselt laiendatud, pakkudes tööriistu süsteemisektsioonide tuvastamiseks, paigaldamiseks ja aktiveerimiseks GPT (GUID partitsioonitabelite) abil. Võrreldes eelmiste väljalasetega toetab spetsifikatsioon nüüd enamiku arhitektuuride jaoks juurpartitsiooni ja /usr partitsiooni, sealhulgas platvorme, mis ei kasuta UEFI-d.

    Discoverable Partitions lisab ka toe partitsioonidele, mille terviklikkust kontrollib moodul dm-verity, kasutades PKCS#7 digitaalallkirju, muutes täielikult autentitud kettakujutiste loomise lihtsamaks. Kinnitamise tugi on integreeritud erinevatesse utiliitidesse, mis manipuleerivad kettakujutisi, sealhulgas systemd-nspawn, systemd-sysext, systemd-dissect, RootImage teenused, systemd-tmp-failid ja systemd-sysusers.

  • Seadmete puhul, mille käivitamine või seiskamine võtab kaua aega, on lisaks animeeritud edenemisriba kuvamisele võimalik kuvada olekuteavet, mis võimaldab aru saada, mis teenusega hetkel täpselt toimub ja millise teenusega süsteemihaldur on ootab praegu lõpetamist.
  • Lisati failidesse /etc/systemd/system.conf ja /etc/systemd/user.conf parameeter DefaultOOMScoreAdjust, mis võimaldab teil reguleerida OOM-killer-läve vähese mälu jaoks, mis on kohaldatav protsessidele, mida systemd käivitab süsteemi ja kasutajate jaoks. Vaikimisi on süsteemiteenuste kaal suurem kui kasutajateenustel, s.t. Kui mälu pole piisavalt, on kasutajateenuste lõpetamise tõenäosus suurem kui süsteemi omadel.
  • Lisati säte RestrictFileSystems, mis võimaldab piirata teenuste juurdepääsu teatud tüüpi failisüsteemidele. Saadaolevate failisüsteemide tüüpide vaatamiseks võite kasutada käsku "systemd-analyze filesystems". Analoogia põhjal on realiseeritud valik RestrictNetworkInterfaces, mis võimaldab piirata juurdepääsu teatud võrguliidestele. Rakendamine põhineb BPF LSM moodulil, mis piirab protsesside rühma juurdepääsu kerneli objektidele.
  • Lisatud on uus /etc/integritytab konfiguratsioonifail ja systemd-integritysetup utiliit, mis konfigureerib dm-terviklikkuse mooduli kontrollima andmete terviklikkust sektori tasemel, näiteks tagamaks krüptitud andmete muutumatust (Authenticated Encryption, tagab, et andmeplokil on ei ole muudetud ringteel). Faili /etc/integritytab vorming on sarnane /etc/crypttab- ja /etc/veritytab-failidele, välja arvatud see, et dm-crypt ja dm-verity asemel kasutatakse dm-integrity.
  • Lisatud on uus ühikfail systemd-boot-update.service, mille aktiveerimisel ja sd-boot bootloaderi installimisel uuendab systemd automaatselt sd-boot bootloaderi versiooni, hoides alglaaduri koodi alati ajakohasena. sd-boot ise on nüüd vaikimisi loodud SBAT (UEFI Secure Boot Advanced Targeting) mehhanismi toega, mis lahendab UEFI Secure Boot sertifikaadi tühistamisega seotud probleemid. Lisaks võimaldab sd-boot analüüsida Microsoft Windowsi alglaadimisseadeid, et genereerida Windowsiga alglaadimissektsioonide nimed õigesti ja kuvada Windowsi versioon.

    sd-boot annab ka võimaluse määratleda värviskeemi ehitamise ajal. Alglaadimisprotsessi ajal lisati tugi ekraani eraldusvõime muutmiseks, vajutades klahvi "r". Püsivara konfiguratsiooniliidese avamiseks on lisatud kiirklahv “f”. Lisati režiim süsteemi automaatseks käivitamiseks, mis vastab viimasel alglaadimisel valitud menüüelemendile. Lisatud on võimalus automaatselt laadida EFI draivereid, mis asuvad /EFI/systemd/drivers/ kataloogis ESP (EFI System Partition) jaotises.

  • Kaasatud on uus üksusefail factory-reset.target, mida töödeldakse süsteemis systemd-logind sarnaselt taaskäivitamise, väljalülitamise, peatamise ja talveunerežiimi toimingutele ning mida kasutatakse tehase lähtestamise teostamiseks töötlejate loomiseks.
  • Süsteemi lahendusega protsess loob nüüd lisaks 127.0.0.54-le täiendava kuulamispesa aadressil 127.0.0.53. Aadressile 127.0.0.54 saabuvad päringud suunatakse alati DNS-i ülesvoolu serverisse ja neid ei töödelda kohapeal.
  • Võimalus luua systemd-importd ja systemd-resolved OpenSSL-i teegiga libgcrypti asemel.
  • Lisatud esialgne tugi Loongsoni protsessorites kasutatavale LoongArchi arhitektuurile.
  • systemd-gpt-auto-generator pakub võimalust automaatselt konfigureerida süsteemi määratletud vahetuspartitsioonid, mis on krüptitud LUKS2 alamsüsteemiga.
  • Systemd-nspawn, systemd-dissect ja sarnastes utiliitides kasutatav GPT-kujutise parsimise kood rakendab võimalust dekodeerida pilte teiste arhitektuuride jaoks, võimaldades süsteemid-nspawni kasutada piltide käitamiseks teiste arhitektuuride emulaatorites.
  • Kettapiltide kontrollimisel kuvab systemd-dissect nüüd teavet partitsiooni eesmärgi kohta, näiteks sobivust UEFI kaudu käivitamiseks või konteineris töötamiseks.
  • System-extension.d/ failidele on lisatud väli "SYSEXT_SCOPE", mis võimaldab teil näidata süsteemi kujutise ulatust - "initrd", "system" või "portable".
  • OS-release failile on lisatud väli „PORTABLE_PREFIXES”, mida saab kasutada kaasaskantavates piltides toetatud üksusefailide eesliidete määramiseks.
  • systemd-logind tutvustab uusi sätteid HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress ja HandleHibernateKeyLongPress, mille abil saab määrata, mis juhtub, kui teatud klahve hoitakse all rohkem kui 5 sekundit (näiteks saab peatada klahvi vajutamist kiiresti ooterežiimile). ja kui seda all hoida, läheb see magama) .
  • Üksuste jaoks on rakendatud StartupAllowedCPUs ja StartupAllowedMemoryNodes sätted, mis erinevad ilma Startup prefiksita sarnastest sätetest selle poolest, et neid rakendatakse ainult alglaadimise ja sulgemise etapis, mis võimaldab alglaadimise ajal määrata muid ressursipiiranguid.
  • Lisatud [Tingimus|Kinnita][Mälu|CPU|IO]Rõhukontrollid, mis võimaldavad seadme aktiveerimise vahele jätta või ebaõnnestuda, kui PSI-mehhanism tuvastab süsteemis suure koormuse mälule, protsessorile ja sisendile.
  • Vaikimisi sisendmooduli maksimaalset limiiti on suurendatud partitsiooni /dev puhul 64 1-lt 400 miljonile ja /tmp-partitsioonile 1 XNUMX-lt XNUMX miljonile.
  • Teenuste jaoks on pakutud ExecSearchPathi sätet, mis võimaldab muuta selliste sätete kaudu käivitatavate täitmisfailide otsimise teed nagu ExecStart.
  • Lisatud RuntimeRandomizedExtraSec säte, mis võimaldab sisestada RuntimeMaxSec ajalõpu juhuslikke kõrvalekaldeid, mis piirab üksuse täitmisaega.
  • Laiendatud on RuntimeDirectory, StateDirectory, CacheDirectory ja LogsDirectory seadistuste süntaks, milles kooloniga eraldatud lisaväärtuse määramisega saab nüüd organiseerida sümboolse lingi loomist antud kataloogile juurdepääsu korraldamiseks mööda mitut teed.
  • Teenuste jaoks pakutakse TTYRowsi ja TTYColumnsi sätteid, et määrata TTY-seadme ridade ja veergude arv.
  • Lisatud säte ExitType, mis võimaldab muuta teenuse lõpu määramise loogikat. Vaikimisi jälgib systemd ainult põhiprotsessi surma, kuid kui on määratud ExitType=cgroup, ootab süsteemihaldur, kuni cgroupi viimane protsess lõpeb.
  • Systemd-cryptsetupi TPM2/FIDO2/PKCS11 toe juurutamine on nüüd loodud ka krüptiseadistuse pistikprogrammina, mis võimaldab krüptitud partitsiooni avamiseks kasutada tavalist krüptiseadistuse käsku.
  • TPM2 töötleja süsteemis systemd-cryptsetup/systemd-cryptsetup lisab lisaks ECC-võtmetele ka RSA primaarvõtmete toe, et parandada ühilduvust mitte-ECC-kiipidega.
  • Lahtrisse /etc/crypttab on lisatud loa ajalõpu suvand, mis võimaldab määrata maksimaalse aja, mille jooksul PKCS#11/FIDO2 märgiühendust oodata, mille järel palutakse teil sisestada parool või taastevõti.
  • systemd-timesyncd rakendab sätet SaveIntervalSec, mis võimaldab perioodiliselt salvestada praeguse süsteemi aja kettale, näiteks monotoonse kella rakendamiseks süsteemides, kus puudub RTC.
  • Utiliidi systemd-analyze on lisatud valikud: "--image" ja "--root" üksuse failide kontrollimiseks antud pildi või juurkataloogis, "--recursive-errors" sõltuvate ühikute arvestamiseks vea korral tuvastatakse, "--offline" kettale salvestatud failide eraldi kontrollimiseks, "-json" JSON-vormingus väljundi jaoks, "-quiet" ebaoluliste sõnumite keelamiseks, "-profile" kaasaskantava profiiliga sidumiseks. Samuti on lisatud käsk inspect-elf põhifailide parsimiseks ELF-vormingus ja võimalus kontrollida antud üksusenimega ühikufaile, olenemata sellest, kas see nimi kattub failinimega.
  • systemd-networkd on laiendanud kontrolleripiirkonna võrgu (CAN) siini tuge. Lisatud sätted CAN-režiimide juhtimiseks: Loopback, OneShot, PresumeAck ja ClassicDataLengthCode. Lisatud Timequantansac, leviku segment, PhasebufferSegment1, PhasebufferSegment2, Syncjumpidth, DataTimequantansanc, DataPropagationSegment, DataphaseBufferSegment1, DataphaseBufferSegment2 ja DataSyncjumpidth võimalused.
  • Systemd-networkd on lisanud DHCPv4 kliendi jaoks suvandi Label, mis võimaldab konfigureerida IPv4 aadresside konfigureerimisel kasutatavat aadressi silti.
  • systemd-udevd for "ethtool" toetab spetsiaalseid "max" väärtusi, mis seavad puhvri suuruse riistvara toetatud maksimaalse väärtuseni.
  • Systemd-udevd .link-failides saate nüüd seadistada erinevaid parameetreid võrguadapterite kombineerimiseks ja riistvarakäitlejate ühendamiseks (väljalaadimine).
  • systemd-networkd pakub vaikimisi uusi võrgufaile: 80-container-vb.network võrgusildade määratlemiseks, mis luuakse systemd-nspawni käivitamisel suvanditega "--network-bridge" või "--network-zone"; 80-6rd-tunnel.network, et määratleda tunnelid, mis luuakse automaatselt DHCP vastuse saamisel valikuga 6RD.
  • Systemd-networkd ja systemd-udevd on lisanud toe IP edastamiseks InfiniBand liideste kaudu, mille jaoks on systemd.netdev failidesse lisatud jaotis "[IPoIB]" ja "ipoib" väärtuse töötlemine on realiseeritud Kindis. seadistus.
  • systemd-networkd pakub parameetris AllowedIPs määratud aadresside automaatset marsruudi konfigureerimist, mida saab konfigureerida jaotiste [WireGuard] ja [WireGuardPeer] parameetrite RouteTable ja RouteMetric kaudu.
  • systemd-networkd pakub batadv- ja sillaliideste jaoks muutumatute MAC-aadresside automaatset genereerimist. Selle käitumise keelamiseks saate määrata .netdev-failides MACAddress=none.
  • Jaotises „[Link]” olevatele .link-failidele on lisatud säte WakeOnLanPassword, et määrata parool, kui WoL töötab režiimis „SecureOn”.
  • Võrgufailide jaotisesse „[CAKE]” on lisatud sätted AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO ja UserRawPacketSize, et määrata CAKE (Enhqueue haldusmehhanismi) võrgu Kept (Enhqueue haldusmehhanismi) parameetrid. .
  • Võrgufailide jaotisesse „[Network]” on lisatud säte IgnoreCarrierLoss, mis võimaldab teil määrata, kui kaua oodata, enne kui reageerite kandja signaali kadumisele.
  • Systemd-nspawn, homectl, machinectl ja systemd-run on laiendanud parameetri "--setenv" süntaksit – kui on määratud ainult muutuja nimi (ilma "="ta), siis võetakse väärtus vastavast keskkonnamuutujast (for Näiteks "--setenv=FOO" määramisel võetakse väärtus keskkonnamuutujast $FOO ja seda kasutatakse konteineris seatud samanimelises keskkonnamuutujas).
  • systemd-nspawn on lisanud suvandi "--suppress-sync", et keelata sünkroonimis()/fsync()/fdatasync() süsteemikutsed konteineri loomisel (kasulik, kui kiirus on prioriteet ja ehitusartefaktide säilitamine tõrke korral ei ole vajalik oluline, kuna neid saab igal ajal uuesti luua).
  • Lisandunud on uus hwdb andmebaas, mis sisaldab erinevat tüüpi signaalianalüsaatoreid (multimeetrid, protokollanalüsaatorid, ostsilloskoobid jne). Hwdb-s olevat teavet kaamerate kohta on laiendatud väljaga, mis sisaldab teavet kaamera tüübi (tavaline või infrapuna) ja objektiivi paigutuse (ees või taga) kohta.
  • Lubatud on muutumatute võrguliidese nimede genereerimine Xenis kasutatavate võrgu esikülje seadmete jaoks.
  • Põhifailide analüüs libdw/libelf teekidel põhineva utiliidi systemd-coredump poolt teostatakse nüüd eraldi protsessina, mis on eraldatud liivakastikeskkonnas.
  • systemd-importd on lisanud toe keskkonnamuutujatele $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, millega saate keelata Btrfs-i alamsektsioonide genereerimise, samuti seadistada kvoote ja ketta sünkroonimist.
  • Teenuses systemd-journald on kopeerimis-kirjutamisel režiimi toetavates failisüsteemides COW-režiim arhiveeritud ajakirjade jaoks uuesti lubatud, võimaldades neid tihendada Btrfs-i abil.
  • systemd-journald rakendab ühes sõnumis identsete väljade dubleerimise eemaldamist, mis viiakse läbi etapis enne sõnumi sisestamist ajakirja.
  • Ajastatud seiskamise kuvamiseks on väljalülituskäsule lisatud suvand "--show".

Allikas: opennet.ru

Lisa kommentaar