ProHoster > Blogi > internetiuudised > systemd süsteemihalduri versioon 243

systemd süsteemihalduri versioon 243

Pärast viiekuulist arengut esitatakse süsteemihalduri väljalase systemd 243. Uuenduste hulgas võib märkida süsteemi vähese mälu jaoks mõeldud töötleja integreerimist PID 1-sse, oma BPF-programmide ühendamise tuge üksuse liikluse filtreerimiseks, arvukalt uusi võimalusi systemd-networkd jaoks, režiimi võrgu ribalaiuse jälgimiseks. liidesed, mis võimaldavad 64-bitistes süsteemides vaikimisi 22-bitiseid PID-numbreid 16-bitiste asemel, üleminekut ühtsele cgroups-hierarhiale, kaasamist süsteemi systemd-network-generator.

Peamised muudatused:

  • PID 1 töötlejale on lisatud kerneli genereeritud mälu tühjenemise signaalide tuvastamine (Out-Of-Memory, OOM), et viia mälutarbimise piirini jõudnud üksused eriolekusse koos valikulise võimalusega sundida neid katkestama. või peatus;
  • Ühikufailide jaoks uued parameetrid IPIngressFilterPath ja
    IPEgressFilterPath, mis võimaldab ühendada BPF-programme suvaliste töötlejatega, et filtreerida selle seadmega seotud protsesside poolt genereeritud sissetulevaid ja väljaminevaid IP-pakette. Pakutud funktsioonid võimaldavad teil luua süsteemsete teenuste jaoks omamoodi tulemüüri. Kirjutamise näide lihtne võrgufilter, mis põhineb BPF-il;

  • Käsk "puhas" on lisatud systemctl utiliidile, et kustutada vahemälu, käitusaegsed failid, olekuteave ja logikataloogid;
  • systemd-networkd lisab toe MACsec, nlmon, IPVTAP ja Xfrm võrguliidestele;
  • systemd-networkd rakendab DHCPv4 ja DHCPv6 virnade eraldi konfiguratsiooni konfiguratsioonifaili jaotiste [DHCPv4] ja [DHCPv6] kaudu. Lisatud suvand RoutesToDNS, et lisada DHCP-serverist saadud parameetrites määratud DNS-serverisse eraldi marsruut (et liiklus DNS-i saadetakse sama lingi kaudu, mis DHCP-lt saadud põhimarsruut). DHCPv4 jaoks on lisatud uued valikud: MaxAttempts – maksimaalne taotluste arv aadressi saamiseks, BlackList – DHCP serverite must nimekiri, SendRelease – lubab DHCP RELEASE sõnumite saatmist seansi lõppedes;
  • Utiliidi systemd-analyze on lisatud uued käsud:
    • “systemd-analyze timestamp” – aja parsimine ja teisendamine;
    • “systemd-analyze timespan” – ajaperioodide analüüs ja teisendamine;
    • “systemd-analyze condition” – ConditionXYZ avaldiste sõelumine ja testimine;
    • “systemd-analyze exit-status” – väljumiskoodide sõelumine ja teisendamine numbritest nimedeks ja vastupidi;
    • "systemd-analyze unit-files" – loetleb kõik üksuste ja üksuste varjunimede failiteed.
  • Valikud SuccessExitStatus, RestartPreventExitStatus ja
    RestartForceExitStatus toetab nüüd mitte ainult numbrilisi tagastuskoode, vaid ka nende tekstiidentifikaatoreid (näiteks "DATAERR"). Identifikaatoritele määratud koodide loendit saate vaadata käsuga “sytemd-analyze exit-status”;

  • Virtuaalsete võrguseadmete kustutamiseks on networkctl utiliidile lisatud käsk "kustutamine" ning seadme statistika kuvamiseks suvand "—stats";
  • Võrguliideste läbilaskevõime perioodiliseks mõõtmiseks on faili networkd.conf lisatud SpeedMeter ja SpeedMeterIntervalSec sätted. Mõõtmistulemustest saadud statistikat saab vaadata käsu ‘networkctl status’ väljundis;
  • Lisatud uus utiliit systemd-network-generator failide genereerimiseks
    .network, .netdev ja .link põhinevad IP-sätetel, mis edastatakse Linuxi kerneli käsurea kaudu käivitamisel Dracuti sätete vormingus;

  • Sysctl "kernel.pid_max" väärtus 64-bitistes süsteemides on nüüd vaikimisi seatud väärtusele 4194304 (22-bitised PID-id 16-bitiste asemel), mis vähendab PID-de määramisel kokkupõrgete tõenäosust, suurendab samaaegsete süsteemide arvu limiiti. toimivad protsessid ja sellel on positiivne mõju turvalisusele. Muudatus võib potentsiaalselt kaasa tuua ühilduvusprobleeme, kuid praktikas pole sellistest probleemidest veel teatatud;
  • Vaikimisi lülitub ehitusetapp ühendatud hierarhiale cgroups-v2 (“-Ddefault-hierarchy=unified”). Varem oli vaikimisi hübriidrežiim (“-Ddefault-hierarchy=hybrid”);
  • Süsteemikõnede filtri (SystemCallFilter) käitumist on muudetud, mis keelatud süsteemikõne korral lõpetab nüüd kogu protsessi, mitte üksikuid lõime, kuna üksikute lõimede lõpetamine võib põhjustada ettearvamatuid probleeme. Muudatused kehtivad ainult siis, kui teil on Linuxi kernel 4.14+ ja libseccomp 2.4.0+;
  • Privilegeerimata programmidele antakse võimalus saata ICMP Echo (ping) pakette, määrates sysctl "net.ipv4.ping_group_range" kogu rühmade vahemiku jaoks (kõigi protsesside jaoks);
  • Koostamise protsessi kiirendamiseks on vaikimisi peatatud meeste käsiraamatute genereerimine (täieliku dokumentatsiooni koostamiseks tuleb html-vormingus käsiraamatute puhul kasutada valikut “-Dman=true” või “-Dhtml=true”). Dokumentatsiooni vaatamise hõlbustamiseks on lisatud kaks skripti: build/man/man ja build/man/html huvipakkuvate käsiraamatute genereerimiseks ja eelvaate kuvamiseks;
  • Riikliku tähestiku tähemärkidega domeeninimede töötlemiseks kasutatakse vaikimisi libidn2 teeki (libidni tagastamiseks kasutage valikut "-Dlibidn=true");
  • Käivitava faili /usr/sbin/halt.local tugi, mis pakkus funktsioone, mida distributsioonides laialdaselt ei levinud, on lõpetatud. Käskude käivitamise korraldamiseks väljalülitamisel on soovitatav kasutada /usr/lib/systemd/system-shutdown/ skripte või defineerida uus üksus, mis sõltub failist final.target;
  • Seiskamise viimases etapis suurendab systemd nüüd automaatselt logi taset failis sysctl "kernel.printk", mis lahendab probleemi, mis on seotud sulgemise hilisemates etappides toimunud sündmuste kuvamisega logis, kui tavalised logideemonid on juba lõpetanud. ;
  • Journalctl ja muudes logisid kuvavates utiliitides on hoiatused kollase ja auditikirjed sinisega esile tõstetud, et neid visuaalselt massist esile tõsta;
  • Keskkonnamuutujas $PATH tuleb bin/ tee nüüd enne sbin/ teed, st. kui mõlemas kataloogis on identsed täitmisfailide nimed, siis käivitatakse bin/ fail;
  • systemd-logind pakub SetBrightness() kutset, et muuta ohutult ekraani heledust seansipõhiselt;
  • Käsklusele "udevadm info" on lisatud lipp "--wait-for-inicialization", et oodata seadme lähtestamist;
  • Süsteemi alglaadimise ajal kuvab PID 1 käitleja nüüd nende kirjeldusega rea ​​asemel üksuste nimed. Varasema käitumise naasmiseks võite kasutada failis /etc/systemd/system.conf suvandit StatusUnitFormat või kerneli suvandit systemd.status_unit_format;
  • Lisati valvekoera PID 1 faili /etc/systemd/system.conf suvand KExecWatchdogSec, mis määrab kexeci abil taaskäivitamise ajalõpu. Vana seade
    ShutdownWatchdogSec on ümber nimetatud nimeks RebootWatchdogSec ja see määrab tööde ajalõpu seiskamise või tavalise taaskäivitamise ajal;

  • Teenuste jaoks on lisatud uus valik Teostusseisund, mis võimaldab määrata käsud, mis käivitatakse enne ExecStartPre. Käsuga tagastatud veakoodi põhjal tehakse otsus üksuse edasise täitmise kohta - kui tagastatakse kood 0, siis üksuse käivitamine jätkub, kui 1 kuni 254 lõpeb vaikselt ilma tõrkeliputa, kui 255 lõpeb rikke lipp;
  • Lisatud on uus teenus systemd-pstore.service, et eraldada andmed failist sys/fs/pstore/ ja salvestada failist /var/lib/pstore edasiseks analüüsiks;
  • Utiliidi timedatectl on lisatud uued käsud süsteemid-timesyncd NTP parameetrite konfigureerimiseks seoses võrguliidestega;
  • Käsk "localectl list-locales" ei kuva enam muid lokaate peale UTF-8;
  • Tagab, et failides sysctl.d/ eiratakse muutujate määramise vigu, kui muutuja nimi algab märgiga "-";
  • Teenus systemd-random-seed.service vastutab nüüd täielikult Linuxi kerneli pseudojuhuslike numbrite generaatori entroopiakogumi lähtestamise eest. Teenused, mis nõuavad õigesti lähtestatud /dev/urandom, tuleks käivitada pärast systemd-random-seed.service;
  • Systemd-boot boot loader pakub valikulist tuge seemnefail juhusliku järjestusega EFI süsteemipartitsioonis (ESP);
  • Bootctl utiliidile on lisatud uued käsud: "bootctl random-seed" ESP-s seemnefaili loomiseks ja "bootctl is-installed", et kontrollida systemd-boot boot loaderi installimist. bootctl on ka kohandatud kuvama hoiatusi alglaadimiskirjete vale konfiguratsiooni kohta (näiteks kui kerneli kujutis kustutatakse, kuid selle laadimise kirje jäetakse alles);
  • Pakub vahetuspartitsiooni automaatset valikut, kui süsteem läheb puhkerežiimi. Sektsioon valitakse sõltuvalt selle jaoks konfigureeritud prioriteedist ja identsete prioriteetide korral vaba ruumi hulgast;
  • Lisatud faili /etc/crypttab võtmefaili ajalõpu suvand, et määrata, kui kaua krüptimisvõtmega seade ootab enne krüptitud partitsioonile juurdepääsuks parooli küsimist;
  • Lisatud IOWeight suvand BFQ planeerija I/O kaalu määramiseks;
  • systemd-resolved lisab DNS-over-TLS-i jaoks range töörežiimi ja rakendab võimaluse salvestada vahemällu ainult positiivsed DNS-i vastused (failis solved.conf "Cache no-negative");
  • VXLAN-i jaoks on systemd-networkd lisanud suvandi GenericProtocolExtension, et võimaldada VXLAN-protokolli laiendusi. VXLANi ja GENEVE jaoks on lisatud suvand IPDoNotFragment, et määrata väljaminevate pakettide killustatuse keelu lipp;
  • Süsteemi systemd-networkd jaotises „[Marsruut]” ilmus suvand FastOpenNoCookie, mis võimaldab üksikute marsruutide puhul TCP-ühenduste (TFO - TCP Fast Open, RFC 7413) kiire avamise mehhanismi, samuti suvand TTLPropagate konfigureerida TTL LSP (sildi vahetatud tee). Valik „Tüüp” pakub tuge kohalikele, ringhäälingu-, anycast-, multicast-, mis tahes ja xresolve-marsruutimisrežiimidele;
  • Systemd-networkd pakub jaotises „[Network]” suvandit DefaultRouteOnDevice, et konfigureerida automaatselt antud võrguseadme vaikemarsruut;
  • Systemd-networkd on lisanud ProxyARP ja
    ProxyARPWifi puhverserveri ARP käitumise seadistamiseks, MulticastRouter marsruutimise parameetrite määramiseks multisaadete režiimis, MulticastIGMPVersion IGMP (Internet Group Management Protocol) versiooni muutmiseks multisaadete jaoks;

  • Systemd-networkd on lisanud FooOverUDP tunnelite jaoks Local, Peer ja PeerPort suvandid, et konfigureerida kohalikke ja kaug-IP-aadresse ning võrgu pordi numbrit. TUN-tunnelite puhul on GSO (Generic Segment Offload) toe konfigureerimiseks lisatud suvand VnetHeader;
  • Süsteemi systemd-networkd jaotises [Match] on .network ja .link failides ilmunud suvand Property, mis võimaldab udevis tuvastada seadmeid nende spetsiifiliste omaduste järgi;
  • Süsteemis systemd-networkd on tunnelite jaoks lisatud AssignToLoopback valik, mis kontrollib, kas tunneli ots määratakse loopback-seadmele “lo”;
  • systemd-networkd aktiveerib automaatselt IPv6 pinu, kui see on blokeeritud sysctl disable_ipv6 kaudu - IPv6 aktiveeritakse, kui võrguliidese jaoks on määratletud IPv6 sätted (staatilised või DHCPv6), vastasel juhul juba seatud sysctl väärtus ei muutu;
  • Võrgufailides on CriticalConnectioni säte asendatud valikuga KeepConfiguration, mis pakub rohkem võimalusi olukordade määratlemiseks (“jah”, “staatiline”, “dhcp-on-stop”, “dhcp”), milles systemd-networkd peaks ärge puudutage käivitamisel olemasolevaid ühendusi;
  • Haavatavus fikseeritud CVE-2019-15718, mille põhjuseks on juurdepääsukontrolli puudumine D-Bus liidesele systemd-resolved. Probleem võimaldab privilegeerimata kasutajal teha toiminguid, mis on saadaval ainult administraatoritele, näiteks DNS-i sätete muutmine ja DNS-päringute suunamine võltsserverisse;
  • Haavatavus fikseeritud CVE-2019-9619seotud mitteinteraktiivsete seansside pam_systemd lubamata jätmisega, mis võimaldab aktiivse seansi võltsimist.

Allikas: opennet.ru

Lisa kommentaar