ProHoster > Blogi > internetiuudised > systemd süsteemihalduri versioon 246

systemd süsteemihalduri versioon 246

Pärast viiekuulist arengut esitatakse süsteemihalduri väljalase systemd 246. Uus väljalase sisaldab tuge külmutavatele üksustele, juurketta kujutise kontrollimise võimalust digitaalallkirja abil, logi tihendamise ja tuumade väljatõmmete tuge ZSTD algoritmi abil, võimalust avada kaasaskantavad kodukataloogid FIDO2 žetoonide abil, Microsoft BitLockeri avamise tugi. partitsioonide /etc/ crypttab kaudu, on BlackList ümber nimetatud DenyListiks.

Kõik muutused:

  • Lisatud on cgroups v2-l põhineva sügavkülmiku ressursikontrolleri tugi, millega saate peatada protsesse ja vabastada ajutiselt teatud ressursse (CPU, I/O ja potentsiaalselt isegi mälu) muude toimingute tegemiseks. Seadmete külmutamist ja sulatamist juhitakse uue käsuga “systemctl freeze” või D-Busi kaudu.
  • Lisatud tugi juurketta kujutise kontrollimiseks digitaalallkirja abil. Kontrollimine toimub teenindusüksuste uute sätete abil: RootHash (juurräsi RootImage valiku kaudu määratud kettapildi kontrollimiseks) ja RootHashSignature (juurräsi jaoks PKCS#7 formaadis digitaalallkiri).
  • PID 1 töötleja rakendab võimalust laadida algkäivitusetapis automaatselt eelkompileeritud AppArmori reegleid (/etc/apparmor/earlypolicy).
  • Lisatud on uued ühikfaili sätted: ConditionPathIsEncrypted ja AssertPathIsEncrypted, et kontrollida määratud tee paigutust plokkseadmes, mis kasutab krüptimist (dm-crypt/LUKS), ConditionEnvironment ja AssertEnvironment keskkonnamuutujate kontrollimiseks (näiteks need, mille on määranud PAM või konteinerite püstitamisel).
  • *.mount üksuste jaoks on rakendatud säte ReadWriteOnly, mis keelab partitsiooni ühendamise kirjutuskaitstud režiimis, kui seda ei olnud võimalik lugemiseks ja kirjutamiseks ühendada. Failis /etc/fstab on see režiim konfigureeritud suvandi "x-systemd.rw-only" abil.
  • *.socket üksuste jaoks on lisatud säte PassPacketInfo, mis võimaldab kernelil lisada täiendavaid metaandmeid iga pesast loetud paketi kohta (võimaldab sokli jaoks režiimid IP_PKTINFO, IPV6_RECVPKTINFO ja NETLINK_PKTINFO).
  • Teenuste jaoks (*.teenusühikud) pakutakse CoredumpFilteri sätteid (määratleb mälulõigud, mis tuleks kaasata põhiväljavõtetesse) ja
    TimeoutStartFailureMode/TimeoutStopFailureMode (määratleb käitumise (SIGTERM, SIGABRT või SIGKILL), kui teenuse käivitamisel või peatamisel tekib ajalõpp).

  • Enamik valikuid toetab nüüd kuueteistkümnendsüsteemi väärtusi, mis on määratud prefiksiga "0x".
  • Erinevates võtmete või sertifikaatide seadistamisega seotud käsurea parameetrites ja konfiguratsioonifailides on võimalik määrata tee unixi pesadesse (AF_UNIX) võtmete ja sertifikaatide edastamiseks kõnede kaudu IPC teenustele, kui sertifikaate pole soovitav krüptimata kettale paigutada. ladustamine.
  • Lisatud on tugi kuuele uuele spetsifikaatorile, mida saab kasutada ühikutes, tmpfiles.d/, sysusers.d/ ja muudes konfiguratsioonifailides: %a praeguse arhitektuuri asendamiseks, %o/%w/%B/%W väljade asendamiseks väljadega identifikaatorid failist /etc/os-release ja %l lühikese hostinime asendamise jaoks.
  • Ühikufailid ei toeta enam .include süntaksit, mille tugi 6 aastat tagasi katkestati.
  • StandardError ja StandardOutput sätted ei toeta enam väärtusi "syslog" ja "syslog-console", mis teisendatakse automaatselt "journal" ja "journal+console".
  • Automaatselt loodud tmpfs-põhiste ühenduspunktide jaoks (/tmp, /run, /dev/shm jne) on ette nähtud sisendmoodulite suuruse ja arvu piirangud, mis vastavad 50% /tmp ja /dev/ RAM-i suurusest. shm ja 10% RAM-i kõigile teistele.
  • Lisatud uued kerneli käsurea suvandid: systemd.hostname masinanime määramiseks algkäivitusetapis, udev.blockdev_read_only, et piirata kõigi füüsiliste draividega seotud plokkseadmed kirjutuskaitstud režiimis (saate kasutada käsku "blockdev --setrw" valikuliselt tühistada), systemd .swap vahetussektsiooni automaatse aktiveerimise keelamiseks, systemd.clock-usec süsteemi kella määramiseks mikrosekundites, systemd.condition-needs-update ja systemd.condition-first-boot, et alistada ConditionNeedsUpdate ja ConditionBootBootBoot kontrollid.
  • Vaikimisi on sysctl fs.suid_dumpable seatud väärtusele 2 (“suidsafe”), mis võimaldab salvestada suid-lipuga protsesside põhiväljavõtteid.
  • Fail /usr/lib/udev/hwdb.d/60-autosuspend.hwdb laenati ChromiumOS-i riistvaraandmebaasi, mis sisaldab teavet automaatset puhkerežiimi toetavate PCI- ja USB-seadmete kohta.
  • Faili networkd.conf on lisatud säte ManageForeignRoutes. Kui see on lubatud, hakkab systemd-networkd haldama kõiki teiste utiliitide konfigureeritud marsruute.
  • Võrgufailidele on lisatud jaotis „[SR-IOV]”, mis võimaldab konfigureerida võrguseadmeid, mis toetavad SR-IOV-i (Single Root I/O Virtualization).
  • Süsteemis systemd-networkd on jaotisesse „[Network]” lisatud säte IPv4AcceptLocal, et võimaldada kohaliku lähteaadressiga saabuvate pakettide vastuvõtmist võrguliideses.
  • systemd-networkd on lisanud võimaluse konfigureerida HTB liikluse prioriseerimise distsipliini [HierarchyTokenBucket] ja
    [HierarchyTokenBucketClass], "pfifo" [PFIFO] kaudu, "GRED" [GenericRandomEarlyDetection] kaudu, "SFB" [StochasticFairBlue'i] kaudu, "kook"
    kaudu [CAKE], "PIE" kaudu [PIE], "DRR" kaudu [DeficitRoundRobinScheduler] ja
    [DeficitRoundRobinSchedulerClass], "BFIFO" [BFIFO] kaudu,
    "PFIFOHeadDrop" [PFIFOHeadDrop] kaudu, "PFIFOFast" [PFIFOFast] kaudu, "HHF"
    kaudu [HeavyHitterFilter], "ETS" kaudu [EnhancedTransmissionSelection],
    "QFQ" [QuickFairQueueing] ja [QuickFairQueueingClass] kaudu.

  • Süsteemis systemd-networkd on jaotisesse [DHCPv4] lisatud säte UseGateway, et keelata DHCP kaudu hangitud lüüsiteabe kasutamine.
  • Süsteemi systemd-networkd jaotistes [DHCPv4] ja [DHCPServer] on lisateabe hankija lisasuvandite installimiseks ja töötlemiseks lisatud säte SendVendorOption.
  • systemd-networkd rakendab jaotises [DHCPServer] uut EmitPOP3/POP3, EmitSMTP/SMTP ja EmitLPR/LPR valikute komplekti, et lisada teavet POP3, SMTP ja LPR serverite kohta.
  • Süsteemi systemd-networkd jaotises [Bridge] olevate .netdev-failide jaoks on kasutatava VLAN-protokolli valimiseks lisatud VLAN-protokolli säte.
  • Süsteemi systemd-networkd jaotises [Link] olevas võrgufailides rakendatakse linkide rühma haldamiseks sätet Rühm.
  • Musta nimekirja sätted on ümber nimetatud DenyListiks (säilitades tagasiühilduvuse huvides vana nimekäsitluse).
  • Systemd-networkd on lisanud suure osa IPv6 ja DHCPv6 sätetest.
  • Networkctl-ile on lisatud käsk "forcerenew", et sundida kõiki aadresside sidumisi värskendama (rentima).
  • Systemd-resolvedis sai DNS-i konfiguratsioonis võimalikuks DNS-over-TLS-i sertifikaadi kontrollimiseks määrata pordi numbri ja hostinime. DNS-over-TLS-i juurutus on lisanud SNI-kontrolli toe.
  • Systemd-resolvedil on nüüd võimalus konfigureerida ühe sildiga DNS-nimede ümbersuunamist (ühe sildiga, ühest hostinimest).
  • systemd-journald toetab zstd-algoritmi kasutamist ajakirjade suurte väljade tihendamiseks. Ajakirjades kasutatavate räsitabelite kokkupõrgete eest kaitsmiseks on tehtud tööd.
  • Logiteadete kuvamisel on ajakirja Journalctl lisatud klikitavad URL-id koos dokumentatsiooni linkidega.
  • Lisati faili journald.conf auditi säte, et kontrollida, kas auditeerimine on systemd-journaldi lähtestamise ajal lubatud.
  • Systemd-coredumpil on nüüd võimalus zstd-algoritmi abil tuumade väljavõtteid tihendada.
  • Süsteemi systemd-repart lisati UUID-säte, et määrata loodud partitsioonile UUID.
  • Systemd-homed teenus, mis pakub kaasaskantavate kodukataloogide haldamist, on lisanud võimaluse avada kodukataloogid FIDO2 žetoonide abil. LUKSi partitsiooni krüptimise taustaprogramm on lisanud toe tühjade failisüsteemiplokkide automaatseks tagastamiseks seansi lõppedes. Lisatud kaitse andmete topeltkrüptimise vastu, kui tehakse kindlaks, et süsteemi partitsioon /home on juba krüptitud.
  • Lisatud sätted failile /etc/crypttab: "keyfile-erase" võtme kustutamiseks pärast kasutamist ja "try-empty-password", et proovida avada partitsioon tühja parooliga enne kasutajalt parooli küsimist (kasulik krüptitud piltide installimisel parooliga, mis on määratud pärast esimest käivitamist, mitte installimise ajal).
  • systemd-cryptsetup lisab toe Microsoft BitLockeri partitsioonide avamiseks alglaadimise ajal, kasutades /etc/crypttab. Lisatud ka lugemisoskus
    võtmed partitsioonide automaatseks avamiseks failidest /etc/cryptsetup-keys.d/ .key ja /run/cryptsetup-keys.d/ .võti.

  • Lisatud systemd-xdg-autostart-generator, et luua .desktopi automaatkäivitusfailidest üksusfaile.
  • Lisatud "bootctl" käsule "reboot-to-firmware".
  • Süsteemi systemd-firstboot lisati valikud: "--image" alglaaditava kettapildi määramiseks, "--kernel-command-line" faili /etc/kernel/cmdline lähtestamiseks, "--root-password-hashed" määrake juurparooli räsi ja "--delete-root-password" juurparooli kustutamiseks.

Allikas: opennet.ru

Lisa kommentaar