ProHoster > Blogi > internetiuudised > systemd süsteemihalduri versioon 248

systemd süsteemihalduri versioon 248

Pärast neljakuulist arendustööd esitletakse süsteemihalduri systemd 248 väljalaset. Uus versioon pakub tuge süsteemikataloogide laiendamiseks, konfiguratsioonifaili /etc/veritytab, utiliit systemd-cryptenroll, LUKS2 avamine TPM2 kiipide ja FIDO2 abil. märgid, töötavad üksused isoleeritud IPC identifikaatori ruumis, BATMAN-protokoll võrguvõrkude jaoks, nftables-taustaprogramm systemd-nspawn jaoks. Systemd-oomd on stabiliseeritud.

Peamised muudatused:

  • Rakendatud on System Extension kujutiste kontseptsioon, mida saab kasutada kataloogide /usr/ ja /opt/ hierarhia laiendamiseks ning lisafailide lisamiseks käitusajal, isegi kui määratud kataloogid on ühendatud kirjutuskaitstud kujul. Kui süsteemilaienduse kujutis on ühendatud, kaetakse selle sisu OverlayFS-i abil hierarhiale /usr/ ja /opt/.

    Süsteemilaiendite piltide ühendamiseks, lahtiühendamiseks, kuvamiseks ja värskendamiseks on pakutud välja uus utiliit systemd-sysext. Juba installitud piltide automaatseks ühendamiseks alglaadimise ajal on lisatud teenus systemd-sysext.service. Toetatud süsteemilaiendite taseme määramiseks lisati OS-release faili parameeter "SYSEXT_LEVEL=".

  • Üksuste jaoks on rakendatud säte ExtensionImages, mida saab kasutada süsteemilaiendite kujutiste linkimiseks üksikute isoleeritud teenuste FS-i nimeruumi hierarhiaga.
  • Lisatud konfiguratsioonifail /etc/veritytab, et konfigureerida andmete kontrollimist ploki tasemel, kasutades moodulit dm-verity. Failivorming on sarnane /etc/crypttab - "sektsiooni_nimi seadme_andmete seadme_hashes check_hash_root options." Juurseadme dm-verity käitumise konfigureerimiseks on lisatud kerneli käsurea suvand systemd.verity.root_options.
  • systemd-cryptsetup lisab võimaluse ekstraheerida PKCS#11 märgi URI ja krüptitud võti LUKS2 metaandmete päisest JSON-vormingus, võimaldades krüptitud seadme avamise teabe integreerimist seadmesse endasse ilma väliseid faile kaasamata.
  • systemd-cryptsetup pakub lisaks varem toetatud PKCS#2 žetoonidele tuge ka LUKS2 krüptitud partitsioonide avamiseks, kasutades TPM2 kiipe ja FIDO11 märke. Libfido2 laadimine toimub dlopen() kaudu, st. saadavust kontrollitakse käigu pealt, mitte sidusalt sõltuvusena.
  • Uued valikud "no-write-workqueue" ja "no-read-workqueue" on lisatud systemd-cryptsetup jaoks /etc/crypttab, et võimaldada krüptimise ja dekrüpteerimisega seotud I/O sünkroonset töötlemist.
  • Utiliit systemd-repart on lisanud võimaluse aktiveerida krüptitud partitsioone TPM2 kiipide abil, et luua näiteks krüptitud /var partitsioon esimesel alglaadimisel.
  • Systemd-cryptenrolli utiliit on lisatud TPM2, FIDO2 ja PKCS#11 žetoonide sidumiseks LUKS-i partitsioonidega, samuti žetoonide vabastamiseks ja vaatamiseks, varuvõtmete sidumiseks ja juurdepääsuks parooli määramiseks.
  • Lisatud on parameeter PrivateIPC, mis võimaldab seadistada üksuse faili nii, et need käitavad protsesse isoleeritud IPC-ruumis oma eraldi identifikaatorite ja sõnumijärjekorraga. Seadme ühendamiseks juba loodud IPC identifikaatori ruumiga on pakutud valik IPCNamespacePath.
  • Lisatud ExecPaths ja NoExecPaths sätted, et võimaldada noexeci lipu rakendamist failisüsteemi teatud osadele.
  • systemd-networkd lisab tugi BATMAN (Better Approach To Mobile Adhoc Networking) võrguprotokollile, mis võimaldab luua detsentraliseeritud võrke, milles iga sõlm on ühendatud naabersõlmede kaudu. Konfigureerimiseks pakutakse välja jaotis [BatmanAdvanced] võrgufailides, BatmanAdvanced parameeter võrgufailides ja uus seadmetüüp “batadv”.
  • Varajase reageerimise mehhanismi rakendamine vähese mälu korral süsteemis systemd-oomd on stabiliseeritud. Lisati suvand DefaultMemoryPressureDurationSec, et konfigureerida ooteaeg ressursi vabastamiseks enne üksuse mõjutamist. Systemd-oomd kasutab PSI (Pressure Stall Information) tuuma alamsüsteemi ja võimaldab tuvastada ressursside puudumisest tingitud viivituste tekkimist ja valikuliselt lõpetada ressursimahukad protsessid etapis, mil süsteem ei ole veel kriitilises olekus ega tee seda. hakata intensiivselt kärpima vahemälu ja nihutama andmeid vahetussektsiooni.
  • Lisatud kerneli käsurea parameeter “root=tmpfs”, mis võimaldab ühendada juurpartitsiooni RAM-is asuvasse ajutisesse salvestusruumi Tmpfsi abil.
  • Võtmefaili määrav parameeter /etc/crypttab võib nüüd osutada soklitüüpidele AF_UNIX ja SOCK_STREAM. Sellisel juhul tuleb pistikupesaga ühenduse loomisel anda võti, mille abil saab näiteks luua teenuseid, mis dünaamiliselt võtmeid väljastavad.
  • Süsteemihalduri ja systemd-hostnamed kasutatava varuhostinime saab nüüd määrata kahel viisil: OS-release parameetri DEFAULT_HOSTNAME ja keskkonnamuutuja $SYSTEMD_DEFAULT_HOSTNAME kaudu. systemd-hostnamed käsitleb ka hostinimes "localhost" ja lisab võimaluse eksportida hostinimi ning atribuudid "HardwareVendor" ja "HardwareModel" DBusi kaudu.
  • Avatud keskkonnamuutujatega plokki saab nüüd konfigureerida failis system.conf või user.conf uue suvandi ManagerEnvironment kaudu, mitte ainult kerneli käsurea ja üksuse failisätete kaudu.
  • Kompileerimise ajal on võimalik protsesside käivitamiseks execve() asemel kasutada süsteemikutset fexecve(), et vähendada viivitust turbekonteksti kontrollimise ja rakendamise vahel.
  • Ühikufailide jaoks on lisatud uued tingimustoimingud ConditionSecurity=tpm2 ja ConditionCPUFeature, et kontrollida TPM2 seadmete olemasolu ja üksikute CPU võimekust (näiteks saab ConditionCPUFeature=rdrand abil kontrollida, kas protsessor toetab RDRANDi operatsiooni).
  • Saadaolevate tuumade jaoks on rakendatud seccomp-filtrite jaoks süsteemikutsete tabelite automaatne genereerimine.
  • Lisati võimalus asendada uued sidumisühendused teenuste olemasolevatesse ühendamise nimeruumidesse ilma teenuseid taaskäivitamata. Asendamine toimub käskudega 'systemctl bind ..." ja "systemctl mount-image …”.
  • Lisatud tugi teede määramiseks StandardOutput ja StandardError sätetes kujul "kärbi: » puhastamiseks enne kasutamist.
  • Lisati võimalus luua ühendus määratud kasutaja seansiga kohalikus konteineris sd-busile. Näiteks "systemctl -user -M lennart@ start quux".
  • Jaotises [Link] olevates systemd.link-failides on rakendatud järgmised parameetrid:
    • Promiscuous - võimaldab lülitada seadme "promiscuous" režiimi, et töödelda kõiki võrgupakette, sealhulgas neid, mis pole praegusele süsteemile adresseeritud;
    • TransmitQueues ja ReceiveQueues TX ja RX järjekordade arvu määramiseks;
    • TransmitQueueLength TX järjekorra suuruse määramiseks; GenericSegmentOffloadMaxBytes ja GenericSegmentOffloadMaxSegment GRO (Generic Receive Offload) tehnoloogia kasutamise piirangute seadmiseks.
  • Systemd.network failidele on lisatud uued sätted:
    • [Network] RouteTable marsruutimistabeli valimiseks;
    • [RoutingPolicyRule] Tüüp marsruutimise tüübi jaoks ("must auk, "unraachable", "prohibit");
    • [IPv6AcceptRA] RouteDenyList ja RouteAllowList lubatud ja keelatud marsruudireklaamide loendite jaoks;
    • [DHCPv6] Kasutage aadressi DHCP väljastatud aadressi ignoreerimiseks;
    • [DHCPv6PrefixDelegation] ManageTemporaryAddress;
    • ActivationPolicy liidese aktiivsuse poliitika määratlemiseks (säilitage alati UP või DOWN olek või lubage kasutajal olekuid muuta käsuga „ip link set dev”).
  • Systemd.netdev-failidele on lisatud VLAN-i paketttöötluse konfigureerimiseks [VLAN] protokoll, IngressQOSMaps, EgressQOSMaps ja [MACVLAN] BroadcastMulticastQueueLength suvandid.
  • Peatati kataloogi /dev/ ühendamine noexec-režiimis, kuna see põhjustab käivitatava lipu kasutamisel /dev/sgx-failidega konflikti. Vana käitumise tagastamiseks võite kasutada sätet NoExecPaths=/dev.
  • Faili /dev/vsock õigused on muudetud väärtusele 0o666 ning failid /dev/vhost-vsock ja /dev/vhost-net on viidud gruppi kvm.
  • Riistvara ID andmebaasi on täiendatud USB-sõrmejäljelugejatega, mis toetavad õigesti unerežiimi.
  • systemd-resolved lisatud tugi DNSSEC-päringutele vastuste väljastamiseks tünnilahuti kaudu. Kohalikud kliendid saavad ise DNSSEC-i valideerida, välised kliendid aga puhverserverit muutmata DNS-i emaserverisse.
  • Lahendusele on lisatud suvand CacheFromLocalhost, kui see on määratud, kasutab systemd-resolved vahemällu isegi DNS-serveri kõnede puhul 127.0.0.1 (vaikimisi on selliste päringute vahemällu salvestamine keelatud, et vältida topeltvahemällu salvestamist).
  • systemd-resolved lisab RFC-5001 NSID-de toe kohalikus DNS-i lahendajas, võimaldades klientidel eristada interaktsioone kohaliku lahendaja ja teise DNS-serveriga.
  • Utiliit Solutionctl rakendab võimalust kuvada teavet andmete allika (kohalik vahemälu, võrgupäring, kohaliku protsessori vastus) ja krüptimise kasutamise kohta andmete edastamisel. Nime määramise protsessi juhtimiseks on valikud --cache, --synthesize, --network, --zone, --trust-anchor ja --validate.
  • systemd-nspawn lisab lisaks olemasolevale iptablesi toele tuge tulemüüri konfigureerimiseks nftablesi abil. IPmasquerade'i seadistus süsteemis systemd-networkd on lisanud võimaluse kasutada nftables-põhist taustaprogrammi.
  • systemd-localed lisas tuge puuduvate lokaatide genereerimiseks locale-gen kutsumiseks.
  • Erinevatele utiliitidele on lisatud suvandid --pager/-no-pager/-json=, et lubada/keelata saalemisrežiim ja väljund JSON-vormingus. Lisatud on võimalus määrata terminalis kasutatavate värvide arv keskkonnamuutuja SYSTEMD_COLORS kaudu (“16” või “256”).
  • Eraldi kataloogihierarhiate (split / ja /usr) ja cgroup v1 toega ehitamine on aegunud.
  • Giti põhiharu on ümber nimetatud põhiharust põhiharuks.

Allikas: opennet.ru

Lisa kommentaar