Systemd 248 süsteemi halduri väljaanne

Pärast nelja kuu arendust on välja antud süsteemi halduri systemd 248 versioon. Uues väljaandes on tagatud toetamine süsteemikaustade laiendamiseks mõeldud piltide, конфигураtsioonifaili /etc/veritytab, utiliidi systemd-cryptenroll, LUKS2 lukustuse avamise kaudu TPM2 kiipide ja FIDO2 tokenitega, üksuste käitamine isoleeritud IPC identifikaatorite ruumis, B.A.T.M.A.N. protokoll mesh-võrkude jaoks, nftables taust systemd-nspawn jaoks. Stabiliseeritud on systemd-oomd.

Peamised muudatused:

  • Uuendatud on süsteemi laienduse (System Extension) kontseptsioon, mida saab kasutada kaustahierarhia /usr/ ja /opt/ laiendamiseks ning täiendavate failide lisamiseks töötamise ajal, isegi kui nimetatud kaustad on monteeritud ainult lugemisrežiimis. Kui ühendate süsteemi laienduse pildi, siis selle sisu asetatakse kaustahierarhiale /usr/ ja /opt/ OverlayFS abil.

    Uute süsteemsete laienduste piltide ühendamiseks, lahtiühendamiseks, vaatamiseks ja värskendamiseks on pakutud uus tööriist systemd-sysext. Jube ühendatud piltide automaatseks laadimiseks käivitamisel on lisatud teenus systemd-sysext.service. Faili os-release on lisatud parameeter "SYSEXT_LEVEL=", et määrata süsteemi toetatavate laienduste tase.

  • Unit'ide jaoks on rakendatud seadistamine ExtensionImages, mida saab kasutada süsteemi laienduse piltide sidumiseks isoleeritud teenuste FS nimede hierarhiaga.
  • Lisatud konfiguratsioonifail /etc/veritytab, et seadistada andmete kontrollimist plokk-tasandil dm-verity mooduli abil. Faili formaat on sarnane /etc/crypttab'iga - "jaotuse_nimi andmete_seade häshehõimede_seade juure_häkkimise kontrollimiseks options". dm-verity käitumise seadistamiseks juure seadmest on lisatud kernel'i käsurea parameeter systemd.verity.root_options.
  • Systemd-cryptsetup on lisatud võimalus ekstraktida PKCS#11 URI token ja LUKS2 metaanoteerimise tervikliku võtme versioon JSON formaadis, mis võimaldab krüpteeritud seadme avamise detailide integreerimist seadmesse ilma välistest failidest toetamata.
  • Systemd-cryptsetup pakub tuge LUKS2 krüpteeritud osade avamiseks TPM2 kiipide ja FIDO2 tokenite abil, lisaks varasemalt toetatud PKCS#11 tokenitele. Libfido2 laaditakse sisse läbi dlopen(), st olemasolu kontrollitakse jooksvalt, mitte kohustuslikuks sõltuvuseks.
  • Systemd-cryptsetup'i jaoks on /etc/crypttab lisatud uued valikud 'no-write-workqueue' ja 'no-read-workqueue', et aktiveerida sünkroonset sisendi ja väljundi töötlemist, mis on seotud krüpteerimise ja dekrüpteerimisega.
  • Systemd-repart utiliidile on lisatud võimalus aktiveerida krüpteeritud osi TPM2 kiipide abil, näiteks krüpteeritud partitsiooni /var loomiseks esimesel käivitamisel.
  • Lisatud on utiliit systemd-cryptenroll, et siduda TPM2, FIDO2 ja PKCS#11 tokenid LUKS partitsioonidega, samuti nende vabastamine ja vaatamine, varuvõtmete sidumine ja juurdepääsuks parooli määramine.
  • Lisatud PrivateIPC parameeter, mis võimaldab unit-failis seadistada protsesside käivitamist isoleeritud IPC ruumis oma eraldi identifikaatorite ja sõnumijärjekorraga. Ühendamiseks juba loodud identifikaatorite IPC ruumiga on pakkuda valik IPCNamespacePath.
  • Lisatud seadistused ExecPaths ja NoExecPaths, mis võimaldavad rakendada noexec lippu eraldi failisüsteemi osadele.
  • systemd-networkd-sse on lisatud mesh-protokolli B.A.T.M.A.N. toe ('Better Approach To Mobile Adhoc Networking'), mis võimaldab luua detsentraliseeritud võrgusid, kus iga sõlm on seotud naaber sõlmedega. Seadistamiseks on pakutud sektsioon [BatmanAdvanced] .netdev failis, parameeter BatmanAdvanced .network failides ja uus seadme tüüp 'batadv'.
  • Stabiilitud on süsteemi systemd-oomd mälupuuduse varajase reageerimise mehhanismi teostamine. Lisatud on suvand DefaultMemoryPressureDurationSec, et seadistada ressursside vabastamise ooteaega enne mõjutamist. Systemd-oomd kasutab tuuma alam-süsteemi PSI (Pressure Stall Information) ning võimaldab tuvastada ressursipuudusest tingitud viivituste algust ning valikuliselt lõpetada ressursimahukaid protsesse, kui süsteem ei ole veel kriitilises seisundis ega alusta intensiivset vahemälu kärpimist ja andmete pagasisse tõukamist.
  • Lisatud on tuuma käsurea parameeter — "root=tmpfs", mis võimaldab mountida juurpartitsiooni ajutises salvestusruumis, mis asub mälus, kasutades Tmpfs.
  • Failiõigus, mis määratleb võtme faili /etc/crypttab, võib nüüd viidata AF_UNIX ja SOCK_STREAM tüüpi soketitele. Sel juhul peab võtme edastama soketiga ühendamisel, mis võib näiteks olla kasulik teenuste loomisel, mis dünaamiliselt edastavad võtmeid.
  • Varura HOSTNAME (fallback) süsteemihalduri ja systemd-hostnamed'i kasutamiseks võib nüüd määrata kahel viisil: läbi DEFAULT_HOSTNAME parameetri os-release'is ja keskkonnamuutuja $SYSTEMD_DEFAULT_HOSTNAME kaudu. Systemd-hostnamed'is on nüüd ka toetatud «localhost» täpsustamine hostinimes ning lisatud on võimalus eksportida hostinimi ning omadused «HardwareVendor» ja «HardwareModel» DBusi kaudu.
  • Keskkonnamuutujate plokk on nüüd seadistatav uue valiku ManagerEnvironment kaudu system.conf või user.conf failis, mitte ainult tuuma käskude ja unit-failide seadete kaudu.
  • Kompileerimise etapis on antud võimalus kasutada süsteemikõne fexecve() käivitamiseks execve() asemel, et vähendada viivitust turvakonteksti kontrollimise ja selle rakendamise vahel.
  • Unit-failidele on lisatud uued tingimuslikud toimingud ConditionSecurity=tpm2 ja ConditionCPUFeature, et kontrollida TPM2 seadmete olemasolu ja teatud CPU võimeid (näiteks võib ConditionCPUFeature=rdrand kasutada protsessori RDRAND operatsiooni toetuse kontrollimiseks).
  • Saadaval olevate tuumade jaoks on rakendatud automaatne süsteemikõnede tabelite genereerimine seccomp'i filtrite jaoks.
  • Lisatud võimalus paigaldada uusi sidumisi (bind mounts) olemasolevatesse paigaldusruumidesse (mount namespace) teenustes ilma teenuste taaskäivitamiseta. Paigaldamine toimub käskudega 'systemctl bind …' ja 'systemctl mount-image …'.
  • Seadetesse StandardOutput ja StandardError on lisatud toe andmine teede määramiseks vormis 'truncate:' enne kasutamist.
  • sd-bus-s on lisatud võimalus luua ühendus määratletud kasutaja sessiooniga lokaalses konteineris. Näiteks 'systemctl --user -M lennart@ start quux'.
  • systemd.link failides on sektsioonis [Link] rakendatud parameetrid:
    • Promiscuous — võimaldab seadme viia 'promiscuous' režiimi, et töödelda kõiki võrgupakette, sealhulgas neid, mis ei ole suunatud käesolevale süsteemile;
    • TransmitQueues ja ReceiveQueues TX ja RX järjekordade arvu seadistamiseks;
    • TransmitQueueLength TX järjekorra suuruse seadistamiseks; GenericSegmentOffloadMaxBytes ja GenericSegmentOffloadMaxSegment GRO (Generic Receive Offload) tehnoloogia kohaldamise piiride määramiseks.
  • systemd.network failidesse on lisatud uusi seadeid:
    • [Network] RouteTable marsruuditabeli valimiseks;
    • [RoutingPolicyRule] Type marsruudistamise tüübi jaoks ('blackhole', 'unreachable', 'prohibit');
    • [IPv6AcceptRA] RouteDenyList ja RouteAllowList lubatud ja keelatud marsruutide kuulutuste loendite jaoks;
    • [DHCPv6] UseAddres DHCP aadressi väljajätmiseks;
    • [DHCPv6PrefixDelegation] ManageTemporaryAddress;
    • ActivationPolicy liidese aktiivsuse poliitika määratlemiseks (püsivalt UP või DOWN olekus või lubada kasutajal muuta olekuid käsuga «ip link set dev»).
  • systemd.netdev failidesse on lisatud valikud [VLAN] Protocol, IngressQOSMaps, EgressQOSMaps ja [MACVLAN] BroadcastMulticastQueueLength VLAN-pakettide töötlemise seadistamiseks.
  • Katalooge /dev/ noexec režiimis ei monteerita enam, kuna see põhjustab konflikte exec-flag'i kasutamisel failidega /dev/sgx. Vana käitumise tagasiviimiseks võib kasutada seadistust NoExecPaths=/dev.
  • Faili /dev/vsock juurdepääsu õigused muudetud 0o666, ja failid /dev/vhost-vsock ja /dev/vhost-net on kantud rühma. kvm.
  • Riistvara identifikaatorite baasi on laiendatud USB-seadmetega, et lugeda sõrmejälgi, mis toetavad korralikult häälestust unerežiimi.
  • systemd-resolved on lisatud tugi DNSSEC-päringute vastuste andmiseks stub-ressursside kaudu. Kohalikud kliendid saavad ise DNSSEC-i valideerida, samas kui välised päringud suunatakse muutumatul kujul vanem DNS-serverisse.
  • resolved.conf-failisse on lisatud valik CacheFromLocalhost, mille aktiveerimisel kasutab systemd-resolved vahemälu isegi 127.0.0.1 aadressi DNS-serveri päringute puhul (vahemällu salvestamine on vaikimisi selliste päringute jaoks keelatud, et vältida kahekordset vahemälu).
  • systemd-resolved on lisatud RFC-5001 NSID tugi kohalikus DNS-ressursis, mis võimaldab klientidel eristada kohaliku ressursiga suhtlemist ja teisi. serveriga DNS.
  • resolvectl utiliidis on rakendatud võimalus kuvada teavet andmete päringu allika kohta (kohalik vahemälu, võrgu päring, kohandatud vastus) ja andmete edastamise ajal krüpteerimise rakendamine. Nime määramise protsessi haldamiseks on pakutud valikuid —cache, —synthesize, —network, —zone, —trust-anchor ja —validate.
  • systemd-nspawnis on lisatud võimekus seadistada tulemüür nftablesi abil, lisaks olemasolevale toele iptablesile. systemd-networkdi IPMasquerade seadistusse on lisatud võimalus kasutada nftablesi põhjalikku tagakülge.
  • systemd-localedis on lisatud toetus locale-gen'i kutsub välja puuduolevate lokaalide genereerimiseks.
  • Erinevates utiliitides on lisatud valikud —pager/—no-pager/—json= leheküljerežiimi lubamiseks/keelamiseks ning väljund JSON formaadis. Lisatud on võimalus määrata terminalis kasutatavate värvide arvu keskkonnaparameetriga SYSTEMD_COLORS ("16" või "256").
  • Ebakohasena on välja kuulutatud eraldi kataloogihierarhiate (jaotamine / ja /usr) koostamine ja cgroup v1 toetus.
  • Git'i peamine haru on ümber nimetatud 'master' -st 'main' -iks.

Allikas: opennet.ru

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster