ProHoster > Blogi > internetiuudised > systemd süsteemihalduri versioon 249

systemd süsteemihalduri versioon 249

Pärast kolmekuulist arendustööd esitletakse süsteemihalduri väljalaset systemd 249. Uus väljalase annab võimaluse defineerida kasutajaid/rühmi JSON-vormingus, stabiliseerib Journali protokolli, lihtsustab järjestikuste kettapartitsioonide laadimise korraldamist, lisab võimaluse linkida BPF-i programme teenustega ja juurutab ühendatud partitsioonides kasutajate identifikaatorite kaardistamise, pakutakse suurt osa uusi võrgusätteid ja konteinerite käivitamise võimalusi.

Peamised muudatused:

  • Journali protokoll on dokumenteeritud ja seda saab kasutada klientides logikirjete kohalikuks edastamiseks syslogi protokolli asemel. Journali protokolli on rakendatud pikka aega ja see on juba kasutusel mõnes kliendiraamatukogus, kuid selle ametlikust toest teatati alles äsja.
  • Userdb ja nss-systemd pakuvad tuge täiendavate kasutajamääratluste lugemiseks, mis asuvad kataloogides /etc/userdb/, /run/userdb/, /run/host/userdb/ ja /usr/lib/userdb/, mis on määratud JSON-vormingus. Tuleb märkida, et see funktsioon pakub täiendavat mehhanismi kasutajate loomiseks süsteemis, pakkudes sellele täielikku integratsiooni NSS-i ja /etc/shadow-ga. Kasutaja-/rühmakirjete JSON-i tugi võimaldab lisada ka erinevaid ressursside haldamise ja muid sätteid kasutajatele, mida pam_systemd ja systemd-login tuvastavad.
  • nss-systemd võimaldab sünteesida kasutaja/rühma kirjeid failis /etc/shadow, kasutades systemd-homedi räsitud paroole.
  • Rakendatud on mehhanism, mis lihtsustab värskenduste korraldamist, kasutades üksteist asendavaid kettasektsioone (üks partitsioon on aktiivne ja teine ​​varupartitsioon - värskendus kopeeritakse varupartitsioonile, misjärel see muutub aktiivseks). Kui kettapildil on kaks juur- või /usr partitsiooni ja udev ei tuvastanud parameetri 'root=' olemasolu või töötleb kettapilte, mis on määratud suvandi "--image" kaudu failides systemd-nspawn ja systemd -dissect utiliidid, saab alglaadimise partitsiooni arvutada GPT siltide võrdlemise teel (eeldusel, et GPT silt mainib partitsiooni sisu versiooninumbrit ja systemd valib partitsiooni, mille muudatused on hiljuti tehtud).
  • Teenindusfailidele on lisatud BPFProgrammi seadistus, millega saab korraldada BPF-programmide kernelisse laadimist ja hallata neid sidudes kindlate süsteemsete teenustega.
  • Systemd-fstab-generator ja systemd-repart lisavad võimaluse käivitada ketastelt, millel on ainult /usr partitsioon ja puudub juurpartitsioon (juurpartitsioon genereeritakse systemd-reparti abil esimese alglaadimise ajal).
  • Süsteemis systemd-nspawn on suvand "--private-user-chown" asendatud üldisema valikuga "--private-user-ownership", mis võib aktsepteerida "chown" väärtusi kui "--" private-user-chown", "off" vana seadistuse keelamiseks, "map" kasutajatunnuste kaardistamiseks ühendatud failisüsteemides ja "auto" "map" valimiseks, kui vajalik funktsioon on kernelis olemas (5.12+) või taganeda. rekursiivsele kutsele "chown" muidu. Kaardistamise abil saate ühendada ühe kasutaja failid ühendatud välispartitsioonil praeguse süsteemi teise kasutajaga, muutes failide jagamise erinevate kasutajate vahel lihtsamaks. Systemd-homed kaasaskantava kodukataloogi mehhanismis võimaldab kaardistamine kasutajatel teisaldada oma kodukataloogid välisele andmekandjale ja kasutada neid erinevates arvutites, millel ei ole sama kasutajatunnuse paigutust.
  • Süsteemis systemd-nspawn saab suvand "--private-user" nüüd kasutada väärtust "identity", et kasutajanimeruumi seadistamisel kasutaja ID-sid otseselt kajastada, st. UID 0 ja UID 1 konteineris kajastuvad UID 0 ja UID 1 hosti poolel, et vähendada ründe vektoreid (konteiner saab protsessivõimalusi ainult oma nimeruumis).
  • Süsteemi systemd-nspawn on lisatud valik "--bind-user", et edastada hostikeskkonnas olemasolev kasutajakonto konteinerisse (kodukataloog ühendatakse konteinerisse, lisatakse kasutaja/rühma kirje ja UID vastendus tehakse konteineri ja hostkeskkonna vahel).
  • systemd-ask-password ja systemd-sysusers on lisanud toe seatud paroolide (passwd.hashed-password. ja passwd.plaintext-password.) taotlemiseks, kasutades süsteemis 247 kasutusele võetud mehhanismi tundlike andmete turvaliseks edastamiseks kasutades vahefailid eraldi kataloogis. Vaikimisi võetakse mandaadid protsessist vastu PID1-ga, mis võtab need vastu näiteks konteinerihalduse haldurilt, mis võimaldab seadistada kasutaja parooli esimesel käivitamisel.
  • systemd-firstboot lisab tuge tundlike andmete turvalise edastamise mehhanismi kasutamiseks erinevate süsteemiparameetrite päringute tegemiseks, mida saab kasutada süsteemiseadete lähtestamiseks konteineri kujutise esmakäivitamisel, millel pole kataloogis /etc vajalikke sätteid.
  • PID 1 protsess tagab, et alglaadimise ajal kuvatakse nii üksuse nimi kui ka kirjeldus. Väljundit saate muuta failis system.conf parameetri „StatusUnitFormat=combined” või kerneli käsurea valiku „systemd.status-unit-format=combined” kaudu.
  • Suvand "--image" on lisatud utiliitidele systemd-machine-id-setup ja systemd-repart masina ID-ga faili ülekandmiseks kettapildile või kettapildi suuruse suurendamiseks.
  • Utiliidi systemd-repart kasutatavasse partitsiooni konfiguratsioonifaili on lisatud MakeDirectories parameeter, mida saab kasutada loodud failisüsteemis suvaliste kataloogide loomiseks enne partitsioonitabelis kajastamist (näiteks kataloogide loomiseks ühenduspunktide jaoks juurpartitsioon, et saaksite partitsiooni kohe kirjutuskaitstud režiimis ühendada). GPT lippude juhtimiseks loodud sektsioonides on lisatud vastavad parameetrid Flags, ReadOnly ja NoAuto. Parameetri CopyBlocks väärtus on "auto", et valida plokkide kopeerimisel allikaks automaatselt praegune alglaadimissektsioon (näiteks kui peate oma juurpartitsiooni uude meediumisse üle kandma).
  • GPT rakendab lipu "kasva-failisüsteem", mis sarnaneb x-systemd.growfs'i paigaldusvalikuga ja pakub FS-i suuruse automaatset laiendamist plokiseadme piiridesse, kui FS-i suurus on partitsioonist väiksem. Lipp on rakendatav Ext3, XFS ja Btrfs failisüsteemidele ning seda saab rakendada automaatselt tuvastatud partitsioonidele. Lipp on vaikimisi lubatud süsteemid-reparti kaudu automaatselt loodud kirjutatavate partitsioonide jaoks. Suvand GrowFileSystem on lisatud lipu konfigureerimiseks süsteemis systemd-repart.
  • Fail /etc/os-release toetab uusi muutujaid IMAGE_VERSION ja IMAGE_ID, et määrata atomaarselt värskendatud piltide versioon ja ID. %M ja %A spetsifikaatorid on mõeldud selleks, et asendada määratud väärtused erinevate käskudega.
  • Portablectl utiliidile on lisatud parameeter “--extension”, et aktiveerida kaasaskantavaid süsteemilaienduse kujutisi (näiteks saate nende kaudu levitada pilte koos juurpartitsiooni integreeritud lisateenustega).
  • Utiliit systemd-coredump pakub protsessi põhiväljavõtte loomisel ELF-i build-id teabe ekstraheerimist, mis võib olla kasulik määramaks, millisesse paketti ebaõnnestunud protsess kuulub, kui koostati teave deb- või rpm-pakettide nime ja versiooni kohta. ELF-i failidesse.
  • Udevile on lisatud uus riistvarabaas FireWire (IEEE 1394) seadmetele.
  • Udevis on võrguliidese nimevaliku skeemi "net_id" lisatud kolm muudatust, mis rikuvad tagasiühilduvust: liidese nimede valed märgid on nüüd asendatud tähega "_"; S390 süsteemide PCI hotplug-pesade nimesid töödeldakse kuueteistkümnendsüsteemis; Lubatud on kasutada kuni 65535 sisseehitatud PCI-seadet (varem olid üle 16383 numbrid blokeeritud).
  • systemd-resolved lisab domeeni "home.arpa" NTA (negatiivsete usaldusankrute) loendisse, mida soovitatakse kohalikele koduvõrkudele, kuid mida DNSSEC-is ei kasutata.
  • Parameeter CPUAffinity võimaldab parsida spetsifikaatoreid „%”.
  • Võrgufailidele on lisatud parameeter ManageForeignRoutingPolicyRules, mille abil saab systemd-networkd välistada kolmanda osapoole marsruutimise poliitikate töötlemise.
  • Failidele „.network” on lisatud parameeter RequiredFamilyForOnline, et teha kindlaks IPv4- või IPv6-aadressi olemasolu märgina, et võrguliides on võrgus. Networkctl kuvab iga lingi võrguoleku.
  • Võrgufailidele on lisatud parameeter OutgoingInterface, et määrata võrgusildade seadistamisel väljaminevad liidesed.
  • Failidele „.network” on lisatud rühma parameeter, mis võimaldab konfigureerida jaotise „[NextHop]” kirjete jaoks mitmeteerühma.
  • Lisati suvandid "-4" ja "-6" suvanditele systemd-network-wait-online, et piirata ühenduse ootamist ainult IPv4 või IPv6-ga.
  • DHCP serveri sätetesse on lisatud parameeter RelayTarget, mis lülitab serveri DHCP Ralay režiimi. DHCP-relee täiendavaks konfigureerimiseks pakutakse valikuid RelayAgentCircuitId ja RelayAgentRemoteId.
  • DHCP-serverisse on lisatud parameeter ServerAddress, mis võimaldab serveri IP-aadressi selgesõnaliselt määrata (muidu valitakse aadress automaatselt).
  • DHCP-server rakendab jaotist [DHCPServerStaticLease], mis võimaldab konfigureerida staatilisi aadresside sidumisi (DHCP-liisingud), määrates fikseeritud IP-seosed MAC-aadressidele ja vastupidi.
  • Säte RestrictAddressFamilies toetab väärtust "none", mis tähendab, et teenusel ei ole juurdepääsu ühegi aadressiperekonna pesadele.
  • Jaotistes [Address], [DHCPv6PrefixDelegation] ja [IPv6Prefix] olevates failides „.network” on juurutatud sätte RouteMetric tugi, mis võimaldab määrata määratud aadressi jaoks loodud marsruudi prefiksi mõõdiku.
  • nss-myhostname ja systemd-resolved pakuvad DNS-kirjete koos aadressidega sünteesi spetsiaalse nimega “_outbound” hostidele, mille jaoks väljastatakse alati kohalik IP, mis valitakse vastavalt väljaminevate ühenduste jaoks kasutatavatele vaikemarsruutidele.
  • Võrgufailide jaotisesse „[DHCPv4]” on lisatud vaikesäte aktiivne RoutesToNTP, mis nõuab eraldi marsruudi lisamist praeguse võrguliidese kaudu, et pääseda juurde selle liidese jaoks DHCP-ga (sarnaselt DNS-iga) saadud NTP-serveri aadressile , võimaldab seade garanteerida, et liiklus NTP-serverile suunatakse läbi liidese, mille kaudu see aadress vastu võeti).
  • Lisatud SocketBindAllow ja SocketBindDeny sätted, et juhtida juurdepääsu praeguse teenusega seotud pistikupesadele.
  • Ühikufailide jaoks on rakendatud tingimussäte nimega ConditionFirmware, mis võimaldab luua kontrolle, mis hindavad püsivara funktsioone, näiteks tööd UEFI ja device.tree süsteemides, samuti kontrollida ühilduvust teatud seadme-puu võimalustega.
  • Rakendas suvandi ConditionOSRelease väljade kontrollimiseks failis /etc/os-release. Välja väärtuste kontrollimise tingimuste määratlemisel on aktsepteeritavad operaatorid “=”, “!=”, “=”, “>”.
  • Hostnamecli utiliidis vabastatakse sellised käsud nagu "get-xyz" ja "set-xyz" eesliidetest "get" ja "set", näiteks "hostnamectl get-hostname" ja "hostnamectl "set-hostname" asemel. võite kasutada käsku "hostnamectl hostname" ”, mille väärtuse määramine määratakse täiendava argumendi määramisega ("hostnamectl hostname väärtus"). Ühilduvuse tagamiseks on säilinud vanemate käskude tugi.
  • Utiliit systemd-detect-virt ja seadistus ConditionVirtualization tagavad Amazon EC2 keskkondade õige tuvastamise.
  • Ühikufailide säte LogLevelMax ei kehti nüüd mitte ainult teenuse poolt loodud logisõnumitele, vaid ka PID 1 protsessisõnumitele, mis teenust mainivad.
  • Võimalus lisada Systemd-boot EFI PE-failidesse SBAT (UEFI Secure Boot Advanced Targeting) andmeid.
  • / jne (ei näita midagi, kuva tähemärgi haaval ja kuva tärnid). Suvand "--echo" on lisatud systemd-ask-passwordile sarnastel eesmärkidel.
  • Systemd-cryptenroll, systemd-cryptenroll ja systemd-homed on laiendanud tuge krüptitud LUKS2 partitsioonide avamiseks FIDO2 žetoonide abil. Lisatud uued valikud "--fido2-with-user-presence", "--fido2-with-user-verification" ja "-fido2-with-client-pin", et juhtida kasutaja füüsilise kohaloleku kontrollimist, kinnitamist ja sisestamise vajadust PIN-koodi.
  • Suvanditele systemd-journal-gatewayd on lisatud suvandid "--user", "--system", "--merge" ja "--file", sarnaselt journalctl-i suvanditega.
  • Lisaks parameetrite OnFailure ja Slice kaudu määratud üksuste vahelistele otsestele sõltuvustele on lisatud kaudsete pöördsõltuvuste OnFailureOf ja SliceOf tugi, mis võib olla kasulik näiteks kõigi slice'is sisalduvate ühikute määramisel.
  • Lisatud uut tüüpi sõltuvused üksuste vahel: OnSuccess ja OnSuccessOf (OnFailure'i vastand, kutsutakse välja edukal lõpetamisel); PropagatesStopTo ja StopPropagatedFrom (võimaldab levitada üksuse stoppsündmust teisele üksusele); Upholds ja UpheldBy (alternatiiv Restart).
  • Utiliidil systemd-ask-password on nüüd suvand "--emoji", et juhtida tabaluku sümboli (🔐) ilmumist parooli sisestusreal.
  • Lisatud dokumentatsioon systemd lähtepuu struktuuri kohta.
  • Ühikute jaoks on lisatud atribuut MemoryAvailable, mis näitab, kui palju mälu on seadmel jäänud enne parameetrite MemoryMax, MemoryHigh või MemoryAvailable kaudu seatud limiidi saavutamist.

Allikas: opennet.ru

Lisa kommentaar