ProHoster > Blogi > internetiuudised > systemd süsteemihalduri versioon 257

systemd süsteemihalduri versioon 257

Pärast kuuekuulist arendust esitleti süsteemihalduri systemd 257 väljalaset. Peamised muudatused: uued utiliidid systemd-sbsign ja systemd-keyutil, MPTCP tugi, kui see aktiveeritakse pistikupesa kaudu, esialgne tugi Musl C raamatukoguga ehitamiseks. updatectl utiliit uuenduste installimise haldamiseks systemd-sysupdate kaudu, võimalus käivitada teenuseid eraldi PID-nimeruumides, kaitse failide juhusliku kustutamise eest, kui kasutate "systemd-tmpfiles —purge".

Uue versiooni muudatuste hulgas:

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux ja initrd süsteemikeskkond laaditakse mällu.
  • Lisatud on uus utiliit systemd-keyutil, mis rakendab erinevaid toiminguid privaatvõtmete ja X.509 sertifikaatidega. Näiteks saab systemd-keyutili abil testida privaatvõtmete ja sertifikaatide laadimise võimalust ning nendest avalikke võtmeid PEM-vormingus eraldada.
  • Sokli aktiveerimismehhanismi toimimise tagamiseks (protsesside käivitamine võrguühenduse loomisel) kasutatavates ".socket" üksustes on rakendatud MPTCP (Multipath TCP) tugi, mis on TCP protokolli laiendus TCP-ühenduse toimimise korraldamiseks pakettide samaaegse edastamisega mitmel marsruudil erinevate võrguliideste kaudu, mis on seotud erinevatega. IP-aadressid.
  • Sisaldab muudatusi, mis on vajalikud standardse Musl C teegi abil ehitamiseks.
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • Laiendatud on komponendi systemd-sysupdate võimalusi, mida kasutatakse värskenduste automaatseks tuvastamiseks, allalaadimiseks ja installimiseks, kasutades aatommehhanismi partitsioonide, failide või kataloogide asendamiseks (kasutatakse kahte sõltumatut partitsiooni/faili/kataloogi, millest üks sisaldab praegust tööd ressurss ja teine ​​installib järgmise) värskenduse, mille järel jaotised/failid/kataloogid vahetatakse). Praktikas on systemd-sysupdate juba kasutusel GNOME OS-is.

    Lisaks protsessile systemd-sysupdate on lisatud samanimeline teenus, mis võimaldab D-Busi kasutada süsteemivärskenduste haldamiseks privilegeerimata kasutaja poolt. Teenuse haldamiseks on kaasas ka uus updatectl utiliit. Süsteemi systemd-sysupdate on lisatud lipp "--offline", et keelata metaandmete allalaadimine võrgu kaudu ja kasutada ainult kohalikku süsteemi juba alla laaditud versioone. Kõikide käskude jaoks on lisatud JSON-vormingus väljundi tugi.

  • Teenuste jaoks on juurutatud uus atribuut “PrivatePIDs”, millega saab korraldada protsesside käivitamist PID 1-ga (init process) eraldi protsessi identifikaatori ruumis (PID nimeruumis). Käivitatud protsessi jaoks loodud keskkonnas on nähtavad ainult protsessid selle jaoks loodud nimeruumist.
  • Lisatud on udev-reeglite tõstutundlike vastete tugi (nt 'ATTR{foo}==i»abcd»'). Udevi abil on võimalik anda privilegeerimata kohalikele kasutajatele juurdepääs (“uaccess”) /dev/udmabuf seadmele, mis on vajalik IPMI kaameratega töötamiseks libcamera kaudu. udev pakub USB-liidesega erinevate riistvaraliste krüptorahakottide äratundmist ja nende jaoks atribuudi ID_HARDWARE_WALLET seadistamist, mis võimaldab neile privilegeerimata kasutajatele juurdepääsuks rakendada režiimi "uaccess".
  • Faili /etc/os-release on lisatud uued väljad RELEASE_TYPE, EXPERIMENT ja EXPERIMENT_URL. "RELEASE_TYPE" võib kasutada väärtusi "experimental", "development", "stable" ja "lts", et eraldada stabiilsed versioonid arendus- ja eksperimentaalsetest järgudest. Parameetrid EXPERIMENT ja EXPERIMENT_URL on mõeldud eksperimentaalse järgu olemuse selgitamiseks.
  • Sudo-programmi asendamiseks välja töötatud utiliit run0 on lisanud suvandi "--shell-prompt-prefix", mis määrab käsukesta eesliite stringi. Vaikimisi kuvatakse emotikon „🦸” eesliitena, mis tõstab kõrgendatud seansi visuaalselt esile.
  • Valede failide kogemata kustutamise vältimiseks kehtib süsteemis systemd-tmpfiles suvand "--purge" nüüd ainult faili tmpfiles.d/ sätetele, millel on selgelt määratud lipp "$". Toiming "--purge" nõuab nüüd ka vähemalt ühe faili määramist kataloogist tmpfiles.d/. L-tüüpi stringidele on lisatud lipp, kui see on määratud, luuakse sümboolne link ainult siis, kui sihtfail on olemas.
  • Teenusehalduris ja seotud utiliitides teisendatakse protsessi jälgimise koodi jätkuvalt PID-i asemel PIDFD-d kasutama. PIDFD on seotud konkreetse protsessiga ega muutu, samas kui PID saab seostada teise protsessiga pärast seda, kui selle PID-ga seotud praegune protsess lõpeb.
  • Teenuste puhul on nüüd võimalik parameetris “RestartMode” määrata väärtus “debug”, mille puhul nurjunud teenus taaskäivitatakse lubatud silumisrežiimiga (seatud on keskkonnamuutuja DEBUG_INVOCATION=1) ja LogLevelMax väärtus on ajutiselt tõstetud silumistasemele.
  • PID 1 töötlejal on võimalus laadida IPE (Integrity Policy Enforcement) LSM mooduli jaoks reegleid, mis määratlevad terviklikkuse poliitika kogu süsteemi jaoks (millised toimingud on lubatud ja kuidas komponentide autentsust tuleks kontrollida).
  • ".timer" üksuse failidele on lisatud valik "DeferReactivation", mis võimaldab teil järgmise taimeri aktiveerimise vahele jätta, kui teenus ei ole pärast viimast aktiveerimist veel käivitamist lõpetanud.
  • Üksuse faili parameetris PrivateUsers on nüüd võimalik määrata “identiteedi” väärtus, mis võimaldab kasutajanimeruumi loomisel kasutajatunnuste vastendamist.
  • PrivateTmp-üksuse failiparameetrile on lisatud väärtuse "lahtiühendatud" tugi, mis kasutab kataloogide /tmp/ ja /var/tmp/ jaoks eraldi tmpfs-juhtumeid.
  • Uute privaatsete ja rangete režiimide tugi on lisatud ProtectControlGroupsi üksuse failiparameetrile, kui see on määratud, luuakse teenuse jaoks uus cgroupi nimeruum ja ühendatakse cgroupfs. Kui suvand "range" on määratud, ühendatakse cgroupfs kirjutuskaitstud režiimis.
  • Parameetrid StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory ja ConfigurationDirectory annavad võimaluse kasutada lippu ':ro', et piirata juurdepääsu vastavatele kataloogidele kirjutuskaitstud režiimis.
  • Kerneli käsurea parameetrile „systemd.machine_id” on lisatud püsivara väärtuse tugi, milles süsteemi identifikaator (masina ID) arvutatakse SMBIOS/DeviceTree UUID põhjal.
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • Utiliidid solvectl, timedatectl ja systemd-inhibit toetavad nüüd Polkiti abil interaktiivset autoriseerimist.
  • Utiliit systemctl on lisanud võimaluse kasutada käsku "reenable" lippu "--now".
  • Systemd-mount utiliidile on lisatud suvand "--json" JSON-vormingus väljastamiseks (näiteks kui see on määratud koos "--list-devices", väljastatakse seadmete loend JSON-vormingus).
  • Utiliidile "localectl" on lisatud suvandid "-l" ja "--full", et keelata pikkade joonte kärpimine väljundi ajal.
  • Sleep.conf-ile on lisatud suvand HibernateOnACPower, mis võimaldab puhkerežiimi lülitumist edasi lükata, kuni seade on statsionaarsest toiteallikast lahti ühendatud.
  • Systemd-sysusersis on “u” ridadele lisatud modifikaatori “!” tugi, millega saab luua täiesti lukustatud kasutajakontosid (varem kasutati kasutaja blokeerimiseks vale parooli seadmist, mis nt. ei põhjustanud SSH-s võtme autentimise ajal blokeerimist).
  • Systemd-coredump lisab suvandi "EnterNamespace", mis võimaldab juurdepääsu mis tahes kokkujooksnud protsesside ühenduspunkti ruumile, et saada nende silumissümbolid. Praktikas võib see valik olla kasulik isoleeritud konteinerites töötavate rakenduste põhifailide tagasijälje korraldamiseks.
  • systemd-logind sisaldab kombinatsiooni Ctrl-Alt-Shift-Esc töötlemist, et saata kasutajakeskkonna komponentidele org.freedesktop.login1.SecureAttentionKey signaal koos palvega kuvada turvaline sisselogimisdialoog. Rakendati säte „DesignatedMaintenanceTime”, et ajastada töö automaatselt kindlaksmääratud ajal lõpetamiseks. Analoogiliselt DRM-i ja evdevi seadmete toega on lisatud tugi privilegeeritud kasutajate juurdepääsu konfigureerimiseks seadmete (mängukontrollerid ja juhtkangid) peitmiseks.
  • systemd-machined toetab nüüd privilegeerimata klientide sisselogimisi. virtuaalmasinad ja konteinerid. Lisaks D-Busile pääseb süsteemi poolt loodud funktsionaalsusele ligi ka Varlink API kaudu.
  • Konfiguratsioonifaili networkd.conf on lisatud uus jaotis "[IPv6AddressLabel]", et konfigureerida IPv6-aadresside silte ja eesliiteid
  • Käsule 'networkctl edit' on lisatud suvand "--stdin", et saada faili sisu standardsest voost. Lisati .netdev-failide redigeerimise ja kuvamise tugi, määrates käskudele „networkctl edit” ja „networkctl cat” võrguliidese. Interaktiivse autoriseerimise keelamiseks on lisatud valik "--no-ask-password".
  • Lisati utiliitidele ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart ja systemd-sbsign suvand "--certificate-source", et laadida X.509 sertifikaat OpenSSL-i pakkuja kaudu, selle asemel et laadida otse faili.
  • systemd-boot lisab võimaluse kasutada helitugevusnuppe alglaadimismenüüs üles-alla liikumiseks, mis võib olla kasulik sellistes seadmetes nagu nutitelefonid. Bootctl utiliidile on lisatud tugi UEFI Secure Boot andmebaasi installimiseks ESL(db/dbx/…) formaadis systemd-boot jaoks.
  • Lisatud suvand "--list-invocation" ajakirjale journalctl, et kuvada üksuse kõnede loend ja "--invocation" ("-I"), et kuvada ainult konkreetse kõnega seotud logisid.
  • systemd-nspawn lisab toe FUSE (kasutajaruumi failisüsteem) privilegeerimata kasutamiseks konteinerites. Valiku “--bind-user” kasutamisel edastatakse konteinerisse kasutaja SSH-i kaudu juurdepääsuks vajalikud SSH-võtmed.
  • libsystemd on lisanud uue programmeerimisliidese "sd-json", mis kasutab JSON-vormingut, samuti liidese "sd-varlink", mis kasutab IPC Varlinki.
  • Soovitatav põhikerneli versioon on uuendatud versioonile 5.4, mis loodi 2019. aastal. Järgmisel aastal kavatsevad nad lõpetada vanemate tuumade toetamise ja märkida 5.4 versiooni minimaalseks toetatud baasversiooniks.
  • cgroups v1 tugi on aegunud ja vaikimisi keelatud (selle lubamiseks peate lisaks systemd sätetes selle lubamisele määrama kerneli käsureal SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1). Systemd 258 järgmine väljalase kavatseb cgroups v1-ga seotud koodi täielikult eemaldada. Systemd versioon 258 eemaldab ka System V teenuseskriptide toe.

Allikas: opennet.ru

Ostke DDoS-kaitsega saitide jaoks usaldusväärne hostimine, VPS VDS-serverid 🔥 Osta usaldusväärne veebimajutus DDoS-kaitsega, VPS VDS serverid | ProHoster