ProHoster > Blog > Interneteko albisteak > systemd sistema kudeatzailearen bertsioa 250

systemd sistema kudeatzailearen bertsioa 250

Bost hilabeteko garapenaren ondoren, sistemaren kudeatzailea systemd 250 bertsioa aurkeztu zen. Bertsio berriak kredentzialak enkriptatutako forman gordetzeko gaitasuna ezarri zuen, automatikoki detektaturiko GPT partizioak sinadura digitala erabiliz, atzerapenen arrazoiei buruzko informazioa hobetu zuen. zerbitzuak abiarazteko eta fitxategi-sistema eta sare-interfaze jakin batzuetara zerbitzurako sarbidea mugatzeko aukerak gehitu dira, dm-integrity modulua erabiliz partizioaren osotasunaren monitorizazioaren laguntza eskaintzen da eta sd-boot eguneratze automatikorako laguntza gehitzen da.

Aldaketa nagusiak:

  • Kredentzial enkriptatutako eta autentifikatuentzako laguntza gehitu da, eta hori erabilgarria izan daiteke material sentikorra modu seguruan gordetzeko, hala nola SSL gakoak eta sarbide pasahitzak. Kredentzialak deszifratzea beharrezkoa denean eta tokiko instalazio edo ekipoarekin lotuta bakarrik egiten da. Datuak automatikoki zifratzen dira enkriptazio algoritmo simetrikoen bidez, eta horien gakoa fitxategi-sisteman, TPM2 txipan edo konbinazio-eskema baten bidez koka daiteke. Zerbitzua abiarazten denean, kredentzialak automatikoki deszifratzen dira eta zerbitzurako erabilgarri egongo dira bere forma arruntean. Kredentzial enkriptatutakoekin lan egiteko, 'systemd-creds' utilitatea gehitu da, eta LoadCredentialEncrypted eta SetCredentialEncrypted ezarpenak proposatu dira zerbitzuetarako.
  • sd-stub, EFI firmware-ak Linux nukleoa kargatzeko aukera ematen duen EFI exekutagarria, orain nukleoa abiarazteko onartzen du LINUX_EFI_INITRD_MEDIA_GUID EFI protokoloa erabiliz. Sd-stub-i kredentzialak eta sysext fitxategiak cpio artxibo batean paketatzeko eta initrd-arekin batera artxibo hau kernelera transferitzeko gaitasuna ere gehitu da (fitxategi gehigarriak /.extra/ direktorioan jartzen dira). Ezaugarri honek initrd ingurune aldaezin egiaztagarri bat erabiltzeko aukera ematen du, sysexts eta autentifikazio-datu zifratuekin osatuta.
  • Discoverable Partitions zehaztapena nabarmen zabaldu da, GPT (GUID Partition Tables) erabiliz sistemaren partizioak identifikatzeko, muntatzeko eta aktibatzeko tresnak eskainiz. Aurreko bertsioekin alderatuta, orain zehaztapenak root partizioa eta /usr partizioa onartzen ditu arkitektura gehienentzat, UEFI erabiltzen ez duten plataformak barne.

    Discoverable Partitions-ek PKCS#7 sinadura digitalak erabiliz dm-verity moduluak osotasuna egiaztatzen duen partizioentzako euskarria ere gehitzen du, guztiz autentifikatutako disko-irudiak sortzea erraztuz. Egiaztapen-laguntza diskoaren irudiak manipulatzen dituzten hainbat utilitatetan integratuta dago, besteak beste, systemd-nspawn, systemd-sysext, systemd-dissect, RootImage zerbitzuak, systemd-tmpfiles eta systemd-sysusers.

  • Abiarazi edo gelditzeko denbora luzea behar duten unitateetan, aurrerapen-barra animatu bat bistaratzeaz gain, egoera-informazioa bistaratu daiteke, une honetan zerbitzuarekin zer gertatzen den eta sistema-kudeatzailea zein zerbitzu den ulertzeko. une honetan amaitzeko zain.
  • DefaultOOMScoreAdjust parametroa gehitu da /etc/systemd/system.conf eta /etc/systemd/user.conf, eta horrek OOM-killer atalasea doitzeko aukera ematen du memoria baxurako, systemd sistemak eta erabiltzaileentzat abiarazten dituen prozesuetan aplikagarria. Berez, sistemaren zerbitzuen pisua erabiltzaileen zerbitzuena baino handiagoa da, hau da. Memoria nahikorik ez dagoenean, erabiltzaile-zerbitzuak amaitzeko probabilitatea sistemarena baino handiagoa da.
  • RestrictFileSystems ezarpena gehitu da, zerbitzuen fitxategi-sistema mota batzuetarako sarbidea mugatzeko aukera ematen duena. Eskuragarri dauden fitxategi-sistema motak ikusteko, "systemd-analyze filesystems" komandoa erabil dezakezu. Analogiaz, RestrictNetworkInterfaces aukera ezarri da, sareko interfaze jakin batzuetarako sarbidea mugatzeko aukera ematen duena. Inplementazioa BPF LSM moduluan oinarritzen da, prozesu talde baten sarbidea kerneleko objektuetara mugatzen duena.
  • /etc/integritytab konfigurazio-fitxategi berria eta systemd-integritysetup erabilgarritasuna gehitu dira, dm-integrity modulua sektore mailan datuen osotasuna kontrolatzeko konfiguratzen dutenak, adibidez, datu enkriptatutakoen aldaezintasuna bermatzeko (autentikatua enkriptatzea, datu-bloke batek duela ziurtatzen du. ez da biribilgune batean aldatu). /etc/integritytab fitxategiaren formatua /etc/crypttab eta /etc/veritytab fitxategien antzekoa da, izan ezik, dm-integrity erabiltzen da dm-crypt eta dm-verity-en ordez.
  • Unitate-fitxategi berria systemd-boot-update.service gehitu da, aktibatzen denean eta sd-boot abiarazlea instalatuta dagoenean, systemd-ek automatikoki eguneratuko du sd-boot abiarazlearen bertsioa, abiarazlearen kodea beti eguneratuta mantenduz. sd-boot bera orain lehenespenez eraikita dago SBAT (UEFI Secure Boot Advanced Targeting) mekanismoarekin, zeinak UEFI Secure Booterako ziurtagiriak ezeztatzeko arazoak konpontzen dituena. Gainera, sd-boot-ek Microsoft Windows-en abio-ezarpenak analizatzeko gaitasuna eskaintzen du Windows-ekin abiarazteko partizioen izenak behar bezala sortzeko eta Windows-en bertsioa bistaratzeko.

    sd-boot-ek kolore-eskema bat eraikitzeko garaian definitzeko gaitasuna ere eskaintzen du. Abiarazteko prozesuan, pantailaren bereizmena aldatzeko laguntza gehitu zen "r" tekla sakatuz. "f" laster-tekla gehitu da firmwarearen konfigurazio interfazera joateko. Azken abiaraztean hautatutako menu-elementuari dagokion sistema automatikoki abiarazteko modu bat gehitu da. ESP (EFI Sistemaren Partizioa) atalean dauden /EFI/systemd/drivers/ direktorioa automatikoki kargatzeko gaitasuna gehitu da.

  • factory-reset.target unitate-fitxategi berri bat sartzen da, systemd-logind-en berrabiarazi, itzali, eseki eta hibernatu eragiketen antzera prozesatzen dena, eta fabrika berrezartzeko kudeatzaileak sortzeko erabiltzen dena.
  • Systemd-ek ebatzitako prozesuak entzuteko socket gehigarri bat sortzen du orain 127.0.0.54-n 127.0.0.53-z gain. 127.0.0.54-ra iristen diren eskaerak gorako DNS zerbitzari batera birbideratzen dira beti eta ez dira lokalean prozesatzen.
  • Systemd-importd eta systemd-resolved OpenSSL liburutegiarekin libgcrypt-en ordez eraikitzeko gaitasuna eman du.
  • Loongson prozesadoreetan erabiltzen den LoongArch arkitekturarako hasierako euskarria gehitu da.
  • systemd-gpt-auto-generator-ek LUKS2 azpisistemak enkriptatutako sistemak definitutako swap partizioak automatikoki konfiguratzeko gaitasuna eskaintzen du.
  • systemd-nspawn, systemd-dissect eta antzeko utilitateetan erabiltzen den GPT irudiak analizatzeko kodeak beste arkitektura batzuetarako irudiak deskodetzeko gaitasuna inplementatzen du, eta systemd-nspawn beste arkitektura batzuen emuladoreetan irudiak exekutatzeko aukera ematen du.
  • Diskoaren irudiak ikuskatzean, systemd-dissect-ek orain partizioaren xedeari buruzko informazioa erakusten du, hala nola UEFI bidez abiarazteko edo edukiontzi batean exekutatzeko egokitasuna.
  • "SYSEXT_SCOPE" eremua system-extension.d/ fitxategietan gehitu da, sistemaren irudiaren esparrua adierazteko aukera emanez: "initrd", "system" edo "portable".
  • "PORTABLE_PREFIXES" eremu bat gehitu da os-release fitxategian, eta irudi eramangarrietan erabil daiteke onartzen diren unitate-fitxategien aurrizkiak zehazteko.
  • systemd-login-ek ezarpen berriak aurkezten ditu HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress eta HandleHibernateKeyLongPress, tekla jakin batzuk 5 segundo baino gehiago sakatuta mantentzen direnean zer gertatzen den zehazteko erabil daiteke (adibidez, etetean modu azkar sakatuta konfiguratu daiteke. , eta sakatuta edukitzean, lotara joango da).
  • Unitateetarako, StartupAllowedCPUs eta StartupAllowedMemoryNodes ezarpenak ezartzen dira, eta abiarazte-aurrizkirik gabeko antzeko ezarpenetatik desberdinak dira, abiarazte eta itzaltze fasean soilik aplikatzen direlako, abioan zehar beste baliabide murrizketak ezartzeko aukera ematen baitu.
  • Gehitu dira [Baldintza|Baieztatu][Memoria|CPU|IO]PSI mekanismoak memorian, CPUan eta I/On karga handia antzematen badu unitatearen aktibazioa saltea edo huts egitea ahalbidetzen duten presio-egiaztapenak.
  • Inodoaren gehienezko muga lehenetsia /dev partiziorako 64k-tik 1Mra handitu da, eta /tmp partiziorako 400k-tik 1Mra.
  • Zerbitzuetarako ExecSearchPath ezarpen bat proposatu da, eta horri esker, ExecStart bezalako ezarpenen bidez abiarazitako fitxategi exekutagarriak bilatzeko bidea alda daiteke.
  • RuntimeRandomizedExtraSec ezarpena gehitu da, RuntimeMaxSec denbora-mugan ausazko desbideratzeak sartzeko aukera ematen duena, unitate baten exekuzio-denbora mugatzen duena.
  • RuntimeDirectory, StateDirectory, CacheDirectory eta LogsDirectory ezarpenen sintaxia zabaldu da, eta, bertan, bi puntuz bereizitako balio gehigarri bat zehaztuz, orain direktorio jakin baterako esteka sinboliko baten sorrera antola dezakezu sarbidea hainbat bidetan zehar antolatzeko.
  • Zerbitzuetarako, TTYRows eta TTYColumns ezarpenak eskaintzen dira TTY gailuko errenkada eta zutabe kopurua ezartzeko.
  • ExitType ezarpena gehitu da, zerbitzu baten amaiera zehazteko logika aldatzeko aukera ematen duena. Lehenespenez, systemd-ek prozesu nagusiaren heriotza kontrolatzen du, baina ExitType=cgroup ezartzen bada, sistema-kudeatzaileak cgroup-eko azken prozesua amaitu arte itxarongo du.
  • systemd-cryptsetup-en TPM2/FIDO2/PKCS11 euskarriaren ezarpena cryptsetup plugin gisa ere eraiki da, eta cryptsetup komando normala partizio enkriptatutako bat desblokeatzeko erabil daiteke.
  • systemd-cryptsetup/systemd-cryptsetup-en TPM2 kudeatzaileak RSA gako nagusietarako laguntza gehitzen du ECC gakoez gain, ECC ez diren txipekin bateragarritasuna hobetzeko.
  • Token-denbora-muga aukera gehitu da /etc/crypttab-era, eta horri esker, PKCS#11/FIDO2 token konexioa itxaron behar duzun gehienezko denbora defini dezakezu, eta ondoren pasahitza edo berreskuratzeko gakoa sartzeko eskatuko zaizu.
  • systemd-timesyncd-ek SaveIntervalSec ezarpena ezartzen du, eta horri esker, aldian-aldian uneko sistemaren denbora diskoan gorde dezakezu, adibidez, RTCrik gabeko sistemetan erloju monotonikoa ezartzeko.
  • Systemd-analyze utilitateari aukerak gehitu zaizkio: "--image" eta "--root" irudi edo erro direktorio jakin baten barruan unitate-fitxategiak egiaztatzeko, "--recursive-errors" errore bat denean menpeko unitateak kontuan hartzeko. detektatzen da, β€œ--offline” diskoan gordetako unitate-fitxategiak bereizita egiaztatzeko, β€œβ€”json” JSON formatuan ateratzeko, β€œβ€”quiet” garrantzi gabeko mezuak desgaitzeko, β€œβ€”profile” profil eramangarri batera lotzeko. ELF formatuan dauden core fitxategiak analizatzeko inspect-elf komandoa gehitu da eta unitate-fitxategiak unitate-izen jakin batekin egiaztatzeko gaitasuna, izen hori fitxategi-izenarekin bat datorren ala ez kontuan hartu gabe.
  • systemd-networkd-ek Controller Area Network (CAN) buserako euskarria zabaldu du. CAN moduak kontrolatzeko ezarpenak gehitu dira: Loopback, OneShot, PresumeAck eta ClassicDataLengthCode. TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 eta DataSyncJumpWidth aukerak CAN bit-sareko sinkronizazio ataleko [CAN] sinkronizazio fitxategiak kontrolatzeko.
  • Systemd-networkd-ek Etiketa aukera bat gehitu du DHCPv4 bezeroarentzat, IPv4 helbideak konfiguratzerakoan erabiltzen den helbide etiketa konfiguratzeko aukera ematen duena.
  • "ethtool"-rako systemd-udevd-ek "gehieneko" balio berezietarako laguntza ezartzen du, bufferaren tamaina hardwareak onartzen duen gehienezko balioarekin ezartzen dutenak.
  • Systemd-udevd-erako .link fitxategietan orain sare-egokitzaileak konbinatzeko eta hardware-kudeatzaileak konektatzeko hainbat parametro konfigura ditzakezu (deskarga).
  • systemd-networkd-ek .network fitxategi berriak eskaintzen ditu lehenespenez: 80-container-vb.network "--network-bridge" edo "--network-zone" aukerekin systemd-nspawn exekutatzen denean sortutako sare-zubiak definitzeko; 80-6rd-tunnel.network 6RD aukerarekin DHCP erantzuna jasotzean automatikoki sortzen diren tunelak definitzeko.
  • Systemd-networkd-ek eta systemd-udevd-ek InfiniBand interfazeen bidez IP birbidaltzeko euskarria gehitu dute, eta horretarako "[IPoIB]" atala gehitu da systemd.netdev fitxategietan, eta "ipoib" balioa prozesatzea Kind-en inplementatu da. ezarpena.
  • systemd-networkd-ek bide-konfigurazio automatikoa eskaintzen du AllowedIPs parametroan zehaztutako helbideetarako, RouteTable eta RouteMetric parametroen bidez konfigura daitekeena [WireGuard] eta [WireGuardPeer] ataletan.
  • systemd-networkd-ek batadv eta bridge interfazeetarako aldaezinak diren MAC helbideen sorkuntza automatikoa eskaintzen du. Portaera hau desgaitzeko, MACAddress=none zehaztu dezakezu .netdev fitxategietan.
  • WakeOnLanPassword ezarpena gehitu da .link fitxategietan "[Esteka]" atalean, WoL "SecureOn" moduan exekutatzen ari denean pasahitza zehazteko.
  • AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO eta UserRawPacketSize ezarpenak .network fitxategien "[CAKE]" atalean CAKE (Common Applications Quept Enhanced) sarearen parametroak definitzeko gehitu dira. .
  • IgnoreCarrierLoss ezarpena gehitu da .network fitxategien "[Sarea]" atalean, eramailearen seinalearen galerari erreakzionatu aurretik zenbat denbora itxaron behar duzun zehazteko.
  • Systemd-nspawn, homectl, machinectl eta systemd-run "--setenv" parametroaren sintaxia hedatu dute - aldagaiaren izena bakarrik zehazten bada ("=" gabe), balioa dagokion ingurune-aldagaitik hartuko da (ez. adibidez, "--setenv=FOO" zehaztean balioa $FOO ingurune-aldagaitik hartuko da eta edukiontzian ezarritako izen bereko ingurune-aldagaian erabiliko da).
  • systemd-nspawn-ek "--suppress-sync" aukera gehitu du sync()/fsync()/fdatasync() sistema-deiak desgaitzeko edukiontzi bat sortzean (erabilgarria abiadura lehentasuna denean eta eraikuntza-artefaktuak gordetzea hutsegite kasuan ez bada). garrantzitsua, edozein unetan birsortu baitaitezke).
  • Hwdb datu-base berri bat gehitu da, zeinak hainbat motatako seinale-analizatzaileak barne hartzen dituena (multimetroak, protokolo-analisiak, osziloskopioak, etab.). Hwdb-n kamerei buruzko informazioa eremu batekin zabaldu da kamera motari (erregularra edo infragorria) eta lenteen kokapenari (aurrealdean edo atzealdean) informazioarekin.
  • Xen-en erabiltzen diren netfront gailuetarako aldaezinak diren sare-interfazearen izenak sortzea gaitu.
  • libdw/libelf liburutegietan oinarritutako systemd-coredump utilitatearen oinarrizko fitxategien azterketa prozesu bereizi batean egiten da orain, sandbox ingurune batean isolatuta.
  • systemd-importd-ek $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC ingurune-aldagaietarako laguntza gehitu du, eta horrekin Btrfs azpipartizioak sortzea desgaitu dezakezu, baita kuotak eta disko-sinkronizazioa konfiguratu ere.
  • Systemd-journald-en, kopia-idazketa modua onartzen duten fitxategi-sistemetan, COW modua berriro gaitzen da artxibatutako aldizkarietarako, Btrfs erabiliz konprimitu ahal izateko.
  • systemd-journald-ek eremu berdinen desduplicazioa inplementatzen du mezu bakarrean, mezua aldizkarian jarri aurreko fasean egiten dena.
  • "--show" aukera gehitu zaio itzali komandoari, programatutako itzaltzea bistaratzeko.

Iturria: opennet.ru

Gehitu iruzkin berria