ProHoster > Blog > Interneteko albisteak > systemd sistema kudeatzailearen bertsioa 243

systemd sistema kudeatzailearen bertsioa 243

Bost hilabeteko garapenaren ostean aurkeztu sistema-kudeatzailearen bertsioa systemd 243. Berrikuntzen artean, sisteman memoria gutxirako kudeatzaile bat PID 1-en integratzea, unitate-trafikoa iragazteko zure BPF programak eransteko laguntza, systemd-networkd-rako aukera berri ugari, sarearen banda-zabalera kontrolatzeko modua. interfazeak, lehenespenez 64 biteko sistemetan gaituta 22 biteko PID zenbakiak 16 biteko ordez, cgroups hierarkia bateratu batera igarotzea, systemd-network-generator-en sartzea.

Aldaketa nagusiak:

  • Nukleoan sortutako seinaleen ezagupena (Out-Of-Memory, OOM) PID 1 kudeatzaileari gehitu zaio memoria-kontsumoaren mugara iritsi diren unitateak egoera berezi batera transferitzeko, amaierara behartzeko aukerako gaitasunarekin. edo gelditu;
  • Unitate fitxategietarako, parametro berriak IPIngressFilterPath eta
    IPEgressFilterPath, BPF programak kudeatzaile arbitrarioekin konektatzeko aukera ematen duena, unitate honekin lotutako prozesuek sortutako sarrerako eta irteerako IP paketeak iragazteko. Proposatutako ezaugarriek sistemaren zerbitzuetarako suebaki moduko bat sortzeko aukera ematen dute. Idazketa adibidea BPFn oinarritutako sare-iragazki soil bat;

  • "garbi" komandoa systemctl erabilgarritasunari gehitu zaio cachea, exekuzio-denborako fitxategiak, egoera informazioa eta erregistro-direktorioak ezabatzeko;
  • systemd-networkd-ek MACsec, nlmon, IPVTAP eta Xfrm sare-interfazeetarako laguntza gehitzen du;
  • systemd-networkd-ek DHCPv4 eta DHCPv6 pilen konfigurazio bereiziak ezartzen ditu konfigurazio fitxategiko "[DHCPv4]" eta "[DHCPv6]" atalen bidez. RoutesToDNS aukera gehitu da DHCP zerbitzaritik jasotako parametroetan zehaztutako DNS zerbitzariari bide bereizi bat gehitzeko (DHCPtik jasotako bide nagusiaren esteka beraren bidez DNSrako trafikoa bidal dadin). Aukera berriak gehitu dira DHCPv4rako: MaxAttempts - helbide bat lortzeko gehienezko eskaera kopurua, BlackList - DHCP zerbitzarien zerrenda beltza, SendRelease - saioa amaitzen denean DHCP RELEASE mezuak bidaltzea gaitu;
  • Komando berriak gehitu dira systemd-analyze utilitatean:
    • "systemd-analyze timestamp" - denbora-analisia eta bihurketa;
    • "systemd-analyse timespan" - denbora-aldien azterketa eta bihurketa;
    • "systemd-analyze condition" - BaldintzaXYZ adierazpenak analizatu eta probatu;
    • "systemd-analyze exit-status" - irteera kodeak zenbakietatik izenetara eta alderantziz analizatu eta bihurtzea;
    • "systemd-analyze unit-files" - unitateen eta unitateen aliasen fitxategi-bide guztiak zerrendatzen ditu.
  • Aukerak SuccessExitStatus, RestartPreventExitStatus eta
    RestartForceExitStatus-ek zenbakizko itzulera-kodeak ez ezik, haien testu-identifikatzaileak ere onartzen ditu (adibidez, "DATAERR"). Identifikatzaileei esleitutako kodeen zerrenda ikus dezakezu "sytemd-analyze exit-status" komandoa erabiliz;

  • β€œEzabatu” komandoa sareko gailu birtualak ezabatzeko networkctl utilitateari gehitu zaio, baita β€œβ€”stats” aukera ere gailuen estatistikak bistaratzeko;
  • SpeedMeter eta SpeedMeterIntervalSec ezarpenak networkd.conf-era gehitu dira sareko interfazeen abiadura aldian-aldian neurtzeko. Neurketaren emaitzetatik lortutako estatistikak 'networkctl status' komandoaren irteeran ikus daitezke;
  • Fitxategiak sortzeko systemd-network-generator erabilgarritasun berria gehitu da
    .network, .netdev eta .link Dracut ezarpenen formatuan Linux kernel komando-lerroaren bidez abiarazitako IP ezarpenetan oinarrituta;

  • 64 biteko sistemetan sysctl "kernel.pid_max" balioa lehenespenez 4194304 gisa ezartzen da (22 biteko PIDak 16 biteko ordez), eta horrek talkak izateko probabilitatea murrizten du PIDak esleitzean, eta aldi berean kopuruaren muga handitzen du. exekutatzen ari diren prozesuak, eta segurtasunean eragin positiboa du. Aldaketak bateragarritasun arazoak sor ditzake, baina oraindik ez dira horrelako gaiak praktikan jakinarazi;
  • Lehenespenez, eraikuntza-fasea cgroups-v2 hierarkia bateratura aldatzen da ("-Ddefault-hierarchy=unified"). Aurretik, lehenetsia modu hibridoa zen ("-Ddefault-hierarchy=hibridoa");
  • Sistema-dei-iragazkiaren (SystemCallFilter) portaera aldatu da, eta, debekatutako sistema-dei baten kasuan, prozesu osoa amaitzen du orain, hari indibidualak baino, hari indibidualak amaitzeak ezusteko arazoak sor ditzake eta. Aldaketak Linux kernel 4.14+ eta libseccomp 2.4.0+ badituzu soilik aplikatzen dira;
  • Pribilegiorik gabeko programei ICMP Echo (ping) paketeak bidaltzeko gaitasuna ematen zaie sysctl "net.ipv4.ping_group_range" talde sorta osorako (prozesu guztietarako);
  • Eraikitze-prozesua bizkortzeko, lehenespenez man eskuliburuen sorrera gelditu da (dokumentazio osoa eraikitzeko, "-Dman=true" edo "-Dhtml=true" aukera erabili behar duzu eskuliburuetarako html formatuan). Dokumentazioa errazago ikusteko, bi script sartzen dira: build/man/man eta build/man/html eskuliburuak sortzeko eta aurrebistatzeko;
  • Alfabeto nazionaletako karaktereak dituzten domeinu-izenak prozesatzeko, libidn2 liburutegia erabiltzen da lehenespenez (libidn itzultzeko, erabili β€œ-Dlibidn=true” aukera);
  • /usr/sbin/halt.local fitxategi exekutagarriaren euskarria, banaketan oso hedatuta ez zegoen funtzionaltasuna eskaintzen zuena, eten egin da. Itzaterakoan komandoen abiarazpena antolatzeko, gomendatzen da /usr/lib/systemd/system-shutdown/-n script-ak erabiltzea edo final.target-en araberakoa den unitate berri bat definitzea;
  • Itzaltzearen azken fasean, systemd-ek automatikoki handitzen du sysctl "kernel.printk"-en erregistro-maila, eta horrek itzalaldiaren azken faseetan gertatutako erregistro-gertaerak bistaratzeko arazoa konpontzen du, ohiko erregistro-daemonak dagoeneko amaitu direnean. ;
  • Journalctl-en eta erregistroak bistaratzen dituzten beste utilitate batzuetan, abisuak horiz nabarmentzen dira, eta auditoretza-erregistroak urdinez nabarmentzen dira jendartean ikusmen nabarmentzeko;
  • $PATH ingurune-aldagaian, bin/-rako bidea sbin/-rako bidearen aurretik dator orain, hau da. bi direktorioetan fitxategi exekutagarrien izen berdinak badaude, bin/-ko fitxategia exekutatuko da;
  • systemd-logind-ek SetBrightness() dei bat eskaintzen du pantailaren distira segurtasunez aldatzeko saio bakoitzeko;
  • β€œ--wait-for-initialization” bandera gehitu da β€œudevadm info” komandoan gailua abiarazi arte itxaroteko;
  • Sistema abiaraztean, PID 1 kudeatzaileak unitateen izenak bistaratzen ditu bere deskribapenarekin lerro baten ordez. Iraganeko portaera itzultzeko, StatusUnitFormat aukera erabil dezakezu /etc/systemd/system.conf edo systemd.status_unit_format kernel aukera;
  • KExecWatchdogSec aukera gehitu da /etc/systemd/system.conf watchdog PID 1erako, kexec erabiliz berrabiarazteko denbora-muga zehazten duena. Antzinako giroa
    ShutdownWatchdogSec RebootWatchdogSec izena hartu du eta lanen denbora-muga definitzen du itzaltzean edo berrabiarazten denean;

  • Zerbitzuetarako aukera berri bat gehitu da Baldintza Exekutiboa, ExecStartPre aurretik exekutatuko diren komandoak zehazteko aukera ematen duena. Komandoak itzultzen duen errore-kodearen arabera, unitatearen exekuzio gehiagorako erabakia hartzen da - 0 kodea itzultzen bada, unitatearen abiarazteak jarraitzen du, 1etik 254ra isilik hutsegite-markarik gabe amaitzen bada, 255-rekin amaitzen bada. porrotaren bandera;
  • Systemd-pstore.service zerbitzu berri bat gehitu da sys/fs/pstore/-tik datuak ateratzeko eta /var/lib/pstore-n gordetzetik azterketa gehiago egiteko;
  • Komando berriak gehitu dira timedatectl utilitatean NTP parametroak konfiguratzeko systemd-timesyncd sareko interfazeei dagokienez;
  • "localectl list-locales" komandoak jada ez du UTF-8 ez den lokalak bistaratzen;
  • Sysctl.d/ fitxategietako aldagaien esleipen-erroreak alde batera uzten direla ziurtatzen du aldagaiaren izena β€œ-β€œ karakterearekin hasten bada;
  • Zerbitzua systemd-ausazko-hazia.zerbitzua Linux nukleoaren zenbaki sasi-ausazkoen sorgailuaren entropia multzoa hasieratzeaz arduratzen da orain. Behar bezala hasieratutako /dev/urandom behar duten zerbitzuak systemd-random-seed.service ondoren abiarazi behar dira;
  • Systemd-boot boot loader-ek onartzen duen aukerako gaitasuna eskaintzen du hazi fitxategia EFI Sistemaren Partizioan (ESP) ausazko sekuentziarekin;
  • Komando berriak gehitu dira bootctl erabilgarritasunari: "bootctl random-seed" ESP-n hazi fitxategi bat sortzeko eta "bootctl is-installed" systemd-boot abio-kargatzailearen instalazioa egiaztatzeko. bootctl ere egokitu da abioko sarreren konfigurazio okerren inguruko abisuak bistaratzeko (adibidez, nukleoaren irudia ezabatzen denean, baina kargatzeko sarrera uzten denean);
  • Swap partizioaren aukeraketa automatikoa eskaintzen du sistema lo moduan sartzen denean. Partizioa konfiguratutako lehentasunaren arabera hautatzen da, eta lehentasun berdinen kasuan, espazio librearen kopuruaren arabera;
  • Keyfile-timeout aukera gehitu da /etc/crypttab-en enkriptatutako gakoa duen gailuak zenbat denbora itxarongo duen ezartzeko enkriptatutako partizioan sartzeko pasahitza eskatu aurretik;
  • IOWeight aukera gehitu da BFQ programatzailearen I/O pisua ezartzeko;
  • systemd-resolved-ek DNS-over-TLS-erako modu "zorrotza" gehitu zuen eta DNS erantzun positiboak bakarrik gordetzeko gaitasuna ezarri zuen ("Cache no-negative" resolved.conf-en);
  • VXLANerako, systemd-networkd-ek GenericProtocolExtension aukera bat gehitu du VXLAN protokolo-luzapenak gaitzeko. VXLAN eta GENEVErako, IPDoNotFragment aukera gehitu da irteerako paketeen zatiketa debekatzeko bandera ezartzeko;
  • Systemd-networkd-en, "[Route]" atalean, FastOpenNoCookie aukera agertu da TCP konexioak azkar irekitzeko mekanismoa gaitzeko (TFO - TCP Fast Open, RFC 7413) ibilbide indibidualei dagokienez, baita TTLPropagate aukera ere. TTL LSP (Label Switched Path) konfiguratzeko. "Mota" aukerak tokiko, igorpen, anycast, multicast, edozein eta xresolve bideratze moduetarako laguntza eskaintzen du;
  • Systemd-networkd-ek DefaultRouteOnDevice aukera bat eskaintzen du "[Sarea]" atalean sareko gailu jakin baterako ibilbide lehenetsi bat automatikoki konfiguratzeko;
  • Systemd-networkd-ek ProxyARP eta gehitu ditu
    ProxyARPWifi proxy ARP portaera ezartzeko, MulticastRouter bideratze-parametroak multicast moduan ezartzeko, MulticastIGMPVersion multicast-erako IGMP (Internet Group Management Protocol) bertsioa aldatzeko;

  • Systemd-networkd-ek Local, Peer eta PeerPort aukerak gehitu ditu FooOverUDP tuneletarako, tokiko eta urruneko IP helbideak konfiguratzeko, baita sareko ataka zenbakia ere. TUN tuneletarako, VnetHeader aukera gehitu da GSO (Generic Segment Offload) euskarria konfiguratzeko;
  • systemd-networkd-en, [Lotura] ataleko .network eta .link fitxategietan, Propietate aukera bat agertu da, zeinak gailuak udev-en dituzten propietate espezifikoen arabera identifikatzeko aukera ematen duena;
  • systemd-networkd-en, Tuneletarako AssignToLoopback aukera bat gehitu da, tunelaren amaiera "lo" loopback gailuari esleitzen den kontrolatzen duena;
  • systemd-networkd-ek automatikoki aktibatzen du IPv6 pila sysctl bidez blokeatzen bada disable_ipv6 - IPv6 aktibatuta dago IPv6 ezarpenak (estatikoa edo DHCPv6) sareko interfazerako definituta badaude, bestela jada ezarrita dagoen sysctl balioa ez da aldatzen;
  • .network fitxategietan, CriticalConnection ezarpena KeepConfiguration aukerarekin ordezkatu da, eta horrek sistemak behar dituen egoerak ("bai", "estatikoa", "dhcp-on-stop", "dhcp") definitzeko baliabide gehiago eskaintzen ditu. ez ukitu lehendik dauden konexioak abiaraztean;
  • Zaurgarritasuna konponduta CVE-2019-15718, D-Bus interfazerako sarbide-kontrolik ezaren ondorioz, sistemak konponduta. Arazoak aukera ematen dio pribilegiorik gabeko erabiltzaileari administratzaileentzat soilik dauden eragiketak egiteko, hala nola DNS ezarpenak aldatzea eta DNS kontsultak zerbitzari maltzur batera bideratzea;
  • Zaurgarritasuna konponduta CVE-2019-9619saio ez-interaktiboetarako pam_systemd ez gaitzearekin lotuta dago, eta horrek saio aktiboa faltifikatzea ahalbidetzen du.

Iturria: opennet.ru

Gehitu iruzkin berria