ProHoster > Blogi > netin uutisia > systemd System Managerin julkaisu 250

systemd System Managerin julkaisu 250

Viiden kuukauden kehitystyön jälkeen esiteltiin järjestelmänhallinnan systemd 250 julkaisu. Uusi versio esitteli mahdollisuuden tallentaa valtuustiedot salatussa muodossa, toteutti automaattisesti havaittujen GPT-osioiden varmennuksen digitaalisen allekirjoituksen avulla ja parannetti tietoa viivästysten syistä. aloituspalvelut ja lisätyt vaihtoehdot palvelujen pääsyn rajoittamiseen tiettyihin tiedostojärjestelmiin ja verkkoliitäntöihin, tarjotaan tuki osion eheyden valvonnalle dm-eheysmoduulin avulla ja sd-bootin automaattisen päivityksen tuki on lisätty.

Suurimmat muutokset:

  • Lisätty tuki salatuille ja todennettuille tunnistetiedoille, joista voi olla hyötyä arkaluonteisten materiaalien, kuten SSL-avainten ja salasanan, turvallisessa tallentamisessa. Tunnusten salauksen purku suoritetaan vain tarvittaessa ja paikallisen asennuksen tai laitteiston yhteydessä. Tiedot salataan automaattisesti symmetrisillä salausalgoritmeilla, joiden avain voi olla tiedostojärjestelmässä, TPM2-sirussa tai yhdistelmämallilla. Kun palvelu käynnistyy, tunnistetiedot puretaan automaattisesti ja ne tulevat palvelun saataville normaalissa muodossaan. Salattujen tunnistetietojen käyttöä varten on lisätty "systemd-creds" -apuohjelma, ja palveluille on ehdotettu LoadCredentialEncrypted- ja SetCredentialEncrypted-asetuksia.
  • sd-stub, EFI-suoritettava tiedosto, jonka avulla EFI-laiteohjelmisto voi ladata Linux-ytimen, tukee nyt ytimen käynnistämistä LINUX_EFI_INITRD_MEDIA_GUID EFI-protokollan avulla. sd-stubiin on lisätty myös mahdollisuus pakata valtuustiedot ja sysext-tiedostot cpio-arkistoon ja siirtää tämä arkisto ytimeen initrd:n kanssa (lisätiedostot sijoitetaan /.extra/-hakemistoon). Tämän ominaisuuden avulla voit käyttää todennettavissa olevaa muuttumatonta initrd-ympäristöä, jota täydentävät sysexts ja salatut todennustiedot.
  • Discoverable Partitions -spesifikaatiota on laajennettu merkittävästi, ja se tarjoaa työkalut järjestelmäosien tunnistamiseen, asentamiseen ja aktivoimiseen GPT:n (GUID Partition Tables) avulla. Edellisiin julkaisuihin verrattuna määritys tukee nyt juuriosiota ja /usr-osiota useimmissa arkkitehtuureissa, mukaan lukien alustat, jotka eivät käytä UEFI:tä.

    Discoverable Partitions lisää myös tuen osioille, joiden eheyden dm-verity-moduuli varmistaa PKCS#7-digitaalisen allekirjoituksen avulla, mikä helpottaa täysin todennettujen levykuvien luomista. Varmennustuki on integroitu useisiin levyotoksia käsitteleviin apuohjelmiin, mukaan lukien systemd-nspawn, systemd-sysext, systemd-dissect, RootImage-palvelut, systemd-tmp-tiedostot ja systemd-sysusers.

  • Yksiköille, joiden käynnistyminen tai pysähtyminen kestää kauan, on animoidun edistymispalkin näyttämisen lisäksi mahdollista näyttää tilatietoja, joiden avulla voit ymmärtää, mitä palvelussa tällä hetkellä tarkalleen tapahtuu ja mikä palvelu järjestelmävastaava on odottaa tällä hetkellä valmistumista.
  • Lisätty DefaultOOMScoreAdjust-parametri tiedostoihin /etc/systemd/system.conf ja /etc/systemd/user.conf, jonka avulla voit säätää OOM-killer-kynnystä vähän muistia varten, jota voidaan soveltaa prosesseihin, jotka systemd käynnistää järjestelmän ja käyttäjien puolesta. Järjestelmäpalveluiden paino on oletusarvoisesti suurempi kuin käyttäjäpalveluilla, ts. Kun muistia ei ole riittävästi, käyttäjäpalvelujen päättymisen todennäköisyys on suurempi kuin järjestelmäpalveluiden.
  • Lisätty RestrictFileSystems-asetus, jonka avulla voit rajoittaa palveluiden pääsyä tietyntyyppisiin tiedostojärjestelmiin. Voit tarkastella käytettävissä olevia tiedostojärjestelmätyyppejä käyttämällä "systemd-analyze filesystems" -komentoa. Vastaavasti on toteutettu RestrictNetworkInterfaces -vaihtoehto, jonka avulla voit rajoittaa pääsyä tiettyihin verkkoliitäntöihin. Toteutus perustuu BPF LSM -moduuliin, joka rajoittaa prosessiryhmän pääsyn ydinobjekteihin.
  • Lisätty uusi /etc/integritytab-määritystiedosto ja systemd-integritysetup-apuohjelma, jotka määrittävät dm-integrity-moduulin ohjaamaan tietojen eheyttä sektoritasolla, esimerkiksi takaamaan salatun tiedon muuttumattomuuden (Authenticated Encryption, varmistaa, että tietolohkossa on ei ole muokattu kiertoradalla). /etc/integritytab-tiedoston muoto on samanlainen kuin /etc/crypttab- ja /etc/veritytab-tiedostojen muoto, paitsi että dm-integrityä käytetään dm-crypt ja dm-verity sijaan.
  • Uusi yksikkötiedosto systemd-boot-update.service on lisätty, kun aktivointi ja sd-boot bootloader asennetaan, systemd päivittää automaattisesti sd-boot bootloaderin version pitäen käynnistyslataimen koodin aina ajan tasalla. Itse sd-boot on nyt oletuksena rakennettu tukemaan SBAT (UEFI Secure Boot Advanced Targeting) -mekanismia, joka ratkaisee UEFI Secure Bootin varmenteen peruuttamiseen liittyvät ongelmat. Lisäksi sd-boot tarjoaa mahdollisuuden jäsentää Microsoft Windowsin käynnistysasetuksia, jotta käynnistysosien nimet voidaan luoda oikein Windowsissa ja näyttää Windows-version.

    sd-boot tarjoaa myös mahdollisuuden määrittää väriteeman rakennusvaiheessa. Käynnistyksen aikana lisätty tuki näytön resoluution muuttamiseen painamalla "r" -näppäintä. Lisätty pikanäppäin "f" siirtyäksesi laiteohjelmiston määritysliittymään. Lisätty tila, joka käynnistää järjestelmän automaattisesti, joka vastaa viimeisimmän käynnistyksen aikana valittua valikkokohtaa. Lisätty mahdollisuus ladata automaattisesti EFI-ohjaimet, jotka sijaitsevat /EFI/systemd/drivers/-hakemistossa ESP (EFI System Partition) -osiossa.

  • Mukana on uusi yksikkötiedosto factory-reset.target, joka käsitellään systemd-logindissa samalla tavalla kuin uudelleenkäynnistys-, virrankatkaisu-, keskeytys- ja lepotilatoimintoja, ja sitä käytetään käsittelijöiden luomiseen tehdasasetusten palauttamista varten.
  • Systemd-resolved prosessi luo nyt ylimääräisen kuunteluliittimen numeroon 127.0.0.54 127.0.0.53:n lisäksi. Numeroon 127.0.0.54 saapuvat pyynnöt ohjataan aina ylävirran DNS-palvelimelle, eikä niitä käsitellä paikallisesti.
  • Tarjosi mahdollisuuden rakentaa systemd-importd ja systemd-resolved OpenSSL-kirjastolla libgcryptin sijaan.
  • Lisätty alustava tuki Loongson-prosessoreissa käytetylle LoongArch-arkkitehtuurille.
  • systemd-gpt-auto-generator tarjoaa mahdollisuuden määrittää automaattisesti järjestelmän määrittämät sivutusosiot, jotka on salattu LUKS2-alijärjestelmällä.
  • GPT-kuvan jäsennyskoodi, jota käytetään systemd-nspawn-, systemd-dissect- ja vastaavissa apuohjelmissa, mahdollistaa kuvien purkamisen muille arkkitehtuureille, jolloin systemd-nspawn voidaan käyttää kuvien ajamiseen muiden arkkitehtuurien emulaattoreissa.
  • Tarkasteltaessa levykuvia systemd-dissect näyttää nyt tietoja osion tarkoituksesta, kuten soveltuvuus UEFI:n kautta käynnistettäviksi tai kontissa ajettavaksi.
  • "SYSEXT_SCOPE"-kenttä on lisätty system-extension.d/-tiedostoihin, jolloin voit ilmoittaa järjestelmäkuvan laajuuden - "initrd", "system" tai "portable".
  • OS-release-tiedostoon on lisätty "PORTABLE_PREFIXES" -kenttä, jota voidaan käyttää kannettavissa kuvissa tuettujen yksikkötiedostojen etuliitteiden määrittämiseen.
  • systemd-logind esittelee uudet asetukset HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress ja HandleHibernateKeyLongPress, joiden avulla voidaan määrittää, mitä tapahtuu, kun tiettyjä näppäimiä pidetään painettuna yli 5 sekuntia (esimerkiksi Suspend-näppäimen painaminen nopeasti valmiustilaan voidaan määrittää , ja kun sitä pidetään painettuna, se menee nukkumaan).
  • Yksiköille on toteutettu StartupAllowedCPUs- ja StartupAllowedMemoryNodes-asetukset, jotka eroavat vastaavista asetuksista ilman Startup-etuliitettä siinä, että niitä käytetään vain käynnistys- ja sammutusvaiheessa, jolloin voit asettaa muita resurssirajoituksia käynnistyksen aikana.
  • Lisätty [Condition|Assert][Memory|CPU|IO]Painetarkistukset, jotka mahdollistavat yksikön aktivoinnin ohituksen tai epäonnistumisen, jos PSI-mekanismi havaitsee järjestelmän muistin, suorittimen ja I/O:n raskaan kuormituksen.
  • /dev-osion oletusarvoa on nostettu 64k:sta 1M:iin ja /tmp-osion 400k:sta 1M:aan.
  • Palveluille on ehdotettu ExecSearchPath-asetusta, joka mahdollistaa ExecStartin kaltaisten asetusten kautta käynnistettyjen suoritettavien tiedostojen hakupolun muuttamisen.
  • Lisätty RuntimeRandomizedExtraSec-asetus, jonka avulla voit lisätä satunnaisia ​​poikkeamia RuntimeMaxSec-aikakatkaisuun, mikä rajoittaa yksikön suoritusaikaa.
  • RuntimeDirectory-, StateDirectory-, CacheDirectory- ja LogsDirectory-asetusten syntaksia on laajennettu, jossa määrittämällä kaksoispisteellä erotettu lisäarvo, voit nyt järjestää symbolisen linkin luomisen tiettyyn hakemistoon pääsyn järjestämiseksi useaa polkua pitkin.
  • Palveluille tarjotaan TTYRows- ja TTYColumns-asetuksia TTY-laitteen rivien ja sarakkeiden lukumäärän asettamiseksi.
  • Lisätty ExitType-asetus, jonka avulla voit muuttaa logiikkaa palvelun päättymisen määrittämiseksi. Oletuksena systemd tarkkailee vain pääprosessin kuolemaa, mutta jos ExitType=cgroup on asetettu, järjestelmänhallinta odottaa cgroupin viimeisen prosessin valmistumista.
  • systemd-cryptsetupin TPM2/FIDO2/PKCS11-tuen toteutus on nyt rakennettu myös salausasetukset-laajennukseksi, joka mahdollistaa salatun osion lukituksen avaamisen normaalilla cryptsetup-komennolla.
  • Systemd-cryptsetup/systemd-cryptsetup TPM2-käsittelijä lisää tuen RSA-ensisijaisille avaimille ECC-avainten lisäksi parantaakseen yhteensopivuutta muiden kuin ECC-sirujen kanssa.
  • Token-timeout-vaihtoehto on lisätty tiedostoon /etc/crypttab, jonka avulla voit määrittää enimmäisajan, joka kestää PKCS#11/FIDO2-tunnisteyhteyden odotusajan, jonka jälkeen sinua pyydetään antamaan salasana tai palautusavain.
  • systemd-timesyncd toteuttaa SaveIntervalSec-asetuksen, jonka avulla voit ajoittain tallentaa nykyisen järjestelmän ajan levylle esimerkiksi toteuttaaksesi monotonisen kellon järjestelmissä, joissa ei ole RTC:tä.
  • Systemd-analyze-apuohjelmaan on lisätty vaihtoehdot: "--image" ja "--root" yksikkötiedostojen tarkistamiseen tietyn kuvan tai juurihakemiston sisällä, "--recursive-errors" riippuvien yksiköiden huomioon ottamiseksi virheen sattuessa havaitaan, "--offline" tarkistaa erikseen levylle tallennetut yksikkötiedostot, "-json" tulostettaessa JSON-muodossa, "-quiet" poistaa käytöstä merkityksettömät viestit, "-profile" sitoutuu kannettavaan profiiliin. Lisäksi on lisätty inspect-elf-komento ydintiedostojen jäsentämiseksi ELF-muodossa ja mahdollisuus tarkistaa yksikkötiedostot tietyllä yksikön nimellä riippumatta siitä, vastaako tämä nimi tiedoston nimeä.
  • systemd-networkd on laajentanut tukea Controller Area Network (CAN) -väylälle. Lisätty asetukset CAN-tilojen ohjaamiseen: Loopback, OneShot, PresumeAck ja ClassicDataLengthCode. Lisätty TimeQuantansec, ProvagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimequantansec, DataProPaGationSegment, DataPaasebufferSegment1, DataphaseBufferSegment2 ja DataSyncjumpwidth -vaihtoehdot .Nettotiedostojen osaan.
  • Systemd-networkd on lisännyt DHCPv4-asiakkaalle Label-vaihtoehdon, jonka avulla voit määrittää IPv4-osoitteita määritettäessä käytettävän osoitetarran.
  • systemd-udevd for "ethtool" toteuttaa tuen erityisille "max"-arvoille, jotka asettavat puskurin koon laitteiston tukemaan enimmäisarvoon.
  • Systemd-udevd:n .link-tiedostoissa voit nyt määrittää erilaisia ​​parametreja verkkosovittimien yhdistämiseen ja laitteistokäsittelijöiden yhdistämiseen (offload).
  • systemd-networkd tarjoaa oletuksena uusia .network-tiedostoja: 80-container-vb.network määrittää verkkosiltoja, jotka luodaan, kun systemd-nspawn suoritetaan "--network-bridge"- tai "--network-zone"-vaihtoehdoilla; 80-6rd-tunnel.network määrittää tunneleita, jotka luodaan automaattisesti, kun vastaanotetaan DHCP-vastaus 6RD-vaihtoehdolla.
  • Systemd-networkd ja systemd-udevd ovat lisänneet tuen IP-lähetykselle InfiniBand-liitäntöjen kautta, joita varten systemd.netdev-tiedostoihin on lisätty "[IPoIB]"-osio ja "ipoib"-arvon käsittely on toteutettu Kindissä. asetusta.
  • systemd-networkd tarjoaa automaattisen reitin määrityksen AllowedIPs-parametrissa määritetyille osoitteille, jotka voidaan määrittää RouteTable- ja RouteMetric-parametreilla [WireGuard]- ja [WireGuardPeer]-osioissa.
  • systemd-networkd tarjoaa automaattisesti muuttumattomien MAC-osoitteiden luomisen batadv- ja siltaliitäntöihin. Voit poistaa tämän toiminnan käytöstä määrittämällä .netdev-tiedostoissa MACAddress=none.
  • WakeOnLanPassword-asetus on lisätty "[Link]"-osion .link-tiedostoihin salasanan määrittämiseksi, kun WoL on käynnissä "SecureOn"-tilassa.
  • Lisätty AutoRateIngress-, CompensationMode-, FlowIsolationMode-, NAT-, MPUBytes-, PriorityQueueingPreset-, FirewallMark-, Wash-, SplitGSO- ja UseRawPacketSize-asetukset .network-tiedostojen "[CAKE]"-osioon, jotta voidaan määrittää CAKE- (Commonance Applicationd) -verkon parametrit. .
  • Lisätty IgnoreCarrierLoss-asetus .network-tiedostojen "[Network]"-osioon, jonka avulla voit määrittää, kuinka kauan sinun on odotettava, ennen kuin reagoit kantoaaltosignaalin katoamiseen.
  • Systemd-nspawn, homectl, machinectl ja systemd-run ovat laajentaneet parametrin "--setenv" syntaksia - jos vain muuttujan nimi on määritetty (ilman "="", arvo otetaan vastaavasta ympäristömuuttujasta esimerkiksi määritettäessä "--setenv=FOO", arvo otetaan ympäristömuuttujasta $FOO ja sitä käytetään säilön samannimisessä ympäristömuuttujassa.
  • systemd-nspawn on lisännyt vaihtoehdon "--suppress-sync" poistaakseen sync()/fsync()/fdatasync() järjestelmäkutsut käytöstä säilöä luotaessa (hyödyllinen, kun nopeus on prioriteetti ja koontiartefaktien säilyttäminen epäonnistumisen varalta tärkeitä, koska ne voidaan luoda uudelleen milloin tahansa).
  • Uusi hwdb-tietokanta on lisätty, joka sisältää erilaisia ​​signaalianalysaattoreita (monimittarit, protokolla-analysaattorit, oskilloskoopit jne.). Hwdb:n kameroita koskevia tietoja on laajennettu kentällä, joka sisältää tietoja kameran tyypistä (tavallinen tai infrapuna) ja objektiivin sijoittelusta (etu- tai takaosa).
  • Sallittu muuttumattomien verkkoliitäntöjen nimien luominen Xenissä käytetyille netfront-laitteille.
  • Libdw/libelf-kirjastoihin perustuvan systemd-coredump-apuohjelman ydintiedostojen analysointi suoritetaan nyt erillisessä prosessissa, joka on eristetty hiekkalaatikkoympäristössä.
  • systemd-importd on lisännyt tuen ympäristömuuttujille $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, joilla voit estää Btrfs-aliosien luomisen sekä määrittää kiintiöitä ja levyn synkronoinnin.
  • Systemd-journaldissa kopiointi-kirjoitustilaa tukevissa tiedostojärjestelmissä COW-tila otetaan uudelleen käyttöön arkistoiduille päiväkirjoille, jolloin ne voidaan pakata Btrfs:n avulla.
  • systemd-journald toteuttaa identtisten kenttien duplikoinnin poistamisen yhdessä viestissä, joka suoritetaan vaiheessa ennen sanoman sijoittamista päiväkirjaan.
  • Lisätty "--show" vaihtoehto sammutuskomentoon näyttääksesi ajoitetun sammutuksen.

Lähde: opennet.ru

Lisää kommentti