ProHoster > Blogi > netin uutisia > systemd System Managerin julkaisu 242

systemd System Managerin julkaisu 242

[: Ru]

Kahden kuukauden kehitystyön jälkeen esitetty järjestelmänhallinnan julkaisu systemd 242. Innovaatioista voidaan mainita tuki L2TP-tunneleille, mahdollisuus hallita systemd-logindin käyttäytymistä uudelleenkäynnistettäessä ympäristömuuttujien kautta, tuki laajennetuille XBOOTLDR-käynnistysosioille asennusta varten /boot, mahdollisuus käynnistää pääosioilla overlayfeissa, sekä suuri määrä uusia asetuksia erityyppisille yksiköille.

Suurimmat muutokset:

  • systemd-networkd tukee L2TP-tunneleita;
  • sd-boot ja bootctl tarjoavat tuen XBOOTLDR-osioille (Extended Boot Loader), jotka on suunniteltu asennettaviksi /boot-kansioon /efi- tai /boot/efi-kansioon asennettujen ESP-osioiden lisäksi. Ytimet, asetukset, initrd- ja EFI-otokset voidaan nyt käynnistää sekä ESP- että XBOOTLDR-osioista. Tämä muutos mahdollistaa sd-boot bootloaderin käytön konservatiivisemmissa skenaarioissa, kun itse käynnistyslatain sijaitsee ESP:ssä ja ladatut ytimet ja niihin liittyvät metatiedot on sijoitettu erilliseen osioon;
  • Lisätty mahdollisuus käynnistää ytimelle välitetyllä "systemd.volatile=overlay"-vaihtoehdolla, jonka avulla voit sijoittaa juuriosion peittokuvaan ja järjestää työn juurihakemiston vain luku -kuvan päälle ja muutokset kirjoitetaan erillinen hakemisto tmpfs:ssä (tämän kokoonpanon muutokset menetetään uudelleenkäynnistyksen jälkeen) . Analogisesti systemd-nspawn on lisännyt "--volatile=overlay"-vaihtoehdon käyttääkseen samanlaisia ​​toimintoja säilöissä;
  • systemd-nspawn on lisännyt "--oci-bundle"-vaihtoehdon, jotta ajonaikaisten pakettien käyttö mahdollistaa Open Container Initiative (OCI) -määrityksen mukaisten säiliöiden erillisen käynnistämisen. Käytettäviksi komentorivi- ja nspawn-yksiköissä ehdotetaan tukea erilaisille OCI-määrityksessä kuvatuille vaihtoehdoille, esimerkiksi "--inaccessible"- ja "Inaccessible"-vaihtoehtoja voidaan käyttää tiedostojärjestelmän osien poissulkemiseen ja " --console” valintoja on lisätty vakiolähtövirtojen ja "-pipe":n konfigurointiin;
  • Lisätty mahdollisuus hallita systemd-logindin toimintaa ympäristömuuttujien avulla: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU ja
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. Näiden muuttujien avulla voit yhdistää omat uudelleenkäynnistysprosessin käsittelijät (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu ja
    /run/systemd/reboot-to-boot-loader-entry) tai poista ne kokonaan käytöstä (jos arvoksi on asetettu false);

  • Lisätty asetukset “-boot-load-menu=” ja
    "—boot-loader-entry=", jonka avulla voit valita tietyn käynnistysvalikon kohdan tai käynnistystilan uudelleenkäynnistyksen jälkeen;

  • Lisätty uusi hiekkalaatikon eristyskomento “RestrictSUIDSGID=”, joka käyttää seccompia estämään tiedostojen luomisen SUID/SGID-lipuilla;
  • Varmistettu, että "NoNewPrivileges"- ja "RestrictSUIDSGID"-rajoitukset ovat oletuksena käytössä palveluissa, joissa on dynaaminen käyttäjätunnuksen luontitila ("DynamicUser" käytössä);
  • Oletusasetus MACAddressPolicy=persistent .link-tiedostoissa on muutettu kattamaan useampia laitteita. Verkkosiltojen, tunnelien (tun, tap) ja aggregoitujen linkkien (bond) rajapinnat eivät tunnista itseään muuten kuin verkkoliitännän nimen perusteella, joten tätä nimeä käytetään nyt MAC- ja IPv4-osoitteiden sitomisen perustana. Lisäksi on lisätty asetus “MACAddressPolicy=random”, jolla voidaan sitoa MAC- ja IPv4-osoitteita laitteisiin satunnaisessa järjestyksessä;
  • Systemd-fstab-generatorin avulla luodut ".device"-yksikkötiedostot eivät enää sisällä vastaavia ".mount"-yksiköitä riippuvuuksina "Wants="-osiossa. Laitteen liittäminen ei enää automaattisesti käynnistä yksikköä asennettavaksi, mutta tällaiset yksiköt voidaan silti käynnistää muista syistä, kuten osana local-fs.target-tiedostoa tai riippuvuutena muista yksiköistä, jotka riippuvat local-fs.targetista. ;
  • Lisätty tuki maskeille ("*" jne.) "networkctl list/status/lldp" -komentoihin tiettyjen verkkoliityntäryhmien suodattamiseksi niiden nimen osan perusteella.
  • Ympäristömuuttuja $PIDFILE asetetaan nyt käyttämällä absoluuttista polkua, joka on määritetty palveluissa parametrin "PIDFile=;" kautta.
  • Julkiset Cloudflare-palvelimet (1.1.1.1) on lisätty käytettävien DNS-varapalvelimien määrään, jos pää-DNS:tä ei ole erikseen määritelty. Voit määrittää DNS-varmuuspalvelimien luettelon uudelleen käyttämällä "-Ddns-servers=" -vaihtoehtoa;
  • Kun USB-laiteohjaimen läsnäolo havaitaan, uusi usb-gadget.target-käsittelijä käynnistetään automaattisesti (kun järjestelmä on käynnissä USB-oheislaitteella);
  • Yksikkötiedostoille on otettu käyttöön "CPUQuotaPeriodSec="-asetus, joka määrittää ajanjakson, johon suhteutettuna suorittimen aikakiintiö mitataan, asetettuna "CPUQuota="-asetuksen kautta.
  • Yksikkötiedostoille on otettu käyttöön "ProtectHostname="-asetus, joka estää palveluita muuttamasta isäntänimeä koskevia tietoja, vaikka niillä olisi asianmukaiset käyttöoikeudet.
  • Yksikkötiedostoille on otettu käyttöön "NetworkNamespacePath="-asetus, jonka avulla voit sitoa nimitilan palveluihin tai socket-yksiköihin määrittämällä nimiavaruustiedoston polun pseudo-FS /proc;
  • Lisätty mahdollisuus poistaa ympäristömuuttujien korvaaminen käytöstä "ExecStart="-asetuksella käynnistetyissä prosesseissa lisäämällä ":"-merkki ennen aloituskomentoa;
  • Ajastimille (.ajastinyksiköille) uudet liput “OnClockChange=” ja
    "OnTimezoneChange=", jolla voit ohjata yksikön kutsua, kun järjestelmän aika tai aikavyöhyke muuttuu;

  • Lisätty uudet asetukset “ConditionMemory=” ja “ConditionCPUs=”, jotka määrittävät yksikön kutsumisen ehdot muistin koosta ja prosessoriytimien lukumäärän mukaan (esim. resurssiintensiivinen palvelu voidaan käynnistää vain, jos tarvittava määrä RAM on saatavilla);
  • Lisätty uusi time-set.target-yksikkö, joka hyväksyy paikallisesti asetetun järjestelmäajan käyttämättä täsmäyttämistä ulkoisten aikapalvelimien kanssa käyttämällä time-sync.target-yksikköä. Uutta yksikköä voivat käyttää palvelut, jotka tarvitsevat synkronoimattomien paikallisten kellojen tarkkuuden;
  • Valinta "--show-transaction" on lisätty "systemctl start" -komentoihin ja vastaaviin komentoihin, kun se on määritetty, yhteenveto kaikista töistä, jotka on lisätty jonoon pyydetyn toiminnon vuoksi, näytetään;
  • systemd-networkd toteuttaa uuden tilan "orjuu" määritelmän, jota käytetään "degraded" tai "carrier" sijasta verkkoliitännöissä, jotka ovat osa yhdistettyjä linkkejä tai verkkosiltoja. Ensisijaisille rajapinnoille, jos jossakin yhdistelmälinkissä on ongelmia, on lisätty "heikentyneen kantoaallon" tila;
  • Lisätty "IgnoreCarrierLoss=" vaihtoehto .verkkoyksiköihin verkkoasetusten tallentamiseksi yhteyden katkeamisen varalta.
  • Verkkoyksiköiden RequiredForOnline=-asetuksen avulla voit nyt asettaa vähimmäishyväksyttävän linkin tilan, joka vaaditaan verkkoliitännän siirtämiseen online-tilaan ja käynnistää systemd-networkd-wait-online-käsittelijä.
  • Lisätty "--any"-vaihtoehto kohtaan systemd-networkd-wait-online odottaa minkä tahansa määritetyn verkkorajapinnan valmiutta kaikkien sijasta, sekä vaihtoehto "--operational-state=" määrittääksesi tilan. valmiutta osoittava linkki;
  • Lisätty "UseAutonomousPrefix=" ja "UseOnLinkPrefix=" asetukset .verkkoyksiköihin, joita voidaan käyttää ohittamaan etuliitteet vastaanotettaessa
    ilmoitus IPv6-reitittimestä (RA, Router Advertisement);

  • Verkkoyksiköissä "MulticastFlood=", "NeighborSuppression=" ja "Learning=" on lisätty asetukset muuttamaan verkkosillan toimintaparametreja sekä "TripleSampling="-asetus muuttaa TRIPLE-SAMPLING-tilaa. CAN-virtuaalirajapinnoista;
  • “PrivateKeyFile=”- ja “PresharedKeyFile=”-asetukset on lisätty .netdev-yksiköihin, joilla voit määrittää yksityisiä ja jaettuja (PSK) avaimia WireGuard VPN -liitäntöihin;
  • Lisätty sama-cpu-crypt- ja submit-from-crypt-cpus-asetukset tiedostoon /etc/crypttab, jotka ohjaavat ajoittimen toimintaa siirrettäessä salaukseen liittyvää työtä suorittimen ytimien välillä;
  • systemd-tmpfiles tarjoaa lukitustiedostojen käsittelyn ennen toimintojen suorittamista hakemistoissa, joissa on väliaikaisia ​​tiedostoja, mikä mahdollistaa vanhentuneiden tiedostojen puhdistuksen poistamisen käytöstä tiettyjen toimintojen ajaksi (esimerkiksi kun purat tar-arkiston /tmp-tiedostossa, erittäin vanhat tiedostot voivat olla avattu, jota ei voi poistaa ennen niiden kanssa suoritetun toiminnon päättymistä);
  • "systemd-analyze cat-config" -komento antaa mahdollisuuden analysoida useisiin tiedostoihin jaettua kokoonpanoa, esimerkiksi käyttäjän ja järjestelmän esiasetuksia, tiedostojen tmpfiles.d ja sysusers.d sisältöjä, udev-sääntöjä jne.
  • Lisätty "--cursor-file="-vaihtoehto kohtaan "journalctl", joka määrittää ladattavan tiedoston ja tallentaa sijaintikohdistimen;
  • Lisätty ACRN-hypervisorin ja WSL-alijärjestelmän (Windows Subsystem for Linux) määritelmä systemd-detect-virtiin myöhempää haarautumista varten ehdollisen operaattorin "ConditionVirtualization" avulla;
  • systemd-asennuksen aikana (kun suoritat "ninja-asennusta") symbolisten linkkien luominen tiedostoihin systemd-networkd.service, systemd-networkd.socket,
    systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
    systemd-networkd-wait-online.service ja systemd-timesyncd.service. Näiden tiedostojen luomiseksi sinun on nyt suoritettava "systemctl preset-all" -komento.

Lähdeopennet.ru

[En]

Kahden kuukauden kehitystyön jälkeen esitetty järjestelmänhallinnan julkaisu systemd 242. Innovaatioista voidaan mainita tuki L2TP-tunneleille, mahdollisuus hallita systemd-logindin käyttäytymistä uudelleenkäynnistettäessä ympäristömuuttujien kautta, tuki laajennetuille XBOOTLDR-käynnistysosioille asennusta varten /boot, mahdollisuus käynnistää pääosioilla overlayfeissa, sekä suuri määrä uusia asetuksia erityyppisille yksiköille.

Suurimmat muutokset:

  • systemd-networkd tukee L2TP-tunneleita;
  • sd-boot ja bootctl tarjoavat tuen XBOOTLDR-osioille (Extended Boot Loader), jotka on suunniteltu asennettaviksi /boot-kansioon /efi- tai /boot/efi-kansioon asennettujen ESP-osioiden lisäksi. Ytimet, asetukset, initrd- ja EFI-otokset voidaan nyt käynnistää sekä ESP- että XBOOTLDR-osioista. Tämä muutos mahdollistaa sd-boot bootloaderin käytön konservatiivisemmissa skenaarioissa, kun itse käynnistyslatain sijaitsee ESP:ssä ja ladatut ytimet ja niihin liittyvät metatiedot on sijoitettu erilliseen osioon;
  • Lisätty mahdollisuus käynnistää ytimelle välitetyllä "systemd.volatile=overlay"-vaihtoehdolla, jonka avulla voit sijoittaa juuriosion peittokuvaan ja järjestää työn juurihakemiston vain luku -kuvan päälle ja muutokset kirjoitetaan erillinen hakemisto tmpfs:ssä (tämän kokoonpanon muutokset menetetään uudelleenkäynnistyksen jälkeen) . Analogisesti systemd-nspawn on lisännyt "--volatile=overlay"-vaihtoehdon käyttääkseen samanlaisia ​​toimintoja säilöissä;
  • systemd-nspawn on lisännyt "--oci-bundle"-vaihtoehdon, jotta ajonaikaisten pakettien käyttö mahdollistaa Open Container Initiative (OCI) -määrityksen mukaisten säiliöiden erillisen käynnistämisen. Käytettäviksi komentorivi- ja nspawn-yksiköissä ehdotetaan tukea erilaisille OCI-määrityksessä kuvatuille vaihtoehdoille, esimerkiksi "--inaccessible"- ja "Inaccessible"-vaihtoehtoja voidaan käyttää tiedostojärjestelmän osien poissulkemiseen ja " --console” valintoja on lisätty vakiolähtövirtojen ja "-pipe":n konfigurointiin;
  • Lisätty mahdollisuus hallita systemd-logindin toimintaa ympäristömuuttujien avulla: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU ja
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. Näiden muuttujien avulla voit yhdistää omat uudelleenkäynnistysprosessin käsittelijät (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu ja
    /run/systemd/reboot-to-boot-loader-entry) tai poista ne kokonaan käytöstä (jos arvoksi on asetettu false);

  • Lisätty asetukset “-boot-load-menu=” ja
    "—boot-loader-entry=", jonka avulla voit valita tietyn käynnistysvalikon kohdan tai käynnistystilan uudelleenkäynnistyksen jälkeen;

  • Lisätty uusi hiekkalaatikon eristyskomento “RestrictSUIDSGID=”, joka käyttää seccompia estämään tiedostojen luomisen SUID/SGID-lipuilla;
  • Varmistettu, että "NoNewPrivileges"- ja "RestrictSUIDSGID"-rajoitukset ovat oletuksena käytössä palveluissa, joissa on dynaaminen käyttäjätunnuksen luontitila ("DynamicUser" käytössä);
  • Oletusasetus MACAddressPolicy=persistent .link-tiedostoissa on muutettu kattamaan useampia laitteita. Verkkosiltojen, tunnelien (tun, tap) ja aggregoitujen linkkien (bond) rajapinnat eivät tunnista itseään muuten kuin verkkoliitännän nimen perusteella, joten tätä nimeä käytetään nyt MAC- ja IPv4-osoitteiden sitomisen perustana. Lisäksi on lisätty asetus “MACAddressPolicy=random”, jolla voidaan sitoa MAC- ja IPv4-osoitteita laitteisiin satunnaisessa järjestyksessä;
  • Systemd-fstab-generatorin avulla luodut ".device"-yksikkötiedostot eivät enää sisällä vastaavia ".mount"-yksiköitä riippuvuuksina "Wants="-osiossa. Laitteen liittäminen ei enää automaattisesti käynnistä yksikköä asennettavaksi, mutta tällaiset yksiköt voidaan silti käynnistää muista syistä, kuten osana local-fs.target-tiedostoa tai riippuvuutena muista yksiköistä, jotka riippuvat local-fs.targetista. ;
  • Lisätty tuki maskeille ("*" jne.) "networkctl list/status/lldp" -komentoihin tiettyjen verkkoliityntäryhmien suodattamiseksi niiden nimen osan perusteella.
  • Ympäristömuuttuja $PIDFILE asetetaan nyt käyttämällä absoluuttista polkua, joka on määritetty palveluissa parametrin "PIDFile=;" kautta.
  • Julkiset Cloudflare-palvelimet (1.1.1.1) on lisätty käytettävien DNS-varapalvelimien määrään, jos pää-DNS:tä ei ole erikseen määritelty. Voit määrittää DNS-varmuuspalvelimien luettelon uudelleen käyttämällä "-Ddns-servers=" -vaihtoehtoa;
  • Kun USB-laiteohjaimen läsnäolo havaitaan, uusi usb-gadget.target-käsittelijä käynnistetään automaattisesti (kun järjestelmä on käynnissä USB-oheislaitteella);
  • Yksikkötiedostoille on otettu käyttöön "CPUQuotaPeriodSec="-asetus, joka määrittää ajanjakson, johon suhteutettuna suorittimen aikakiintiö mitataan, asetettuna "CPUQuota="-asetuksen kautta.
  • Yksikkötiedostoille on otettu käyttöön "ProtectHostname="-asetus, joka estää palveluita muuttamasta isäntänimeä koskevia tietoja, vaikka niillä olisi asianmukaiset käyttöoikeudet.
  • Yksikkötiedostoille on otettu käyttöön "NetworkNamespacePath="-asetus, jonka avulla voit sitoa nimitilan palveluihin tai socket-yksiköihin määrittämällä nimiavaruustiedoston polun pseudo-FS /proc;
  • Lisätty mahdollisuus poistaa ympäristömuuttujien korvaaminen käytöstä "ExecStart="-asetuksella käynnistetyissä prosesseissa lisäämällä ":"-merkki ennen aloituskomentoa;
  • Ajastimille (.ajastinyksiköille) uudet liput “OnClockChange=” ja
    "OnTimezoneChange=", jolla voit ohjata yksikön kutsua, kun järjestelmän aika tai aikavyöhyke muuttuu;

  • Lisätty uudet asetukset “ConditionMemory=” ja “ConditionCPUs=”, jotka määrittävät yksikön kutsumisen ehdot muistin koosta ja prosessoriytimien lukumäärän mukaan (esim. resurssiintensiivinen palvelu voidaan käynnistää vain, jos tarvittava määrä RAM on saatavilla);
  • Lisätty uusi time-set.target-yksikkö, joka hyväksyy paikallisesti asetetun järjestelmäajan käyttämättä täsmäyttämistä ulkoisten aikapalvelimien kanssa käyttämällä time-sync.target-yksikköä. Uutta yksikköä voivat käyttää palvelut, jotka tarvitsevat synkronoimattomien paikallisten kellojen tarkkuuden;
  • Valinta "--show-transaction" on lisätty "systemctl start" -komentoihin ja vastaaviin komentoihin, kun se on määritetty, yhteenveto kaikista töistä, jotka on lisätty jonoon pyydetyn toiminnon vuoksi, näytetään;
  • systemd-networkd toteuttaa uuden tilan "orjuu" määritelmän, jota käytetään "degraded" tai "carrier" sijasta verkkoliitännöissä, jotka ovat osa yhdistettyjä linkkejä tai verkkosiltoja. Ensisijaisille rajapinnoille, jos jossakin yhdistelmälinkissä on ongelmia, on lisätty "heikentyneen kantoaallon" tila;
  • Lisätty "IgnoreCarrierLoss=" vaihtoehto .verkkoyksiköihin verkkoasetusten tallentamiseksi yhteyden katkeamisen varalta.
  • Verkkoyksiköiden RequiredForOnline=-asetuksen avulla voit nyt asettaa vähimmäishyväksyttävän linkin tilan, joka vaaditaan verkkoliitännän siirtämiseen online-tilaan ja käynnistää systemd-networkd-wait-online-käsittelijä.
  • Lisätty "--any"-vaihtoehto kohtaan systemd-networkd-wait-online odottaa minkä tahansa määritetyn verkkorajapinnan valmiutta kaikkien sijasta, sekä vaihtoehto "--operational-state=" määrittääksesi tilan. valmiutta osoittava linkki;
  • Lisätty "UseAutonomousPrefix=" ja "UseOnLinkPrefix=" asetukset .verkkoyksiköihin, joita voidaan käyttää ohittamaan etuliitteet vastaanotettaessa
    ilmoitus IPv6-reitittimestä (RA, Router Advertisement);

  • Verkkoyksiköissä "MulticastFlood=", "NeighborSuppression=" ja "Learning=" on lisätty asetukset muuttamaan verkkosillan toimintaparametreja sekä "TripleSampling="-asetus muuttaa TRIPLE-SAMPLING-tilaa. CAN-virtuaalirajapinnoista;
  • “PrivateKeyFile=”- ja “PresharedKeyFile=”-asetukset on lisätty .netdev-yksiköihin, joilla voit määrittää yksityisiä ja jaettuja (PSK) avaimia WireGuard VPN -liitäntöihin;
  • Lisätty sama-cpu-crypt- ja submit-from-crypt-cpus-asetukset tiedostoon /etc/crypttab, jotka ohjaavat ajoittimen toimintaa siirrettäessä salaukseen liittyvää työtä suorittimen ytimien välillä;
  • systemd-tmpfiles tarjoaa lukitustiedostojen käsittelyn ennen toimintojen suorittamista hakemistoissa, joissa on väliaikaisia ​​tiedostoja, mikä mahdollistaa vanhentuneiden tiedostojen puhdistuksen poistamisen käytöstä tiettyjen toimintojen ajaksi (esimerkiksi kun purat tar-arkiston /tmp-tiedostossa, erittäin vanhat tiedostot voivat olla avattu, jota ei voi poistaa ennen niiden kanssa suoritetun toiminnon päättymistä);
  • "systemd-analyze cat-config" -komento antaa mahdollisuuden analysoida useisiin tiedostoihin jaettua kokoonpanoa, esimerkiksi käyttäjän ja järjestelmän esiasetuksia, tiedostojen tmpfiles.d ja sysusers.d sisältöjä, udev-sääntöjä jne.
  • Lisätty "--cursor-file="-vaihtoehto kohtaan "journalctl", joka määrittää ladattavan tiedoston ja tallentaa sijaintikohdistimen;
  • Lisätty ACRN-hypervisorin ja WSL-alijärjestelmän (Windows Subsystem for Linux) määritelmä systemd-detect-virtiin myöhempää haarautumista varten ehdollisen operaattorin "ConditionVirtualization" avulla;
  • systemd-asennuksen aikana (kun suoritat "ninja-asennusta") symbolisten linkkien luominen tiedostoihin systemd-networkd.service, systemd-networkd.socket,
    systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
    systemd-networkd-wait-online.service ja systemd-timesyncd.service. Näiden tiedostojen luomiseksi sinun on nyt suoritettava "systemctl preset-all" -komento.

Lähde: opennet.ru

[:]

Lisää kommentti