ProHoster > Blogi > netin uutisia > systemd System Managerin julkaisu 248

systemd System Managerin julkaisu 248

Neljän kuukauden kehitystyön jälkeen esitellään järjestelmänhallintajärjestelmän julkaisu systemd 248. Uusi julkaisu tukee järjestelmähakemistojen laajentamista, /etc/veritytab-määritystiedostoa, systemd-cryptenroll-apuohjelmaa, LUKS2:n avaamista TPM2-sirujen avulla ja FIDO2:ta. tunnukset, käynnissä olevat yksiköt eristetyssä IPC-tunnistetilassa, BATMAN-protokolla mesh-verkkoja varten, nftables-taustajärjestelmä systemd-nspawnille. Systemd-oomd on vakiintunut.

Suurimmat muutokset:

  • Järjestelmän laajennusotoskonsepti on otettu käyttöön, jolla voidaan laajentaa /usr/- ja /opt/-hakemistojen hierarkiaa ja lisätä muita tiedostoja ajon aikana, vaikka määritetyt hakemistot olisi liitetty vain luku -muotoon. Kun järjestelmälaajennuksen näköistiedosto liitetään, sen sisältö peitetään /usr/- ja /opt/-hierarkiassa OverlayFS:n avulla.

    Uutta apuohjelmaa, systemd-sysext, on ehdotettu yhdistämään, katkaisemaan, tarkastelemaan ja päivittämään järjestelmälaajennusten kuvia. Systemd-sysext.service-palvelu on lisätty, jotta jo asennetut kuvat voidaan yhdistää automaattisesti käynnistyksen aikana. Lisätty "SYSEXT_LEVEL="-parametri os-release-tiedostoon tuettujen järjestelmälaajennusten tason määrittämiseksi.

  • Yksiköille on otettu käyttöön ExtensionImages-asetus, jonka avulla voidaan linkittää järjestelmälaajennuskuvia yksittäisten eristettyjen palvelujen FS-nimitilahierarkiaan.
  • Lisätty /etc/veritytab-määritystiedosto, jolla määritetään tietojen vahvistus lohkotasolla dm-verity-moduulin avulla. Tiedostomuoto on samanlainen kuin /etc/crypttab - "osion_nimi laite_tietojen_laitteen_hasheille check_hash_root options." Lisätty systemd.verity.root_options ytimen komentorivivaihtoehto, jolla määritetään juurilaitteen dm-verity-käyttäytyminen.
  • systemd-cryptsetup lisää mahdollisuuden purkaa PKCS#11-tunnuksen URI ja salattu avain LUKS2-metatietojen otsikosta JSON-muodossa, jolloin salatun laitteen avaamista koskevat tiedot voidaan integroida itse laitteeseen ilman ulkoisia tiedostoja.
  • systemd-cryptsetup tukee LUKS2-salattujen osioiden lukituksen avaamista käyttämällä TPM2-siruja ja FIDO2-tunnisteita aiemmin tuettujen PKCS#11-tunnisteiden lisäksi. Libfido2:n lataus tapahtuu dlopen()-komennolla, ts. saatavuus tarkistetaan lennossa, ei kiinteänä riippuvuutena.
  • Uudet vaihtoehdot "no-write-workqueue" ja "no-read-workqueue" on lisätty /etc/crypttab-tiedostoon systemd-cryptsetup mahdollistaakseen salaukseen ja salauksen purkamiseen liittyvien I/O:iden synkronisen käsittelyn.
  • Systemd-repart-apuohjelma on lisännyt mahdollisuuden aktivoida salattuja osioita käyttämällä TPM2-siruja, esimerkiksi salatun /var-osion luomiseksi ensimmäisessä käynnistyksessä.
  • Systemd-cryptenroll-apuohjelma on lisätty sitomaan TPM2-, FIDO2- ja PKCS#11-tunnisteita LUKS-osioihin sekä poistamaan ja tarkastelemaan tunnisteita, sitomaan vara-avaimia ja määrittämään pääsyn salasana.
  • Lisätty PrivateIPC-parametri, jonka avulla voit määrittää yksikkötiedoston suorittamaan prosesseja eristetyssä IPC-tilassa omilla erillisillä tunnisteilla ja viestijonoilla. Jos haluat yhdistää yksikön jo luotuun IPC-tunnistetilaan, ehdotetaan IPCNamespacePath-vaihtoehtoa.
  • Lisätty ExecPaths- ja NoExecPaths-asetukset, jotta noexec-lippu voidaan soveltaa tiettyihin tiedostojärjestelmän osiin.
  • systemd-networkd lisää tuen BATMAN (Better Approach To Mobile Adhoc Networking) mesh-protokollalle, joka mahdollistaa hajautettujen verkkojen luomisen, joissa jokainen solmu on kytketty naapurisolmujen kautta. Määritystä varten ehdotetaan [BatmanAdvanced]-osiota .netdev-tiedostossa, BatmanAdvanced-parametria .network-tiedostoissa ja uutta laitetyyppiä "batadv".
  • Alhaisen muistin varhaisen reagoinnin mekanismin toteutus systemd-oomd-järjestelmässä on vakiintunut. Lisätty DefaultMemoryPressureDurationSec-vaihtoehto, jolla määritetään odotusaika resurssin vapauttamiselle ennen kuin se vaikuttaa yksikköön. Systemd-oomd käyttää PSI-ytimen (Pressure Stall Information) -ytimen alijärjestelmää ja mahdollistaa resurssien puutteesta johtuvien viiveiden alkamisen ja valikoivasti resurssiintensiivisten prosessien lopettamisen vaiheessa, jossa järjestelmä ei ole vielä kriittisessä tilassa eikä alkaa leikata intensiivisesti välimuistia ja siirtää tietoja swap-osioon.
  • Lisätty ytimen komentoriviparametri "root=tmpfs", jonka avulla voit liittää juuriosion väliaikaiseen tallennustilaan, joka sijaitsee RAM-muistissa Tmpfs:n avulla.
  • Avaintiedoston määrittävä parametri /etc/crypttab voi nyt osoittaa AF_UNIX- ja SOCK_STREAM-kantatyyppejä. Tällöin avain on annettava liitettäessä pistorasiaan, jolla voidaan esimerkiksi luoda palveluita, jotka antavat avaimia dynaamisesti.
  • Varaisäntänimi järjestelmänhallinnan ja systemd-hostnamed:n käyttöön voidaan nyt asettaa kahdella tavalla: OS-release-parametrin DEFAULT_HOSTNAME kautta ja ympäristömuuttujan $SYSTEMD_DEFAULT_HOSTNAME kautta. systemd-hostnamed käsittelee myös "localhost" isäntänimessä ja lisää mahdollisuuden viedä isäntänimi sekä "HardwareVendor"- ja "HardwareModel"-ominaisuudet DBusin kautta.
  • Paljastetut ympäristömuuttujat sisältävä lohko voidaan nyt määrittää uudella ManagerEnvironment-vaihtoehdolla tiedostossa system.conf tai user.conf, ei vain ytimen komentorivin ja yksikkötiedostoasetusten kautta.
  • Käännöshetkellä on mahdollista käyttää fexecve()-järjestelmäkutsua prosessien käynnistämiseen execve():n sijaan, mikä vähentää viivettä suojauskontekstin tarkistamisen ja sen soveltamisen välillä.
  • Yksikkötiedostoille on lisätty uudet ehdolliset toiminnot ConditionSecurity=tpm2 ja ConditionCPUFeature, jotka tarkistavat TPM2-laitteiden ja yksittäisten suorittimen ominaisuuksien olemassaolon (esim. ConditionCPUFeature=rdrand voidaan käyttää tarkistamaan, tukeeko prosessori RDRAND-toimintoa).
  • Saatavilla oleville ytimille on otettu käyttöön automaattinen järjestelmäkutsutaulukoiden luominen seccomp-suodattimille.
  • Lisätty mahdollisuus korvata uusia sidosliitoksia palveluiden olemassa oleviin mount-nimiavaruuksiin käynnistämättä palveluita uudelleen. Korvaus suoritetaan komennoilla 'systemctl bind ..." ja "systemctl mount-image …'.
  • Lisätty tuki polkujen määrittämiselle StandardOutput- ja StandardError-asetuksissa muodossa "trumpu: » puhdistukseen ennen käyttöä.
  • Lisätty mahdollisuus muodostaa yhteys tietyn käyttäjän istuntoon paikallisessa säilössä sd-väylään. Esimerkiksi "systemctl -user -M lennart@ start quux".
  • Seuraavat parametrit on toteutettu [Link]-osion systemd.link-tiedostoissa:
    • Promiscuous - antaa sinun vaihtaa laitteen "promiscuous"-tilaan käsitelläksesi kaikkia verkkopaketteja, mukaan lukien ne, joita ei ole osoitettu nykyiselle järjestelmälle;
    • TransmitQueues ja ReceiveQueues TX- ja RX-jonojen määrän asettamiseen;
    • TransmitQueueLength asettaa TX-jonon koon; GenericSegmentOffloadMaxBytes ja GenericSegmentOffloadMaxSegment GRO (Generic Receive Offload) -tekniikan käytölle asetettujen rajoitusten asettamiseen.
  • Systemd.network-tiedostoihin on lisätty uusia asetuksia:
    • [Network] RouteTable valitaksesi reititystaulukon;
    • [RoutingPolicyRule] Reititystyypin tyyppi ("blackhole, "unreachable", "prohibit");
    • [IPv6AcceptRA] RouteDenyList ja RouteAllowList sallittujen ja kiellettyjen reittimainosten luetteloille;
    • [DHCPv6] Ohita DHCP:n antama osoite käyttämällä Addres-komentoa.
    • [DHCPv6PrefixDelegation] ManageTemporaryAddress;
    • ActivationPolicy määrittää käyttöliittymän toimintaa koskevan käytännön (pidä aina UP- tai DOWN-tilassa tai salli käyttäjän muuttaa tiloja "ip link set dev" -komennolla).
  • Lisätty [VLAN]-protokolla, IngressQOSMaps, EgressQOSMaps ja [MACVLAN] BroadcastMulticastQueueLength -asetukset systemd.netdev-tiedostoihin VLAN-pakettien käsittelyn määrittämiseksi.
  • Lopetettu /dev/-hakemiston asentaminen noexec-tilassa, koska se aiheuttaa ristiriidan käytettäessä suoritettavaa lippua /dev/sgx-tiedostojen kanssa. Voit palauttaa vanhan toiminnan käyttämällä NoExecPaths=/dev-asetusta.
  • Tiedoston /dev/vsock käyttöoikeudet on muutettu arvoon 0o666, ja tiedostot /dev/vhost-vsock ja /dev/vhost-net on siirretty ryhmään kvm.
  • Laitteiston ID-tietokanta on laajennettu USB-sormenjälkilukijoilla, jotka tukevat oikein lepotilaa.
  • systemd-resolved lisätty tuki vastausten antamiseen DNSSEC-kyselyihin tynkäselvityksen kautta. Paikalliset asiakkaat voivat suorittaa DNSSEC-tarkistuksen itselleen, kun taas ulkoiset asiakkaat välitetään muuttumattomina pää-DNS-palvelimelle.
  • Lisätty CacheFromLocalhost-vaihtoehto solved.conf-tiedostoon. Kun se on asetettu, systemd-resolved käyttää välimuistia jopa DNS-palvelimen kutsuissa osoitteessa 127.0.0.1 (oletusarvoisesti tällaisten pyyntöjen välimuisti on poistettu käytöstä kaksinkertaisen välimuistin välttämiseksi).
  • systemd-resolved on lisännyt tuen RFC-5001 NSID:ille paikallisessa DNS-resolverissa, minkä ansiosta asiakkaat voivat erottaa vuorovaikutukset paikallisen resolverin ja muiden resolvereiden kanssa. palvelin dns.
  • Resoluctl-apuohjelma toteuttaa kyvyn näyttää tietoja tiedon lähteestä (paikallinen välimuisti, verkkopyyntö, paikallisen prosessorin vastaus) ja salauksen käytöstä dataa siirrettäessä. Vaihtoehdot --cache, --synthesize, --network, --zone, --trust-anchor ja --validate ohjaavat nimenmääritysprosessia.
  • systemd-nspawn lisää tuen palomuurin määrittämiseen käyttämällä nftablesia olemassa olevan iptables-tuen lisäksi. Systemd-networkd:n IPmasquerade-asennus on lisännyt mahdollisuuden käyttää nftables-pohjaista taustaohjelmaa.
  • systemd-localed lisäsi tuen locale-genin kutsumiseen puuttuvien alueiden luomiseksi.
  • Vaihtoehdot --pager/-no-pager/-json= on lisätty useisiin apuohjelmiin, jotka mahdollistavat sivutustilan ja JSON-muodon tulostuksen. Lisätty mahdollisuus asettaa terminaalissa käytettävien värien määrä SYSTEMD_COLORS-ympäristömuuttujan kautta ("16" tai "256").
  • Rakennus, jossa on erilliset hakemistohierarkiat (split / ja /usr) ja cgroup v1 -tuki, on poistettu käytöstä.
  • Gitin päähaara on nimetty uudelleen 'master':sta 'main':ksi.

Lähde: opennet.ru

Osta luotettava isännöinti sivustoille, joissa on DDoS-suojaus, VPS VDS -palvelimet 🔥 Osta luotettavaa verkkosivustojen hostingia DDoS-suojauksella, VPS VDS -palvelimilla | ProHoster