ProHoster > Blog > actualités internet > gestionnaire de système systemd version 253

gestionnaire de système systemd version 253

Après trois mois et demi de développement, la version du gestionnaire système systemd 253 a été présentée.

Parmi les changements de la nouvelle version :

  • Le package comprend l'utilitaire 'ukify', conçu pour construire, vérifier et générer des signatures pour les images de noyau unifiées (UKI, Unified Kernel Image), combinant un gestionnaire pour charger le noyau depuis l'UEFI (stub de démarrage UEFI), une image du noyau Linux et un environnement système chargé en mémoire initrd, utilisé pour l'initialisation initiale à l'étape précédant le montage du système de fichiers racine. L'utilitaire remplace la fonctionnalité précédemment fournie par la commande 'dracut -uefi' et la complète avec des capacités de calcul automatique des décalages dans les fichiers PE, de fusion des initrds, de signature des images du noyau intégrées, de création d'images combinées avec sbsign, d'heuristiques pour déterminer le nom du noyau, de vérification du image avec écran de démarrage et ajout de politiques PCR signées générées par l'utilitaire systemd-measure.
  • Ajout de la prise en charge des environnements initrd non limités par l'emplacement mémoire, dans lesquels overlayfs est utilisé à la place de tmpfs. Pour de tels environnements, systemd ne supprime pas tous les fichiers du initrd après le changement de système de fichiers racine.
  • Le paramètre « OpenFile » a été ajouté aux services permettant d'ouvrir des fichiers arbitraires dans le système de fichiers (ou de se connecter aux sockets Unix) et de transmettre les descripteurs de fichiers associés au processus lancé (par exemple, lorsque vous devez organiser l'accès à un fichier pour un service non privilégié sans modifier les droits d'accès au fichier) .
  • Dans systemd-cryptenroll, lors de l'enregistrement de nouvelles clés, il est possible de déverrouiller des partitions cryptées à l'aide de jetons FIDO2 (--unlock-fido2-device) sans nécessiter de mot de passe. Un code PIN spécifié par l'utilisateur est stocké avec du sel pour compliquer la détection par force brute.
  • Ajout des paramètres ReloadLimitIntervalSec et ReloadLimitBurst, ainsi que des options de ligne de commande du noyau (systemd.reload_limit_interval_sec et /systemd.reload_limit_burst) pour limiter l'intensité des redémarrages des processus en arrière-plan.
  • Pour les unités, l'option « MemoryZSwapMax » a été implémentée pour configurer la propriété memory.zswap.max, qui détermine la taille maximale du zswap.
  • Pour les unités, l'option « LogFilterPatterns » a été implémentée, qui vous permet de définir des expressions régulières pour filtrer les informations sorties dans le journal (peut être utilisée pour exclure certaines sorties ou enregistrer uniquement certaines données).
  • Les unités d'étendue prennent désormais en charge le paramètre « OOMPolicy » pour définir le comportement lors d'une tentative de préemption lorsque la mémoire est faible (les sessions de connexion sont définies sur OOMPolicy=continue afin que le tueur de MOO ne les termine pas de force).
  • Un nouveau type de service a été défini - « Type=notify-reload », qui étend le type « Type=notify » avec la possibilité d'attendre que le signal de redémarrage termine le traitement (SIGHUP). Les services systemd-networkd.service, systemd-udevd.service et systemd-logind ont été transférés vers le nouveau type.
  • udev utilise un nouveau schéma de dénomination pour les périphériques réseau, la différence étant que pour les périphériques USB non liés au bus PCI, ID_NET_NAME_PATH est désormais défini pour garantir des noms plus prévisibles. L'opérateur '-=' a été implémenté pour les variables SYMLINK, laissant les liens symboliques non configurés si une règle pour les ajouter a été préalablement définie.
  • Dans systemd-boot, la transmission des graines pour les générateurs de nombres pseudo-aléatoires dans le noyau et pour le backend du disque a été retravaillée. Ajout de la prise en charge du chargement du noyau non seulement à partir de l'ESP (EFI System Partition), par exemple, à partir du firmware ou directement pour QEMU. L'analyse des paramètres SMBIOS est fournie pour déterminer le démarrage dans un environnement de virtualisation. Un nouveau mode « if-safe » a été implémenté dans lequel le certificat pour le démarrage sécurisé UEFI est chargé à partir de l'ESP uniquement s'il est considéré comme sûr (s'exécute dans une machine virtuelle).
  • L'utilitaire bootctl implémente la génération de jetons système sur tous les systèmes EFI, à l'exception des environnements de virtualisation. Ajout des commandes 'kernel-identify' et 'kernel-inspect' pour afficher le type d'image du noyau et des informations sur les options de ligne de commande et la version du noyau, 'unlink' pour supprimer le fichier associé au premier type d'enregistrements de démarrage, 'cleanup' pour tout supprimer. fichiers du répertoire "entry-token" dans ESP et XBOOTLDR, non associés au premier type d'enregistrements de démarrage. Le traitement de la variable KERNEL_INSTALL_CONF_ROOT a été fourni.
  • La commande « systemctl list-dependencies » prend désormais en charge le traitement des options « --type » et « --state », et la commande « systemctl kexec » ajoute la prise en charge des environnements basés sur l'hyperviseur Xen.
  • Dans les fichiers .network de la section [DHCPv4], la prise en charge des options SocketPriority et QuickAck, RouteMetric=high|medium|low a été ajoutée.
  • Systemd-repart a ajouté les options « --include-partitions », « --exclude-partitions » et « --defer-partitions » pour filtrer les partitions par type d'UUID, ce qui, par exemple, vous permet de créer des images dans lesquelles une partition est construit en fonction du contenu d'une autre partition. Ajout également de l'option "--sector-size" pour spécifier la taille du secteur utilisé lors de la création de la partition. Ajout de la prise en charge de la génération de fichiers erofs. Le paramètre Réduire implémente le traitement de la « meilleure » valeur pour sélectionner la taille d’image minimale possible.
  • systemd-journal-remote permet d'utiliser les paramètres MaxUse, KeepFree, MaxFileSize et MaxFiles pour limiter la consommation d'espace disque.
  • systemd-cryptsetup ajoute la prise en charge de l'envoi de requêtes proactives aux jetons FIDO2 pour déterminer leur présence avant l'authentification.
  • De nouveaux paramètres tpm2-measure-bank et tpm2-measure-pcr ont été ajoutés à crypttab.
  • systemd-gpt-auto-generator implémente le montage des partitions ESP et XBOOTLDR dans les modes « noexec, nosuid, nodev », et ajoute également la prise en compte des paramètres rootfstype et rootflags transmis via la ligne de commande du noyau.
  • systemd-resolved offre la possibilité de configurer les paramètres du résolveur en spécifiant les options nameserver, domain, network.dns et network.search_domains sur la ligne de commande du noyau.
  • La commande « systemd-analyze plot » a désormais la possibilité d'afficher au format JSON lors de la spécification de l'indicateur « -json ». De nouvelles options "--table" et "-no-legend" ont également été ajoutées pour contrôler la sortie.
  • En 2023, nous prévoyons de mettre fin à la prise en charge des groupes de contrôle v1 et des hiérarchies de répertoires fractionnées (où /usr est monté séparément de la racine, ou /bin et /usr/bin, /lib et /usr/lib sont séparés).

Source: opennet.ru

Ajouter un commentaire