ProHoster > Blog > ynternet nijs > systemd systeembehearder release 253

systemd systeembehearder release 253

Nei trije en in heale moanne fan ûntwikkeling waard de frijlitting fan 'e systeembehearder systemd 253 presintearre.

Under de feroaringen yn 'e nije release:

  • It pakket omfettet it 'ukify'-hulpprogramma, ûntworpen om hantekeningen te bouwen, te ferifiearjen en te generearjen foar ferienige kernelôfbyldings (UKI, Unified Kernel Image), kombinearjen fan in handler foar it laden fan de kernel fan UEFI (UEFI bootstub), in Linux kernelôfbylding en in systeemomjouwing laden yn it ûnthâld initrd, brûkt foar inisjele inisjalisaasje op it poadium foar it montearjen fan it rootbestânsysteem. It hulpprogramma ferfangt de funksjonaliteit dy't earder levere troch it kommando 'dracut -uefi' en komplementeart it mei mooglikheden foar it automatysk berekkenjen fan offsets yn PE-bestannen, gearfoegjen fan initrds, ûndertekenjen fan ynbêde kernelôfbyldings, it meitsjen fan kombineare ôfbyldings mei sbsign, heuristyk foar it bepalen fan kernel-uname, kontrolearje de ôfbylding mei plonsskerm en it tafoegjen fan tekene PCR-belied oanmakke troch it systemd-measure-hulpprogramma.
  • Tafoege stipe foar initrd omjouwings net beheind troch ûnthâld pleatsing, wêryn overlays wurdt brûkt ynstee fan tmpfs. Foar sokke omjouwings wisket systemd net alle bestannen yn 'e initrd nei it wikseljen fan it rootbestânsysteem.
  • De parameter "OpenFile" is tafoege oan tsjinsten foar it iepenjen fan willekeurige bestannen yn it bestânsysteem (of ferbining mei Unix-sockets) en it trochjaan fan de assosjearre bestânbeskriuwers nei it lansearre proses (bygelyks as jo tagong ta in bestân organisearje moatte foar in unprivileged tsjinst sûnder de tagongsrjochten foar it bestân te feroarjen).
  • Yn systemd-cryptenroll, by it registrearjen fan nije kaaien, is it mooglik om fersifere partysjes te ûntsluten mei FIDO2-tokens (--unlock-fido2-apparaat) sûnder in wachtwurd te fereaskje. In troch de brûker oantsjutte PIN-koade wurdt opslein mei sâlt om brute-force-deteksje te komplisearjen.
  • Added ReloadLimitIntervalSec en ReloadLimitBurst ynstellings, likegoed as kernel kommandorigel opsjes (systemd.reload_limit_interval_sec en /systemd.reload_limit_burst) te beheinen de yntinsiteit fan eftergrûn proses opnij starte.
  • Foar ienheden is de opsje "MemoryZSwapMax" ymplementearre om it eigenskip memory.zswap.max te konfigurearjen, dat de maksimale zswap-grutte bepaalt.
  • Foar ienheden is de opsje "LogFilterPatterns" ymplementearre, wêrtroch jo reguliere útdrukkingen kinne ynstelle om ynformaasjeútfier nei it log te filterjen (kin brûkt wurde om bepaalde útfier út te sluten of allinich bepaalde gegevens op te slaan).
  • Scope-ienheden stypje no de ynstelling "OOMPolicy" om it gedrach yn te stellen as jo besykje te foarkommen as it ûnthâld leech is (oanmeldsesjes binne ynsteld op OOMPolicy = trochgean, sadat de OOM-killer se net mei geweld beëiniget).
  • In nij tsjinsttype is definiearre - "Type = notify-reload", dy't it type "Type = notify" útwreidet mei de mooglikheid om te wachtsjen op it werstartsinjaal om de ferwurking te foltôgjen (SIGHUP). De tsjinsten systemd-networkd.service, systemd-udevd.service en systemd-login binne oerbrocht nei it nije type.
  • udev brûkt in nij nammeskema foar netwurkapparaten, it ferskil is dat foar USB-apparaten dy't net oan 'e PCI-bus ferbûn binne, ID_NET_NAME_PATH no ynsteld is om mear foarsisbere nammen te garandearjen. De operator '-=' is ymplementearre foar SYMLINK-fariabelen, wêrtroch symboalyske keppelings net konfigureare binne as in regel foar it tafoegjen earder definiearre wie.
  • Yn systemd-boot is de sied-oerdracht foar pseudo-willekeurige nûmergenerators yn 'e kernel en foar de skiif-backend opnij bewurke. Stipe tafoege foar it laden fan de kernel net allinich fan 'e ESP (EFI System Partition), bygelyks fan' e firmware of direkt foar QEMU. Parsing fan SMBIOS-parameters wurdt levere om opstarten te bepalen yn in virtualisaasjeomjouwing. In nije 'as-feilige' modus is ymplementearre wêryn it sertifikaat foar UEFI Secure Boot allinich fan 'e ESP wurdt laden as it as feilich beskôge wurdt (rint yn in firtuele masine).
  • It bootctl-hulpprogramma ymplementearret de generaasje fan systeemtokens op alle EFI-systemen, útsein virtualisaasje-omjouwings. 'kernel-identify' en 'kernel-inspect'-kommando's tafoege om it type kernelôfbylding en ynformaasje oer kommandorigelopsjes en kernelferzje te werjaan, 'ûnkeppelje' om it bestân te ferwiderjen ferbûn mei it earste type bootrecords, 'cleanup' om alles te ferwiderjen triemmen út "entry-token" map yn ESP en XBOOTLDR, net assosjearre mei it earste type boot records. Ferwurking fan de fariabele KERNEL_INSTALL_CONF_ROOT is levere.
  • It kommando 'systemctl list-dependencies' stipet no ferwurking fan '--type' en '--state' opsjes, en it kommando 'systemctl kexec' foeget stipe ta foar omjouwings basearre op de Xen-hypervisor.
  • Yn .network-bestannen yn 'e seksje [DHCPv4] is stipe foar de SocketPriority en QuickAck, RouteMetric=high|medium|low opsjes no tafoege.
  • Systemd-repart tafoege opsjes "--include-partysjes", "--útslute-partysjes" en "--defer-partysjes" om partysjes te filterjen op UUID-type, wêrtroch jo bygelyks ôfbyldings kinne bouwe wêryn ien partysje is boud op basis fan de ynhâld fan in oare partysje. Ek tafoege de opsje "--sektor-grutte" om de grutte fan 'e sektor oan te jaan dy't brûkt wurdt by it meitsjen fan de partysje. Tafoege stipe foar erofs triem generaasje. De ynstelling Minimalisearje ymplementearret ferwurking fan 'e "bêste" wearde om de minimaal mooglike ôfbyldingsgrutte te selektearjen.
  • systemd-journal-remote lit it gebrûk fan MaxUse, KeepFree, MaxFileSize en MaxFiles ynstellings om skiifromteferbrûk te beheinen.
  • systemd-cryptsetup foeget stipe ta foar it ferstjoeren fan pro-aktive oanfragen nei FIDO2-tokens om har oanwêzigens te bepalen foar ferifikaasje.
  • Nije parameters tpm2-measure-bank en tpm2-measure-pcr binne tafoege oan crypttab.
  • systemd-gpt-auto-generator ymplementearret montage fan ESP- en XBOOTLDR-partysjes yn 'e "noexec, nosuid, nodev" modus, en foeget ek rekkening ta foar de parameters rootfstype en rootflags trochjûn troch de kernel kommandorigel.
  • systemd-resolved biedt de mooglikheid om resolverparameters te konfigurearjen troch de nammetsjinner, domein, network.dns en network.search_domains opsjes op te jaan op 'e kernel kommandorigel.
  • It kommando "systemd-analyze plot" hat no de mooglikheid om út te fieren yn JSON-formaat by it opjaan fan de "-json" flagge. Nije opsjes "--tabel" en "-no-legend" binne ek tafoege om de útfier te kontrolearjen.
  • Yn 2023 binne wy ​​fan plan om stipe te beëinigjen foar cgroups v1 en split maphierarchyen (wêr't /usr apart fan 'e root is monteard, of /bin en /usr/bin, /lib en /usr/lib binne skieden).

Boarne: opennet.ru

Add a comment