ProHoster > Blog > ynternet nijs > systemd systeembehearder release 250

systemd systeembehearder release 250

Nei fiif moannen fan ûntwikkeling waard de frijlitting fan 'e systeembehearder systemd 250 presintearre. begjinnende tsjinsten, en tafoege opsjes foar it beheinen fan tsjinst tagong ta bepaalde triemsystemen en netwurk ynterfaces, stipe foar partition yntegriteit monitoring mei help fan de dm-integrity module wurdt foarsjoen, en stipe foar sd-boot auto-update wurdt tafoege.

Grutte feroaringen:

  • Stipe tafoege foar fersifere en autentike bewiisbrieven, wat nuttich kin wêze foar it feilich opslaan fan gefoelige materialen lykas SSL-kaaien en tagongswachtwurden. Dekodearring fan bewiisbrieven wurdt allinich útfierd as it nedich is en yn ferbân mei de lokale ynstallaasje of apparatuer. Gegevens wurde automatysk fersifere mei symmetryske fersiferingsalgoritmen, wêrfan de kaai kin wurde pleatst yn it bestânsysteem, yn 'e TPM2-chip, of mei in kombinaasjeskema. As de tsjinst begjint, wurde de bewiisbrieven automatysk ûntsifere en wurde beskikber foar de tsjinst yn syn normale foarm. Om te wurkjen mei fersifere bewiisbrieven, is it hulpprogramma 'systemd-creds' tafoege, en de ynstellings LoadCredentialEncrypted en SetCredentialEncrypted binne foarsteld foar tsjinsten.
  • sd-stub, it útfierbere EFI dat EFI-firmware mooglik makket om de Linux-kernel te laden, stipet no it opstarten fan de kernel mei it LINUX_EFI_INITRD_MEDIA_GUID EFI-protokol. Ek tafoege oan sd-stub is de mooglikheid om bewiisbrieven en sysext-bestannen yn in cpio-argyf te pakken en dit argyf oer te bringen nei de kernel tegearre mei de initrd (ekstra bestannen wurde pleatst yn 'e /.extra/-map). Dizze funksje lit jo in kontroleare ûnferoarlike initrd-omjouwing brûke, oanfolle troch sysexts en fersifere ferifikaasjegegevens.
  • De spesifikaasje fan Discoverable Partitions is signifikant útwreide, en biedt ark foar it identifisearjen, montearjen en aktivearjen fan systeempartysjes mei GPT (GUID Partition Tables). Yn ferliking mei eardere releases stipet de spesifikaasje no de root-partysje en /usr-partysje foar de measte arsjitektueren, ynklusyf platfoarms dy't gjin UEFI brûke.

    Untdekbere Partitionen foeget ek stipe ta foar partysjes wêrfan de yntegriteit wurdt ferifiearre troch de dm-verity module mei PKCS # 7 digitale hantekeningen, wêrtroch it makliker is om folslein autentike skiifôfbyldings te meitsjen. Ferifikaasjestipe is yntegreare yn ferskate nutsbedriuwen dy't skiifôfbyldings manipulearje, ynklusyf systemd-nspawn, systemd-sysext, systemd-dissect, RootImage-tsjinsten, systemd-tmpfiles, en systemd-sysusers.

  • Foar ienheden dy't in lange tiid duorje om te begjinnen of stopjen, neist it werjaan fan in animearre foarútgongbalke, is it mooglik om statusynformaasje wer te jaan wêrmei jo kinne begripe wat der krekt bart mei de tsjinst op it stuit en hokker tsjinst de systeembehearder is wachtet op it stuit om te foltôgjen.
  • De parameter DefaultOOMScoreAdjust tafoege oan /etc/systemd/system.conf en /etc/systemd/user.conf, wêrmei jo de OOM-killer-drompel foar leech ûnthâld oanpasse kinne, fan tapassing op prosessen dy't systemd begjint foar it systeem en brûkers. Standert is it gewicht fan systeemtsjinsten heger as dat fan brûkerstsjinsten, d.w.s. As d'r net genôch ûnthâld is, is de kâns op beëiniging fan brûkerstsjinsten heger dan dy fan systeem.
  • De ynstelling RestrictFileSystems tafoege, wêrtroch jo de tagong fan tsjinsten kinne beheine ta bepaalde soarten bestânssystemen. Om de beskikbere triemsysteemtypen te besjen, kinne jo it kommando "systemd-analyze filesystems" brûke. Nei analogy is de opsje RestrictNetworkInterfaces ymplementearre, wêrtroch jo tagong kinne beheine ta bepaalde netwurkynterfaces. De ymplemintaasje is basearre op de BPF LSM-module, dy't de tagong fan in groep prosessen foar kearnobjekten beheint.
  • In nij /etc/integritytab-konfiguraasjetriem en systemd-integritysetup-hulpprogramma tafoege dy't de dm-integrity-module konfigurearje om gegevensyntegriteit op sektornivo te kontrolearjen, bygelyks om de ûnferoarlikens fan fersifere gegevens te garandearjen (Authenticated Encryption, soarget derfoar dat in gegevensblok hat net op in rotonde wizige). It formaat fan it /etc/integritytab-bestân is fergelykber mei de /etc/crypttab- en /etc/veritytab-bestannen, útsein dat dm-integrity brûkt wurdt ynstee fan dm-crypt en dm-verity.
  • In nije ienheidsbestân systemd-boot-update.service is tafoege, as aktivearre en de sd-boot-bootloader is ynstalleare, sil systemd de ferzje fan 'e sd-boot-bootloader automatysk bywurkje, de bootloader-koade altyd bywurke. sd-boot sels is no standert boud mei stipe foar de SBAT (UEFI Secure Boot Advanced Targeting) meganisme, dy't problemen oplost mei it weromlûken fan sertifikaat foar UEFI Secure Boot. Derneist biedt sd-boot de mooglikheid om Microsoft Windows-bootynstellingen te parsearjen om de nammen fan bootpartysjes korrekt te generearjen mei Windows en de Windows-ferzje werjaan.

    sd-boot biedt ek de mooglikheid om in kleurskema te definiearjen op it bouwen tiid. Tidens it opstartproses, tafoege stipe foar it feroarjen fan de skermresolúsje troch te drukken op de "r" kaai. Fluchtoets "f" tafoege om nei de firmware-konfiguraasje-ynterface te gean. In modus tafoege om it systeem automatysk te booten dat oerienkomt mei it menu-item selektearre tidens de lêste boot. De mooglikheid tafoege om automatysk EFI-bestjoerders te laden yn 'e map /EFI/systemd/drivers/ yn 'e seksje ESP (EFI System Partition).

  • In nij ienheidsbestân factory-reset.target is opnommen, dat wurdt ferwurke yn systemd-login op in fergelykbere manier as de operaasjes foar herstart, poweroff, suspend en hibernate, en wurdt brûkt om handlers te meitsjen foar it útfieren fan in fabryk weromsette.
  • It systemd-oploste proses makket no in ekstra harkersocket op 127.0.0.54 neist 127.0.0.53. Fersiken dy't oankomme op 127.0.0.54 wurde altyd omlaat nei in streamop DNS-tsjinner en wurde net lokaal ferwurke.
  • Biedt de mooglikheid om systemd-import en systemd-resolved te bouwen mei de OpenSSL-bibleteek ynstee fan libgcrypt.
  • Inisjele stipe tafoege foar de LoongArch-arsjitektuer brûkt yn Loongson-processors.
  • systemd-gpt-auto-generator jout de mooglikheid om automatysk ynstelle systeem-definiearre swap partysjes fersifere troch de LUKS2 subsysteem.
  • De GPT-ôfbylding-parsingkoade brûkt yn systemd-nspawn, systemd-dissect, en ferlykbere nutsbedriuwen ymplementearret de mooglikheid om ôfbyldings foar oare arsjitektuer te dekodearjen, wêrtroch systemd-nspawn kin wurde brûkt om ôfbyldings op emulators fan oare arsjitektueren út te fieren.
  • By it ynspektearjen fan skiifôfbyldings toant systemd-dissect no ynformaasje oer it doel fan 'e partysje, lykas geskiktheid foar booten fia UEFI of rinnen yn in kontener.
  • It fjild "SYSEXT_SCOPE" is tafoege oan de system-extension.d/-bestannen, wêrtroch jo de omfang fan it systeemôfbylding kinne oanjaan - "initrd", "systeem" of "draachber".
  • In "PORTABLE_PREFIXES" fjild is tafoege oan it os-release-bestân, dat kin wurde brûkt yn draachbere ôfbyldings om stipe ienheidsbestânfoarheaksels te bepalen.
  • systemd-logind yntroduseart nije ynstellings HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress en HandleHibernateKeyLongPress, dy't kinne wurde brûkt om te bepalen wat der bart as bepaalde toetsen langer dan 5 sekonden yndrukt wurde (bygelyks drukke op de Suspend-toets om fluch yn standby te drukken , en as it yndrukt wurdt, sil it sliepe).
  • Foar ienheden wurde de StartupAllowedCPU's en StartupAllowedMemoryNodes ynstellings ymplementearre, dy't ferskille fan ferlykbere ynstellings sûnder it Startup-foarheaksel yn dat se allinich tapast wurde by it opstart- en ôfslutstadium, wêrtroch jo oare boarnebeperkingen kinne ynstelle by it opstarten.
  • Tafoege [Betingst|Befêstigje][Unthâld|CPU|IO]Drukkontrôles wêrtroch ienheidaktivearring kin wurde oerslein of mislearre as it PSI-meganisme in swiere lading op ûnthâld, CPU en I/O yn it systeem detektearret.
  • De standert maksimale inode-limyt is ferhege foar de /dev-partysje fan 64k nei 1M, en foar de /tmp-partysje fan 400k nei 1M.
  • In ExecSearchPath-ynstelling is foarsteld foar tsjinsten, wêrtroch it mooglik is om it paad te feroarjen foar it sykjen nei útfierbere bestannen dy't lansearre binne fia ynstellings lykas ExecStart.
  • De RuntimeRandomizedExtraSec-ynstelling tafoege, wêrtroch jo willekeurige ôfwikingen yn 'e RuntimeMaxSec-timeout kinne ynfiere, wat de útfieringstiid fan in ienheid beheint.
  • De syntaksis fan 'e RuntimeDirectory, StateDirectory, CacheDirectory en LogsDirectory ynstellings is útwreide, wêryn troch it opjaan fan in ekstra wearde skieden troch in kolon, kinne jo no it oanmeitsjen fan in symboalyske keppeling nei in opjûne map organisearje foar it organisearjen fan tagong lâns ferskate paden.
  • Foar tsjinsten wurde TTYRows- en TTYColumns-ynstellingen oanbean om it oantal rigen en kolommen yn it TTY-apparaat yn te stellen.
  • De ynstelling ExitType tafoege, wêrtroch jo de logika kinne feroarje foar it bepalen fan it ein fan in tsjinst. Standert folget systemd allinich de dea fan it haadproses, mar as ExitType=cgroup ynsteld is, sil de systeembehearder wachtsje op it lêste proses yn 'e cgroup om te foltôgjen.
  • systemd-cryptsetup's ymplemintaasje fan TPM2/FIDO2/PKCS11-stipe is no ek boud as in cryptsetup-plugin, wêrtroch it normale cryptsetup-kommando kin wurde brûkt om in fersifere partysje te ûntsluten.
  • De TPM2-hanneler yn systemd-cryptsetup/systemd-cryptsetup foeget stipe ta foar primêre RSA-kaaien neist ECC-kaaien om kompatibiliteit te ferbetterjen mei net-ECC-chips.
  • De opsje foar token-timeout is tafoege oan /etc/crypttab, wêrtroch jo de maksimale tiid kinne definiearje om te wachtsjen op in PKCS#11/FIDO2-tokenferbining, wêrnei't jo frege wurde om in wachtwurd of herstelkaai yn te fieren.
  • systemd-timesyncd ymplemintearret de SaveIntervalSec-ynstelling, wêrmei jo de aktuele systeemtiid periodyk op skiif kinne bewarje, bygelyks om in monotonyske klok te ymplementearjen op systemen sûnder in RTC.
  • Opsjes binne tafoege oan it systemd-analyze-hulpprogramma: "--image" en "--root" foar it kontrolearjen fan ienheidsbestannen binnen in opjûne ôfbylding of root-map, "--rekursive-fouten" foar it rekkenjen fan ôfhinklike ienheden by in flater wurdt ûntdutsen, "--offline" foar it kontrolearjen fan apart ienheidsbestannen bewarre op skiif, "-json" foar útfier yn JSON-formaat, "-stil" om ûnwichtige berjochten út te skeakeljen, "-profyl" om te binen oan in draachber profyl. Ek tafoege is it inspect-elf kommando foar it parsearjen fan kearnbestannen yn ELF-formaat en de mooglikheid om ienheidsbestannen te kontrolearjen mei in opjûne ienheidsnamme, nettsjinsteande oft dizze namme oerienkomt mei de triemnamme.
  • systemd-networkd hat útwreide stipe foar de Controller Area Network (CAN) bus. Ynstellings tafoege om CAN-modi te kontrolearjen: Loopback, OneShot, PresumeAck en ClassicDataLengthCode. Added TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 en DataSyncJumpWidth opsjes nei de [CAN]-seksje fan 'e synchronisaasje-bestannen fan' e synchronisaasje-bestannen fan 'e CAN-bestannen.
  • Systemd-networkd hat in Label-opsje tafoege foar de DHCPv4-kliïnt, wêrtroch jo it adreslabel kinne konfigurearje dat brûkt wurdt by it konfigurearjen fan IPv4-adressen.
  • systemd-udevd foar "ethtool" ymplementearret stipe foar spesjale "max" wearden dy't de buffergrutte ynstelle op de maksimale wearde dy't wurdt stipe troch de hardware.
  • Yn .link triemmen foar systemd-udevd kinne jo no konfigurearje ferskate parameters foar it kombinearjen fan netwurk adapters en ferbinen hardware handlers (offload).
  • systemd-networkd biedt standert nije .network-bestannen: 80-container-vb.network om netwurkbrêgen te definiearjen dy't makke binne by it útfieren fan systemd-nspawn mei de opsjes "--network-bridge" of "--network-zone"; 80-6rd-tunnel.network om tunnels te definiearjen dy't automatysk oanmakke wurde by it ûntfangen fan in DHCP-antwurd mei de 6RD-opsje.
  • Systemd-networkd en systemd-udevd hawwe stipe tafoege foar IP-trochstjoere oer InfiniBand-ynterfaces, wêrfoar de seksje "[IPoIB]" is tafoege oan de systemd.netdev-bestannen, en ferwurking fan 'e "ipoib"-wearde is ymplementearre yn 'e Kind ynstelling.
  • systemd-networkd jout automatyske rûte konfiguraasje foar adressen oantsjutte yn de AllowedIPs parameter, dat kin wurde konfigurearre fia de RouteTable en RouteMetric parameters yn de [WireGuard] en [WireGuardPeer] seksjes.
  • systemd-networkd soarget foar automatyske generaasje fan net-feroarjende MAC-adressen foar de batadv- en brêge-ynterfaces. Om dit gedrach út te skeakeljen, kinne jo MACAddress=gjin opjaan yn .netdev-bestannen.
  • In WakeOnLanPassword-ynstelling is tafoege oan .link-bestannen yn 'e seksje "[Link]" om it wachtwurd te bepalen as WoL yn 'SecureOn'-modus rint.
  • Tafoege AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO en UseRawPacketSize ynstellings oan de "[CAKE]" seksje fan .network triemmen om de parameters fan it CAKE (Common Applications Kept Enhanced) meganisme te definiearjen. .
  • In IgnoreCarrierLoss-ynstelling tafoege oan de seksje "[Netwurk]" fan .network-bestannen, wêrtroch jo kinne bepale hoe lang te wachtsjen foardat jo reagearje op in ferlies fan dragersinjaal.
  • Systemd-nspawn, homectl, machinectl en systemd-run hawwe de syntaksis fan 'e "--setenv" parameter útwreide - as allinich de fariabelenamme oanjûn is (sûnder "="), sil de wearde nommen wurde fan 'e oerienkommende omjouwingsfariabele (foar bygelyks, by it opjaan fan "--setenv = FOO" sil de wearde nommen wurde fan 'e $FOO omjouwingsfariabele en brûkt wurde yn 'e omjouwingsfariabele mei deselde namme yn' e kontener).
  • systemd-nspawn hat in opsje "--suppress-sync" tafoege om sync()/fsync()/fdatasync()-systeemoanroppen út te skeakeljen by it meitsjen fan in kontener (nuttich as snelheid in prioriteit is en it behâld fan build-artefakten yn gefal fan mislearring net is wichtich, om't se op elk momint opnij kinne wurde makke).
  • In nije hwdb-database is tafoege, dy't ferskate soarten sinjaalanalyzers omfettet (multimeters, protokolanalyzers, oscilloskopen, ensfh.). Ynformaasje oer kamera's yn hwdb is útwreide mei in fjild mei ynformaasje oer it type kamera (gewoan of ynfraread) en lens pleatsing (foar of efter).
  • Ynskeakele generaasje fan net-feroarjende netwurkynterface nammen foar netfront apparaten brûkt yn Xen.
  • De analyze fan kearnbestannen troch it hulpprogramma systemd-coredump basearre op de libdw/libelf-biblioteken wurdt no útfierd yn in apart proses, isolearre yn in sânbox-omjouwing.
  • systemd-importd hat stipe tafoege foar de omjouwingsfariabelen $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, wêrmei jo de generaasje fan Btrfs-subpartysjes útskeakelje kinne, en ek kwota's en skiifsyngronisaasje konfigurearje.
  • Yn systemd-journald, op triemsystemen dy't kopiearje-op-skriuwe-modus stypje, wurdt COW-modus opnij ynskeakele foar argivearre tydskriften, wêrtroch't se kinne wurde komprimearre mei Btrfs.
  • systemd-journald ymplementearret deduplikaasje fan identike fjilden yn ien berjocht, dat wurdt útfierd op it poadium foar it pleatsen fan it berjocht yn it tydskrift.
  • Tafoege "--show" opsje ta shutdown kommando te werjaan plande shutdown.

Boarne: opennet.ru

Add a comment