ProHoster > Blog > ynternet nijs > systemd systeembehearder release 242

systemd systeembehearder release 242

[:ru]

Nei twa moannen fan ûntwikkeling presintearre systeem manager release systemd 242. Nije funksjes omfetsje stipe foar L2TP-tunnels, de mooglikheid om it gedrach fan systemd-login te kontrolearjen by opnij starte fia omjouwingsfariabelen, stipe foar útwreide XBOOTLDR-bootpartysjes foar montage / boot, de mooglikheid om te booten mei de root-partysje yn overlays, en in grut oantal fan nije ynstellings foar ferskate soarten ienheden.

Grutte feroaringen:

  • systemd-networkd jout stipe foar L2TP-tunnels;
  • sd-boot en bootctl stypje XBOOTLDR (Extended Boot Loader) partysjes dy't binne monteard op /boot, neist ESP-partysjes dy't binne monteard op /efi of /boot/efi. Kernels, ynstellings, initrd en EFI-ôfbyldings kinne no wurde laden fan sawol ESP- as XBOOTLDR-partysjes. Dizze wiziging lit it gebrûk fan 'e sd-boot bootloader yn mear konservative senario's, as de bootloader sels yn 'e ESP pleatst wurdt, en de bootbere kernels en har assosjearre metadata wurde ferpleatst nei in aparte seksje;
  • Taheakke de mooglikheid om te booten mei de opsje "systemd.volatile=overlay" trochjûn oan de kernel, wêrtroch jo de root-partysje yn overlays kinne pleatse en wurk organisearje boppe op in allinich-lêsôfbylding fan 'e root-map mei wizigingen skreaun nei in aparte map yn tmpfs (feroarings yn dizze konfiguraasje binne ferlern nei in trochstart). Troch analogy is de opsje "--volatile=overlay" tafoege oan systemd-nspawn om ferlykbere funksjonaliteit te brûken yn konteners;
  • Added "--oci-bundle" opsje oan systemd-nspawn om it gebrûk fan runtime bondels mooglik te meitsjen om isolearre rinnen fan konteners yn te skeakeljen dy't foldogge oan de Open Container Initiative (OCI) spesifikaasje. Stipe foar ferskate opsjes beskreaun yn 'e OCI-spesifikaasje wurdt foarsteld foar gebrûk op' e kommandorigel en nspawn-ienheden, bygelyks kinne de ynstellings "--ûnberikber" en "Net tagonklik" wurde brûkt om dielen fan it bestânsysteem út te sluten, en de "- -console" opsjes binne tafoege om standert útfierstreamen en "—pipe" te konfigurearjen;
  • Mooglikheid tafoege om systemd-login gedrach te kontrolearjen fia omjouwingsfariabelen: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_MENU en
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_ENTRY. Mei dizze fariabelen kinne jo jo eigen reboot-prosesbehannelers ferbine (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu en
    /run/systemd/reboot-to-boot-loader-entry) of útskeakelje se hielendal (as ynsteld op falsk);

  • Tafoege "--boot-load-menu=" opsjes ta "systemctl reboot" kommando en
    "--boot-loader-entry=", wêrtroch jo in spesifyk opstartmenu-item of opstartmodus kinne selektearje nei it herstarten;

  • In nije sânbox-isolaasjekommando tafoege "RestrictSUIDSGID=" dat seccomp brûkt om it meitsjen fan bestannen mei SUID / SGID-flaggen te foarkommen;
  • Implementearre standert beheiningen "NoNewPrivileges" en "RestrictSUIDSGID" yn tsjinsten mei ynskeakele dynamyske brûkers-ID generaasje ("DynamicUser");
  • De standert MACAddressPolicy=persistente ynstelling yn .link-bestannen is feroare om mear apparaten te dekken. Ynterfaces fan netwurkbrêgen, tunnels (tun, tap) en aggregearre keppelings (bân) identifisearje harsels net útsein troch de namme fan 'e netwurkynterface, dus dizze namme wurdt no brûkt as basis foar it binen fan MAC- en IPv4-adressen. Derneist is de ynstelling "MACAddressPolicy=random" tafoege, dy't brûkt wurde kin om MAC- en IPv4-adressen yn willekeurige folchoarder oan apparaten te binen;
  • ".device" ienheid triemmen oanmakke fia systemd-fstab-generator net mear befetsje de oerienkommende ".mount" ienheden as ôfhinklikens yn de "Wants =" seksje. Simpelwei hechtsje in apparaat net mear automatysk lansearret in mount ienheid, mar sokke ienheden kinne noch wurde lansearre foar oare redenen, lykas as ûnderdiel fan local-fs.target of as in ôfhinklikheid fan oare ienheden dy't ôfhinklik binne fan local-fs.target;
  • Stipe foar maskers ("*", ensfh.) is tafoege oan de kommando's "networkctl list/status/lldp" om bepaalde groepen netwurkynterfaces troch in diel fan har namme te filterjen;
  • De omjouwingsfariabele $PIDFILE is no ynsteld mei it absolute paad dat yn tsjinsten konfigurearre is fia de 'PIDFile=;
  • Publike Cloudflare-tsjinners (1.1.1.1) tafoege oan it oantal reservekopy DNS-tsjinners brûkt as de primêre DNS net eksplisyt definiearre is. Om de list mei reservekopy DNS-tsjinners te oerskriuwen, kinne jo de opsje "-Ddns-servers=" brûke;
  • As in USB Device Controller wurdt ûntdutsen, in nije usb-gadget.target handler automatysk lansearre (as it systeem rint op in USB perifeare apparaat);
  • Foar ienheidsbestannen wurdt de "CPUQuotaPeriodSec=" ynstelling ymplemintearre, dy't de tiidperioade bepaalt relatyf oan dêr't de CPU-tiidskwota wurdt mjitten, ynsteld troch de "CPUQuota=" ynstelling;
  • Foar ienheidsbestannen wurdt de "ProtectHostname="-ynstelling ymplementearre, dy't tsjinsten ferbiedt om ynformaasje oer de hostnamme te feroarjen, sels as se de passende tagongsrjochten hawwe;
  • Foar ienheidsbestannen wurdt de "NetworkNamespacePath=" ynstelling ymplemintearre, wêrtroch jo de nammeromte kinne bine oan tsjinsten of socket-ienheden troch it paad nei it nammeromtebestân yn 'e /proc pseudo-FS;
  • De mooglikheid taheakke om it ferfangen fan omjouwingsfariabelen út te skeakeljen foar prosessen dy't lansearre binne mei de "ExecStart=" ynstelling troch it tafoegjen fan it ":" karakter foar it start kommando;
  • Foar timers (.timer units), nije flaggen "OnClockChange=" en
    "OnTimezoneChange=", wêrmei jo de oprop fan 'e ienheid kinne kontrolearje by it feroarjen fan de systeemtiid of tiidsône;

  • Nije ynstellings tafoege "ConditionMemory=" en "ConditionCPUs=" dy't de betingsten bepale foar it oproppen fan in ienheid ôfhinklik fan de grutte fan it ûnthâld en it oantal CPU-kearnen (bygelyks, in boarne-yntinsive tsjinst kin allinich starte wurde as it fereaske bedrach fan RAM is beskikber);
  • In nije time-set.target-ienheid is tafoege dy't de lokaal ynstelde systeemtiid akseptearret, sûnder it brûken fan fermoedsoening mei eksterne eksakte tiidservers mei de time-sync.target-ienheid. De nije ienheid kin brûkt wurde troch tsjinsten dy't nedich de krektens fan in unsyngronisearre lokale klok;
  • Added "--show-transaction" opsje oan "systemctl start" en ferlykbere kommando's om in gearfetting te werjaan fan alle banen tafoege oan 'e wachtrige fanwege de frege operaasje;
  • systemd-networkd hat in definysje ymplemintearre foar in nije steat, 'ferslave', brûkt ynstee fan 'degradearre' of 'drager' foar netwurkynterfaces dy't diel útmeitsje fan aggregearre keppelings of netwurkbrêgen. Foar primêre ynterfaces, yn gefal fan problemen mei ien fan 'e gearstalde keppelings, is de tastân 'degradearre drager' tafoege;
  • Added "IgnoreCarrierLoss=" opsje oan .network ienheden te bewarjen netwurk ynstellings yn gefal fan ferbining flater;
  • Troch de "RequiredForOnline =" ynstelling yn .network units, kinne jo no ynstelle de minimale tastiene keppeling steat nedich om oerdrage de netwurk ynterface nei "online" en trigger de systemd-networkd-wait-online handler;
  • "--elke" opsje tafoege oan systemd-networkd-wait-online om te wachtsjen op ien fan 'e oantsjutte netwurkynterfaces om klear te wêzen ynstee fan alles, en "--operational-state=" opsje om de steat fan 'e keppeling te definiearjen dy't oanjout dat it is klear;
  • "UseAutonomousPrefix=" en "UseOnLinkPrefix=" ynstellings tafoege oan .network-ienheden dy't kinne wurde brûkt om foarheaksels te negearjen by it krijen fan
    oankundiging fan in IPv6 router (RA, Router Advertisement);

  • Added "MulticastFlood =", "NeighborSuppression =" en "Learning =" ynstellings oan .network ienheden te feroarjen de netwurk brêge operaasje parameters, likegoed as de "TripleSampling =" ynstelling te feroarjen de TRIPLE-SAMPLING modus fan firtuele CAN ynterfaces;
  • Added "PrivateKeyFile =" en "PresharedKeyFile =" ynstellings oan .netdev ienheden, wêrmei jo kinne oantsjutte privee en dielde (PSK) kaaien foar WireGuard VPN ynterfaces;
  • Tafoege deselde-cpu-krypt en submit-fan-krypt-cpus opsjes oan /etc/crypttab te kontrolearjen scheduler gedrach by it migrearjen fan fersifering-relatearre banen tusken CPU kearnen;
  • systemd-tmpfiles soarget foar ferwurking fan it beskoattelbestân foar it útfieren fan operaasjes yn mappen mei tydlike bestannen, wêrtroch jo it wurk fan it skjinmeitsjen fan ferâldere bestannen kinne útskeakelje foar de doer fan bepaalde aksjes (bygelyks by it útpakken fan in tar-argyf yn / tmp, heul âld bestannen kinne wurde iepene dy't net kinne wurde wiske foar it ein fan 'e aksje mei har);
  • It kommando "systemd-analyze cat-config" jout de mooglikheid om te analysearjen in konfiguraasje splitst yn ferskate triemmen, Bygelyks, brûker en systeem presets, de ynhâld fan tmpfiles.d en sysusers.d, udev regels, ensfh.
  • Added "--cursor-file=" opsje oan "journalctl" om bestân oan te jaan om te laden en op te slaan rinnerkeposysje;
  • Added definysje fan ACRN hypervisor en WSL subsysteem (Windows Subsystem foar Linux) oan systemd-detect-virt foar folgjende branching mei help fan betingst operator "ConditionVirtualization";
  • Stopte mei it meitsjen fan symboalyske keppelings yn /etc nei systemd-networkd.service, systemd-networkd.socket, systemd-networkd.socket,
    systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
    systemd-networkd-wait-online.service en systemd-timesyncd.service. Om dizze bestannen te meitsjen, moatte jo no it kommando "systemctl preset-all" útfiere.

Boarneopennet.ru

[: en]

Nei twa moannen fan ûntwikkeling presintearre systeem manager release systemd 242. Nije funksjes omfetsje stipe foar L2TP-tunnels, de mooglikheid om it gedrach fan systemd-login te kontrolearjen by opnij starte fia omjouwingsfariabelen, stipe foar útwreide XBOOTLDR-bootpartysjes foar montage / boot, de mooglikheid om te booten mei de root-partysje yn overlays, en in grut oantal fan nije ynstellings foar ferskate soarten ienheden.

Grutte feroaringen:

  • systemd-networkd jout stipe foar L2TP-tunnels;
  • sd-boot en bootctl stypje XBOOTLDR (Extended Boot Loader) partysjes dy't binne monteard op /boot, neist ESP-partysjes dy't binne monteard op /efi of /boot/efi. Kernels, ynstellings, initrd en EFI-ôfbyldings kinne no wurde laden fan sawol ESP- as XBOOTLDR-partysjes. Dizze wiziging lit it gebrûk fan 'e sd-boot bootloader yn mear konservative senario's, as de bootloader sels yn 'e ESP pleatst wurdt, en de bootbere kernels en har assosjearre metadata wurde ferpleatst nei in aparte seksje;
  • Taheakke de mooglikheid om te booten mei de opsje "systemd.volatile=overlay" trochjûn oan de kernel, wêrtroch jo de root-partysje yn overlays kinne pleatse en wurk organisearje boppe op in allinich-lêsôfbylding fan 'e root-map mei wizigingen skreaun nei in aparte map yn tmpfs (feroarings yn dizze konfiguraasje binne ferlern nei in trochstart). Troch analogy is de opsje "--volatile=overlay" tafoege oan systemd-nspawn om ferlykbere funksjonaliteit te brûken yn konteners;
  • Added "--oci-bundle" opsje oan systemd-nspawn om it gebrûk fan runtime bondels mooglik te meitsjen om isolearre rinnen fan konteners yn te skeakeljen dy't foldogge oan de Open Container Initiative (OCI) spesifikaasje. Stipe foar ferskate opsjes beskreaun yn 'e OCI-spesifikaasje wurdt foarsteld foar gebrûk op' e kommandorigel en nspawn-ienheden, bygelyks kinne de ynstellings "--ûnberikber" en "Net tagonklik" wurde brûkt om dielen fan it bestânsysteem út te sluten, en de "- -console" opsjes binne tafoege om standert útfierstreamen en "—pipe" te konfigurearjen;
  • Mooglikheid tafoege om systemd-login gedrach te kontrolearjen fia omjouwingsfariabelen: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_MENU en
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_ENTRY. Mei dizze fariabelen kinne jo jo eigen reboot-prosesbehannelers ferbine (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu en
    /run/systemd/reboot-to-boot-loader-entry) of útskeakelje se hielendal (as ynsteld op falsk);

  • Tafoege "--boot-load-menu=" opsjes ta "systemctl reboot" kommando en
    "--boot-loader-entry=", wêrtroch jo in spesifyk opstartmenu-item of opstartmodus kinne selektearje nei it herstarten;

  • In nije sânbox-isolaasjekommando tafoege "RestrictSUIDSGID=" dat seccomp brûkt om it meitsjen fan bestannen mei SUID / SGID-flaggen te foarkommen;
  • Implementearre standert beheiningen "NoNewPrivileges" en "RestrictSUIDSGID" yn tsjinsten mei ynskeakele dynamyske brûkers-ID generaasje ("DynamicUser");
  • De standert MACAddressPolicy=persistente ynstelling yn .link-bestannen is feroare om mear apparaten te dekken. Ynterfaces fan netwurkbrêgen, tunnels (tun, tap) en aggregearre keppelings (bân) identifisearje harsels net útsein troch de namme fan 'e netwurkynterface, dus dizze namme wurdt no brûkt as basis foar it binen fan MAC- en IPv4-adressen. Derneist is de ynstelling "MACAddressPolicy=random" tafoege, dy't brûkt wurde kin om MAC- en IPv4-adressen yn willekeurige folchoarder oan apparaten te binen;
  • ".device" ienheid triemmen oanmakke fia systemd-fstab-generator net mear befetsje de oerienkommende ".mount" ienheden as ôfhinklikens yn de "Wants =" seksje. Simpelwei hechtsje in apparaat net mear automatysk lansearret in mount ienheid, mar sokke ienheden kinne noch wurde lansearre foar oare redenen, lykas as ûnderdiel fan local-fs.target of as in ôfhinklikheid fan oare ienheden dy't ôfhinklik binne fan local-fs.target;
  • Stipe foar maskers ("*", ensfh.) is tafoege oan de kommando's "networkctl list/status/lldp" om bepaalde groepen netwurkynterfaces troch in diel fan har namme te filterjen;
  • De omjouwingsfariabele $PIDFILE is no ynsteld mei it absolute paad dat yn tsjinsten konfigurearre is fia de 'PIDFile=;
  • Publike Cloudflare-tsjinners (1.1.1.1) tafoege oan it oantal reservekopy DNS-tsjinners brûkt as de primêre DNS net eksplisyt definiearre is. Om de list mei reservekopy DNS-tsjinners te oerskriuwen, kinne jo de opsje "-Ddns-servers=" brûke;
  • As in USB Device Controller wurdt ûntdutsen, in nije usb-gadget.target handler automatysk lansearre (as it systeem rint op in USB perifeare apparaat);
  • Foar ienheidsbestannen wurdt de "CPUQuotaPeriodSec=" ynstelling ymplemintearre, dy't de tiidperioade bepaalt relatyf oan dêr't de CPU-tiidskwota wurdt mjitten, ynsteld troch de "CPUQuota=" ynstelling;
  • Foar ienheidsbestannen wurdt de "ProtectHostname="-ynstelling ymplementearre, dy't tsjinsten ferbiedt om ynformaasje oer de hostnamme te feroarjen, sels as se de passende tagongsrjochten hawwe;
  • Foar ienheidsbestannen wurdt de "NetworkNamespacePath=" ynstelling ymplemintearre, wêrtroch jo de nammeromte kinne bine oan tsjinsten of socket-ienheden troch it paad nei it nammeromtebestân yn 'e /proc pseudo-FS;
  • De mooglikheid taheakke om it ferfangen fan omjouwingsfariabelen út te skeakeljen foar prosessen dy't lansearre binne mei de "ExecStart=" ynstelling troch it tafoegjen fan it ":" karakter foar it start kommando;
  • Foar timers (.timer units), nije flaggen "OnClockChange=" en
    "OnTimezoneChange=", wêrmei jo de oprop fan 'e ienheid kinne kontrolearje by it feroarjen fan de systeemtiid of tiidsône;

  • Nije ynstellings tafoege "ConditionMemory=" en "ConditionCPUs=" dy't de betingsten bepale foar it oproppen fan in ienheid ôfhinklik fan de grutte fan it ûnthâld en it oantal CPU-kearnen (bygelyks, in boarne-yntinsive tsjinst kin allinich starte wurde as it fereaske bedrach fan RAM is beskikber);
  • In nije time-set.target-ienheid is tafoege dy't de lokaal ynstelde systeemtiid akseptearret, sûnder it brûken fan fermoedsoening mei eksterne eksakte tiidservers mei de time-sync.target-ienheid. De nije ienheid kin brûkt wurde troch tsjinsten dy't nedich de krektens fan in unsyngronisearre lokale klok;
  • Added "--show-transaction" opsje oan "systemctl start" en ferlykbere kommando's om in gearfetting te werjaan fan alle banen tafoege oan 'e wachtrige fanwege de frege operaasje;
  • systemd-networkd hat in definysje ymplemintearre foar in nije steat, 'ferslave', brûkt ynstee fan 'degradearre' of 'drager' foar netwurkynterfaces dy't diel útmeitsje fan aggregearre keppelings of netwurkbrêgen. Foar primêre ynterfaces, yn gefal fan problemen mei ien fan 'e gearstalde keppelings, is de tastân 'degradearre drager' tafoege;
  • Added "IgnoreCarrierLoss=" opsje oan .network ienheden te bewarjen netwurk ynstellings yn gefal fan ferbining flater;
  • Troch de "RequiredForOnline =" ynstelling yn .network units, kinne jo no ynstelle de minimale tastiene keppeling steat nedich om oerdrage de netwurk ynterface nei "online" en trigger de systemd-networkd-wait-online handler;
  • "--elke" opsje tafoege oan systemd-networkd-wait-online om te wachtsjen op ien fan 'e oantsjutte netwurkynterfaces om klear te wêzen ynstee fan alles, en "--operational-state=" opsje om de steat fan 'e keppeling te definiearjen dy't oanjout dat it is klear;
  • "UseAutonomousPrefix=" en "UseOnLinkPrefix=" ynstellings tafoege oan .network-ienheden dy't kinne wurde brûkt om foarheaksels te negearjen by it krijen fan
    oankundiging fan in IPv6 router (RA, Router Advertisement);

  • Added "MulticastFlood =", "NeighborSuppression =" en "Learning =" ynstellings oan .network ienheden te feroarjen de netwurk brêge operaasje parameters, likegoed as de "TripleSampling =" ynstelling te feroarjen de TRIPLE-SAMPLING modus fan firtuele CAN ynterfaces;
  • Added "PrivateKeyFile =" en "PresharedKeyFile =" ynstellings oan .netdev ienheden, wêrmei jo kinne oantsjutte privee en dielde (PSK) kaaien foar WireGuard VPN ynterfaces;
  • Tafoege deselde-cpu-krypt en submit-fan-krypt-cpus opsjes oan /etc/crypttab te kontrolearjen scheduler gedrach by it migrearjen fan fersifering-relatearre banen tusken CPU kearnen;
  • systemd-tmpfiles soarget foar ferwurking fan it beskoattelbestân foar it útfieren fan operaasjes yn mappen mei tydlike bestannen, wêrtroch jo it wurk fan it skjinmeitsjen fan ferâldere bestannen kinne útskeakelje foar de doer fan bepaalde aksjes (bygelyks by it útpakken fan in tar-argyf yn / tmp, heul âld bestannen kinne wurde iepene dy't net kinne wurde wiske foar it ein fan 'e aksje mei har);
  • It kommando "systemd-analyze cat-config" jout de mooglikheid om te analysearjen in konfiguraasje splitst yn ferskate triemmen, Bygelyks, brûker en systeem presets, de ynhâld fan tmpfiles.d en sysusers.d, udev regels, ensfh.
  • Added "--cursor-file=" opsje oan "journalctl" om bestân oan te jaan om te laden en op te slaan rinnerkeposysje;
  • Added definysje fan ACRN hypervisor en WSL subsysteem (Windows Subsystem foar Linux) oan systemd-detect-virt foar folgjende branching mei help fan betingst operator "ConditionVirtualization";
  • Stopte mei it meitsjen fan symboalyske keppelings yn /etc nei systemd-networkd.service, systemd-networkd.socket, systemd-networkd.socket,
    systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
    systemd-networkd-wait-online.service en systemd-timesyncd.service. Om dizze bestannen te meitsjen, moatte jo no it kommando "systemctl preset-all" útfiere.

Boarne: opennet.ru

[:]

Add a comment