ProHoster > Blog > ynternet nijs > Release fan systemd system manager 252 mei UKI (Unified Kernel Image) stipe

Release fan systemd system manager 252 mei UKI (Unified Kernel Image) stipe

Nei fiif moannen fan ûntwikkeling waard de frijlitting fan 'e systeembehearder systemd 252 presintearre. fan de basis systeem omjouwing mei help fan digitale hantekeningen.

Предложенный метод подразумевает использование при загрузке унифицированного образа ядра UKI (Unified Kernel Image), объединяющего обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. UKI-образ оформляется в виде одного исполняемого файла в формате PE, который может быть загружен при помощи традиционных загрузчиков или напрямую вызван из прошивки UEFI. При вызове из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd.

Om de parameters fan 'e TPM PCR (Trusted Platform Module Platform Configuration Register) registers te berekkenjen dy't brûkt wurde om de yntegriteit te kontrolearjen en in digitale hantekening fan' e UKI-ôfbylding te generearjen, is in nije utility systemd-maatregel opnommen. De iepenbiere kaai en byhearrende PCR-ynformaasje dy't brûkt wurdt yn 'e hantekening kinne direkt wurde ynbêde yn' e UKI-bootôfbylding (de kaai en hantekening wurde bewarre yn in PE-bestân yn 'e '.pcrsig' en '.pcrkey' fjilden) en derút ekstrahearre troch eksterne of ynterne nutsbedriuwen.

Benammen de utilities systemd-cryptsetup, systemd-cryptenroll en systemd-creds binne oanpast om dizze ynformaasje te brûken, wêrmei jo kinne soargje dat fersifere skiifpartysjes bûn binne oan in digitaal ûndertekene kearn (yn dit gefal tagong ta de fersifere partysje wurdt allinich levere as de UKI-ôfbylding ferifikaasje hat trochjûn troch digitale hantekening basearre op parameters yn TPM).

Derneist is it hulpprogramma systemd-pcrphase opnommen, wêrtroch jo de bining fan ferskate bootstadia kinne kontrolearje oan parameters yn it ûnthâld fan kryptoprocessors dy't de TPM 2.0-spesifikaasje stypje (jo kinne bygelyks de LUKS2-partition-ûntsiferingskaai allinich beskikber meitsje yn de initrd-ôfbylding en blokkearje tagong ta it yn lettere stadia downloads).

Guon oare feroarings:

  • Soarget derfoar dat de standert locale is C.UTF-8 útsein as in oare locale is oantsjutte yn de ynstellings.
  • It is no mooglik om in folsleine tsjinst-preset-operaasje ("systemctl-preset") út te fieren by de earste boot. It ynskeakeljen fan presets by it opstarten fereasket bouwen mei de "-Dfirst-boot-full-preset" opsje, mar is pland om standert ynskeakele te wurden yn takomstige releases.
  • De brûkersbehear-ienheden befetsje in CPU-boarnekontrôler, dy't it mooglik makke om te soargjen dat de CPUWeight-ynstellingen tapast wurde op alle slice-ienheden dy't brûkt wurde om it systeem yn dielen te splitsen (app.slice, background.slice, session.slice) om boarnen te isolearjen tusken ferskate brûkerstsjinsten, konkurrearje foar CPU-boarnen. CPUWeight stipet ek de "idle" wearde om de passende boarne-foarsjenningsmodus te aktivearjen.
  • Yn tydlike ("fergonklike") ienheden en yn it systemd-repart-hulpprogramma is oerskriuwen fan ynstellings tastien troch it meitsjen fan drop-in-bestannen yn 'e map /etc/systemd/system/name.d/.
  • Foar systeemôfbyldings wurdt de flagge mei stipe einige ynsteld, dit feit bepaald op basis fan de wearde fan 'e nije parameter "SUPPORT_END=" yn it /etc/os-release-bestân.
  • Tafoege "ConditionCredential =" en "AssertCredential =" ynstellings, dy't kinne wurde brûkt om ienheden te negearjen of te crashen as bepaalde bewiisbrieven net oanwêzich binne yn it systeem.
  • Tafoege "DefaultSmackProcessLabel =" en "DefaultDeviceTimeoutSec =" ynstellings oan system.conf en user.conf om it standert SMACK-befeiligingsnivo en ienheidsaktivaasjetiid te definiearjen.
  • Yn 'e ynstellings "ConditionFirmware=" en "AssertFirmware=" is de mooglikheid tafoege om yndividuele SMBIOS-fjilden op te jaan, bygelyks om in ienheid allinich te starten as it fjild /sys/class/dmi/id/board_name de wearde "Custom" befettet Board", kinne jo "ConditionFirmware=smbios" -field(board_name = "Custom Board") oantsjutte.
  • It inisjalisaasjeproses (PID 1) hat no de mooglikheid om ynloggegevens te ymportearjen fan SMBIOS-fjilden (Type 11, "OEM-leveransierstrings") neist it definiearjen dêrfan fia qemu_fwcfg, wêrtroch it makliker is om ynloggegevens te jaan. firtuele masines en elimineert de needsaak foar ark fan tredden lykas cloud-init en ignition.
  • Tidens it ôfsluten is de logika foar it ûntsluten fan firtuele bestânsystemen (proc, sys) feroare en ynformaasje oer prosessen dy't it ûntsluten fan bestânsystemen blokkearje, wurdt bewarre yn it log.
  • It systeemopropfilter (SystemCallFilter) jout standert tagong ta de riscv_flush_icache-systeemoprop.
  • В загрузчике sd-boot добавлена возможность загрузки в смешанном режиме, в котором 64-разрядное ядро Linux запускается из 32-разрядной прошивки UEFI. Добавлена экспериментальная возможность автоматического применения ключей SecureBoot из файлов, найденных в ESP (EFI system partition).
  • Nije opsjes binne tafoege oan it bootctl-hulpprogramma: "-all-arsjitektueren" foar it ynstallearjen fan binaries foar alle stipe EFI-arsjitekten, "—root=" en "—image=" foar wurkjen mei in map of skiifôfbylding, "-install-source =" foar it definiearjen fan boarne foar ynstallaasje, "-efi-boot-option-description=" om nammen fan bootyngongen te kontrolearjen.
  • It kommando 'list-automounts' is tafoege oan it systemctl-hulpprogramma om in list mei automatysk monteare mappen wer te jaan en de opsje "--image=" om kommando's út te fieren yn relaasje ta de opjûne skiifôfbylding. "--state=" en "--type="-opsjes tafoege oan de kommando's 'show' en 'status'.
  • systemd-networkd tafoege opsjes "TCPCongestionControlAlgorithm =" om it TCP-congestiekontrôlealgoritme te selektearjen, "KeepFileDescriptor =" om de triembeskriuwing fan TUN/TAP-ynterfaces op te slaan, "NetLabel =" om NetLabels yn te stellen, "RapidCommit =" om konfiguraasje te fersnellen fia DHCPv6 (RFC 3315). De "RouteTable =" parameter lit de nammen fan routingtabellen opjaan.
  • systemd-nspawn lit it brûken fan relative triempaden yn 'e "--bind=" en "--overlay=" opsjes. Stipe tafoege foar de parameter 'rootidmap' oan 'e opsje "--bind=" om de root-brûkers-ID yn 'e kontener te binen oan de eigner fan' e monteare map op 'e hostside.
  • systemd-resolved brûkt OpenSSL as syn fersiferingsbackend standert (gnutls-stipe wurdt bewarre as in opsje). Net-stipe DNSSEC-algoritmen wurde no behannele as ûnfeilich ynstee fan in flater werom te jaan (SERVFAIL).
  • systemd-sysusers, systemd-tmpfiles en systemd-sysctl implementearje de mooglikheid om ynstellings oer te dragen fia in credential opslachmeganisme.
  • Tafoege 'compare-versions' kommando oan systemd-analyze om stringen te fergelykjen mei ferzjenûmers (lykas 'rpmdev-vercmp' en 'dpkg --compare-versions'). De mooglikheid tafoege om ienheden te filterjen troch masker oan it kommando 'systemd-analyze dump'.
  • By it selektearjen fan in multi-stage sliepmodus (suspend-dan-hibernate), wurdt de tiid bestege yn 'e standby-modus no selektearre op basis fan' e prognose fan 'e oerbleaune batterijlibben. Direkte oergong nei sliepmodus bart as der minder dan 5% batterijlading oerbliuwt.
  • In nije útfiermodus "-o short-delta" is tafoege oan 'journalctl', wêrby't it tiidferskil tusken ferskate berjochten yn it log toant.
  • systemd-repart foeget stipe ta foar it meitsjen fan partysjes mei it Squashfs-bestânsysteem en partysjes foar dm-verity, ynklusyf mei digitale hantekeningen.
  • "StopIdleSessionSec="-ynstelling tafoege oan systemd-login om in ynaktive sesje te beëinigjen nei in opjûne time-out.
  • Systemd-cryptenroll hat in opsje "--unlock-key-file=" tafoege om de ûntsiferingskaai út in bestân te heljen ynstee fan de brûker te freegjen.
  • It is no mooglik om it hulpprogramma systemd-growfs út te fieren yn omjouwings sûnder udev.
  • systemd-backlight hat ferbettere stipe foar systemen mei meardere grafyske kaarten.
  • De lisinsje foar de koadefoarbylden yn 'e dokumintaasje is feroare fan CC0 nei MIT-0.

Feroarings dy't kompatibiliteit brekke:

  • By it kontrolearjen fan it kearnferzjenûmer mei de ConditionKernelVersion-rjochtline, wurdt no in ienfâldige tekenrige fergeliking brûkt yn '=' en '!=' operators, en as de fergelikingsoperator hielendal net oantsjutte is, kin glob-mask-oerienkomst brûkt wurde mei de tekens '*', '?' En '[', ']'. Om stverscmp() stylferzjes te fergelykjen, brûk de operators '<', '>', '<=' en '>='.
  • Метка SELinux, применяемая для проверки доступа из unit-файла, теперь читается на этапе загрузки файла, а не в момент проверки доступа.
  • De betingst "ConditionFirstBoot" wurdt no op 'e earste boot fan it systeem allinich direkt yn' e opstartstadium aktivearre en jout "falsk" werom as ienheden oproppe nei't it opstarten foltôge is.
  • Yn 2024 is systemd fan plan om te stopjen mei it stypjen fan it cgroup v1-boarnebeheiningsmeganisme, dat waard ôfkard yn systemd release 248. Behearders wurde advisearre om foarôf te soargjen foar it migrearjen fan cgroup v2-basearre tsjinsten nei cgroup v1. It wichtichste ferskil tusken cgroups v2 en v1 is it brûken fan in mienskiplike cgroups hiërargy foar alle soarten boarnen, ynstee fan aparte hiërargyen foar it tawizen fan CPU-boarnen, foar it regulearjen fan ûnthâldferbrûk en foar I / O. Aparte hiërargyen liede ta swierrichheden yn it organisearjen fan ynteraksje tusken handlers en ta ekstra kernel boarne kosten by it tapassen fan regels foar in proses ferwiisd yn ferskillende hiërargyen.
  • Yn 'e twadde helte fan 2023 binne wy ​​fan plan om stipe te beëinigjen foar split-maphierarchyen, wêr't /usr apart fan 'e root is monteard, of /bin en /usr/bin, /lib en /usr/lib wurde skieden.

Boarne: opennet.ru

Keapje betroubere hosting foar siden mei DDoS-beskerming, VPS VDS-tsjinners 🔥 Keapje betroubere websidehosting mei DDoS-beskerming, VPS VDS-tsjinners | ProHoster