ProHoster > Blog > ynternet nijs > systemd systeembehearder release 257

systemd systeembehearder release 257

Nei seis moannen fan ûntwikkeling waard de frijlitting fan 'e systeembehearder systemd 257 presintearre: nije nutsbedriuwen systemd-sbsign en systemd-keyutil, stipe foar MPTCP as aktivearre oer in socket, inisjele stipe foar it bouwen mei de Musl C-bibleteek, de. updatectl-hulpprogramma foar it behearen fan de ynstallaasje fan updates fia systemd-sysupdate, de mooglikheid om tsjinsten te starten yn aparte PID-nammeromten, beskerming tsjin tafallich wiskjen fan bestannen by it brûken fan "systemd-tmpfiles —purge".

Under de feroaringen yn 'e nije release:

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux en de initrd-systeemomjouwing yn it ûnthâld laden.
  • In nij hulpprogramma, systemd-keyutil, is tafoege dat ferskate operaasjes ymplementearret op privee kaaien en X.509-sertifikaten. Bygelyks, systemd-keyutil kin brûkt wurde om de mooglikheid te testen om privee kaaien en sertifikaten te laden, en publike kaaien fan har te ekstrahearjen yn PEM-formaat.
  • Yn 'e ".socket"-ienheden dy't brûkt wurde om de wurking fan it socket-aktivaasjemeganisme te garandearjen (prosessen starte by it besykjen om in netwurkferbining op te setten), wurdt stipe ymplementearre foar MPTCP (Multipath TCP), in útwreiding fan it TCP-protokol foar it organisearjen fan 'e wurking fan in TCP-ferbining mei de levering fan pakketten tagelyk lâns ferskate rûtes fia ferskate netwurkynterfaces dy't ferbûn binne mei ferskate Myn IP-adres.
  • Omfettet wizigingen dy't nedich binne om te bouwen mei de standert Musl C-bibleteek.
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • De mooglikheden fan 'e systemd-sysupdate-komponint binne útwreide, brûkt om updates automatysk te ûntdekken, te downloaden en te ynstallearjen mei in atomysk meganisme foar it ferfangen fan partysjes, bestannen of mappen (twa ûnôfhinklike partysjes / bestannen / mappen wurde brûkt, wêrfan ien de aktuele wurking befettet boarne, en de oare ynstalleart de folgjende) update, wêrnei't de seksjes / bestannen / mappen wurde wiksele). Yn 'e praktyk wurdt systemd-sysupdate al brûkt yn GNOME OS.

    Neist it systemd-sysupdate-proses is in tsjinst mei deselde namme tafoege wêrmei D-Bus kin wurde brûkt om systeemupdates te behearjen troch in net-privilegearre brûker. Om de tsjinst te behearjen, is ek in nij updatectl-hulpprogramma opnommen. Flagge "--offline" tafoege oan systemd-sysupdate om it downloaden fan metadata oer it netwurk út te skeakeljen en allinich ferzjes te brûken dy't al ynladen binne nei it lokale systeem. Stipe tafoege foar útfier yn JSON-formaat foar alle kommando's.

  • In nije eigenskip "PrivatePIDs" is ymplementearre foar tsjinsten, wêrmei jo de lansearring fan prosessen mei PID 1 (init proses) kinne organisearje yn in aparte proses-identifikaasjeromte (PID-nammeromte). Yn 'e omjouwing makke foar it lansearre proses, sille allinich prosessen fan' e nammeromte dy't dêrfoar makke binne sichtber wêze.
  • Stipe tafoege foar saak-ûngefoelige wedstriden oan udev-regels (bgl. 'ATTR{foo}==i»abcd»'). Mei it brûken fan udev is it mooglik om unprivilegearre lokale brûkers tagong te jaan ("uaccess") ta it /dev/udmabuf-apparaat, dat nedich is foar it wurkjen mei IPMI-kamera's fia libcamera. udev jout erkenning fan ferskate hardware Krypto-slúven mei in USB-ynterface en stelt it ID_HARDWARE_WALLET-eigenskip foar har yn, wêrtroch jo de "uaccess"-modus op har kinne tapasse foar tagong troch unprivileged brûkers.
  • Nije fjilden RELEASE_TYPE, EXPERIMENT en EXPERIMENT_URL binne tafoege oan it /etc/os-release-bestân. "RELEASE_TYPE" kin de wearden "eksperiminteel", "ûntwikkeling", "stabyl" en "lts" nimme om stabile ferzjes te skieden fan ûntwikkeling en eksperimintele builds. De parameters EXPERIMENT en EXPERIMENT_URL binne bedoeld om de essinsje fan 'e eksperimintele build te ferklearjen.
  • It run0-hulpprogramma, ûntwikkele as ferfanging foar it sudo-programma, hat de opsje "--shell-prompt-prefix" tafoege, dy't de prefix-string foar de kommando-shell-prompt spesifisearret. Standert wurdt de emoji "🦸" werjûn as foarheaksel om in ferhege sesje visueel te markearjen.
  • Yn systemd-tmpfiles, om foar te kommen dat per ongeluk de ferkearde triemmen wiskje, jildt de "--purge" opsje no allinnich foar ynstellings yn tmpfiles.d/ dy't de "$" flagge eksplisyt ynsteld hawwe. De operaasje "--purge" fereasket no ek it opjaan fan op syn minst ien bestân út de map tmpfiles.d/. Foar strings mei it type 'L' is de flagge '?' tafoege, as opjûn, sil in symboalyske keppeling allinich makke wurde as it doeltriem bestiet.
  • Yn de tsjinst manager en besibbe nutsbedriuwen, de proses tracking koade bliuwt omboud te brûken PIDFD ynstee fan PID. In PIDFD is assosjearre mei in spesifyk proses en feroaret net, wylst in PID kin wurde assosjearre mei in oar proses neidat it aktuele proses ferbûn mei dy PID beëiniget.
  • Foar tsjinsten is it no mooglik om de wearde "debug" op te jaan yn 'e parameter "RestartMode", wêryn de mislearre tsjinst opnij starte sil mei debugmodus ynskeakele (de omjouwingsfariabele DEBUG_INVOCATION=1 is ynsteld), en de LogLevelMax-wearde sil wêze tydlik ferhege nei it debugnivo.
  • De PID 1-hanneler hat de mooglikheid om regels te laden foar de IPE (Integrity Policy Enforcement) LSM-module, dy't it yntegriteitsbelied foar it hiele systeem definiearje (hokker operaasjes binne tastien en hoe't de echtheid fan komponinten moat wurde ferifiearre).
  • De opsje "DeferReactivation" is tafoege oan 'e ".timer" ienheidbestannen, wêrtroch jo de folgjende aktivearring fan 'e timer kinne oerslaan as de tsjinst syn útfiering noch net foltôge hat sûnt de lêste aktivearring.
  • Yn 'e PrivateUsers-ienheidsbestânparameter is it no mooglik om de wearde "identiteit" op te jaan om it mappen fan brûkers-ID's yn te skeakeljen by it meitsjen fan in brûkersnammeromte.
  • Stipe tafoege foar de wearde "ôfbrutsen" oan de parameter PrivateTmp-ienheidbestân, dy't aparte tmpfs-eksimplaren sil brûke foar de mappen /tmp/ en /var/tmp/.
  • Stipe foar nije "privee" en "strikte" modi is tafoege oan de parameter ProtectControlGroups ienheidsbestân, as ynsteld, wurdt in nije cgroup nammeromte makke foar de tsjinst en cgroupfs wurdt monteard. As de "strikte" opsje ynsteld is, wurdt cgroupfs yn 'e modus allinich lêzen monteard.
  • De parameters StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory en ConfigurationDirectory jouwe de mooglikheid om de flagge ':ro' te brûken om tagong ta de oerienkommende mappen te beheinen ta allinich-lêsmodus.
  • Tafoege stipe foar de "firmware" wearde oan de "systemd.machine_id" kernel kommando line parameter, wêryn de systeem identifier (masine ID) wurdt berekkene basearre op de UUID fan SMBIOS / DeviceTree.
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • De resolvectl, timedatectl en systemd-inhibit-hulpprogramma's stypje no ynteraktive autorisaasje mei Polkit.
  • It hulpprogramma systemctl hat de mooglikheid taheakke om de flagge "--now" te brûken yn it kommando "reenable".
  • "--json"-opsje tafoege oan it systemd-mount-hulpprogramma foar útfier yn JSON-formaat (bygelyks as oantsjutte tegearre mei "--list-apparaten", sil in list mei apparaten wurde útfierd yn JSON-formaat).
  • Opsjes "-l" en "--fol" tafoege oan it hulpprogramma "localectl" om it trimmen fan lange rigels by útfier út te skeakeljen.
  • De HibernateOnACPower-opsje is tafoege oan sleep.conf, wêrtroch jo it wikseljen nei sliepmodus fertrage kinne oant it apparaat loskeppele is fan 'e stasjonêre krêftboarne.
  • Yn systemd-sysusers is stipe foar de "!"-modifier tafoege oan 'e "u"-rigels, wêrmei jo folslein beskoattele brûkersakkounts kinne oanmeitsje (earder waard it ynstellen fan in ferkeard wachtwurd brûkt om in brûker te blokkearjen, dy't bgl. net liede ta blokkearjen tidens kaai autentikaasje yn SSH).
  • Systemd-coredump foeget in opsje "EnterNamespace" ta dy't tagong jout ta de berchpuntromte fan alle ferûngelokke prosessen om har debuggen-symboalen te krijen. Yn 'e praktyk kin de opsje nuttich wêze foar it organisearjen fan backtrace fan kearnbestannen fan applikaasjes dy't rinne yn isolearre konteners.
  • systemd-logind omfettet it ferwurkjen fan de Ctrl-Alt-Shift-Esc-kombinaasje om it org.freedesktop.login1.SecureAttentionKey-sinjaal nei de komponinten fan 'e brûkersomjouwing te stjoeren mei in fersyk om in feilige oanmelddialooch te werjaan. Implementearre de ynstelling "DesignatedMaintenanceTime" om automatysk wurk te plannen om op in spesifisearre tiid te foltôgjen. Nei analogy mei stipe foar DRM- en evdev-apparaten, is stipe tafoege foar it konfigurearjen fan tagong foar net-befoarrjochte brûkers ta hidraw-apparaten (spielkontrôles en joysticks).
  • systemd-machined stipet no unprivilegearre kliïntoanmeldingen. firtuele masines en konteners. Tagong ta systemd-machined funksjonaliteit wurdt fersoarge fia de Varlink API, neist D-Bus.
  • In nije seksje "[IPv6AddressLabel]" is tafoege oan it networkd.conf-konfiguraasjetriem om labels en foarheaksels foar IPv6-adressen te konfigurearjen
  • Tafoege "--stdin" opsje oan 'networkctl bewurkje' kommando om triemynhâld fan standert stream te krijen. Stipe tafoege foar it bewurkjen en werjaan fan .netdev-bestannen troch in netwurkynterface oan te jaan oan de kommando's 'networkctl bewurkje' en 'networkctl cat'. Opsje tafoege "--no-freegje-wachtwurd" om ynteraktive autorisaasje út te skeakeljen.
  • In opsje "--sertifikaat-boarne" tafoege oan de ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart, en systemd-sbsign-helpprogramma's om in X.509-sertifikaat te laden fia de OpenSSL-provider ynstee fan direkt te laden fan in file.
  • systemd-boot foeget de mooglikheid ta om de folumeknoppen te brûken om op en del te bewegen troch it bootmenu, wat nuttich kin wêze op apparaten lykas smartphones. Stipe foar it ynstallearjen fan de UEFI Secure Boot-database yn ESL(db/dbx/...)-formaat foar systemd-boot is tafoege oan it bootctl-hulpprogramma.
  • Tafoege "--list-invocation" opsje oan journalctl om in list mei ienheidsoproppen te sjen en "--invocation" opsje ("-I") om logs sjen te litten ferbûn allinich mei in spesifike oprop.
  • systemd-nspawn foeget stipe ta foar unprivileged gebrûk fan FUSE (Bestânsysteem yn brûkersromte) yn konteners. By it brûken fan de opsje "--bind-brûker" wurde de SSH-kaaien fan 'e brûker dy't nedich binne foar tagong fia SSH trochstjoerd nei de kontener.
  • libsystemd hat in nije programmearynterface "sd-json" tafoege dy't it JSON-formaat brûkt, en ek in ynterface "sd-varlink" dy't IPC Varlink brûkt.
  • De oanrikkemandearre basiskearnferzje is opwurdearre nei frijlitting 5.4, foarme yn 2019. Takom jier binne se fan plan om te stopjen mei it stypjen fan âldere kernels en markearje de 5.4-release as de minimale stipe basisferzje.
  • Stipe foar cgroups v1 is ôfret en is standert útskeakele (om it yn te skeakeljen, moatte jo SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 op 'e kernel kommandorigel opjaan neist it ynskeakeljen fan it yn' e systemd ynstellings). De folgjende release fan systemd 258 is fan plan om de cgroups v1-relatearre koade folslein te ferwiderjen. Systemd ferzje 258 is ek pland om stipe te ferwiderjen foar System V-tsjinstskripts.

Boarne: opennet.ru

Keapje betroubere hosting foar siden mei DDoS-beskerming, VPS VDS-tsjinners 🔥 Keapje betroubere websidehosting mei DDoS-beskerming, VPS VDS-tsjinners | ProHoster