ProHoster > Blog > naidheachdan eadar-lìn > siostam manaidsear siostam sgaoileadh 250

siostam manaidsear siostam sgaoileadh 250

Às deidh còig mìosan de leasachadh, chaidh leigeil ma sgaoil manaidsear an t-siostaim systemd 250 a thaisbeanadh. tòiseachadh air seirbheisean, agus roghainnean a bharrachd airson ruigsinneachd seirbheis a chuingealachadh gu cuid de shiostaman faidhle agus eadar-aghaidh lìonra, tha taic airson sgrùdadh iomlanachd sgaradh a’ cleachdadh a’ mhodal dm-ionracas air a thoirt seachad, agus taic airson ùrachadh fèin-ghluasadach sd-boot air a chur ris.

Atharraichean mòra:

  • Taic a bharrachd airson teisteanasan crioptaichte agus dearbhte, a dh’ fhaodadh a bhith feumail airson stuthan mothachail leithid iuchraichean SSL agus faclan-faire ruigsinneachd a stòradh gu tèarainte. Cha tèid teisteanasan a dhì-chrioptachadh ach nuair a tha sin riatanach agus an co-cheangal ris an stàladh no an uidheamachd ionadail. Tha dàta air a chrioptachadh gu fèin-ghluasadach a’ cleachdadh algoirmean crioptachaidh co-chothromach, agus faodar an iuchair airson a lorg san t-siostam faidhle, anns a’ chip TPM2, no a’ cleachdadh sgeama measgachadh. Nuair a thòisicheas an t-seirbheis, thèid na teisteanasan a dhì-chrioptachadh gu fèin-ghluasadach agus bidh iad rim faighinn leis an t-seirbheis san riochd àbhaisteach aca. Gus obrachadh le teisteanasan crioptaichte, chaidh an goireas ‘systemd-creds’ a chur ris, agus chaidh na roghainnean LoadCredentialEncrypted agus SetCredentialEncrypted a mholadh airson seirbheisean.
  • sd-stub, an gnìomh EFI a leigeas le firmware EFI an kernel Linux a luchdachadh, a-nis a’ toirt taic do bhith a ’putadh an kernel a’ cleachdadh protocol LINUX_EFI_INITRD_MEDIA_GUID EFI. Cuideachd air a chur ri sd-stub tha an comas teisteanasan agus faidhlichean sysext a phacadh a-steach do thasglann cpio agus an tasglann seo a ghluasad chun kernel còmhla ris an initrd (tha faidhlichean a bharrachd air an cur san eòlaire /.extra/). Leigidh am feart seo leat àrainneachd initrd so-ghluasadach so-ghluasadach a chleachdadh, le taic bho sysexts agus dàta dearbhaidh crioptaichte.
  • Chaidh an sònrachadh Discoverable Partitions a leudachadh gu mòr, a’ toirt seachad innealan airson a bhith a’ comharrachadh, a’ cur suas agus a’ cur an gnìomh sgaraidhean siostam a’ cleachdadh GPT (GUID Partition Tables). An coimeas ri fiosan roimhe, tha an sònrachadh a-nis a’ toirt taic don sgaradh freumh agus / usr partition airson a’ mhòr-chuid de ailtireachd, a’ toirt a-steach àrd-ùrlaran nach bi a’ cleachdadh UEFI.

    Bidh Discoverable Parttions cuideachd a’ cur taic ri sgaraidhean aig a bheil ionracas air a dhearbhadh leis a’ mhodal dm-verity a’ cleachdadh ainmean-sgrìobhte didseatach PKCS #7, ga dhèanamh nas fhasa ìomhaighean diosc làn-dhearbhte a chruthachadh. Tha taic dearbhaidh air fhilleadh a-steach do ghrunn ghoireasan a bhios a’ làimhseachadh ìomhaighean diosc, a’ gabhail a-steach systemd-nspawn, systemd-sysext, systemd-dissect, seirbheisean RootImage, systemd-tmpfiles, agus systemd-sysusers.

  • Airson aonadan a bheir ùine mhòr airson tòiseachadh no stad, a bharrachd air a bhith a’ taisbeanadh bàr adhartais beòthail, tha e comasach fiosrachadh inbhe a thaisbeanadh a leigeas leat tuigsinn dè dìreach a tha a’ tachairt leis an t-seirbheis an-dràsta agus dè an t-seirbheis a th’ aig manaidsear an t-siostaim. an-dràsta a’ feitheamh ri chrìochnachadh.
  • Chuir sinn am paramadair DefaultOOMScoreAdjust ri /etc/systemd/system.conf agus /etc/systemd/user.conf, a leigeas leat an stairsneach OOM-killer atharrachadh airson cuimhne ìosal, a tha iomchaidh do phròiseasan a thòisicheas systemd airson an t-siostam agus luchd-cleachdaidh. Gu gnàthach, tha cuideam seirbheisean siostaim nas àirde na cuideam seirbheisean luchd-cleachdaidh, i.e. Nuair nach eil cuimhne gu leòr ann, tha an coltachd gun tèid seirbheisean luchd-cleachdaidh a thoirt gu crìch nas àirde na feadhainn an t-siostaim.
  • Chuir sinn ris an t-suidheachadh RestrictFileSystems, a leigeas leat ruigsinneachd sheirbheisean gu seòrsachan sònraichte de shiostaman faidhle a chuingealachadh. Gus na seòrsaichean siostaman faidhle a tha rim faighinn fhaicinn, faodaidh tu an àithne “systemd-analyze filesystems” a chleachdadh. Le samhlachadh, chaidh an roghainn RestrictNetworkInterfaces a chuir an gnìomh, a leigeas leat ruigsinneachd air cuid de eadar-aghaidh lìonra a chuingealachadh. Tha am buileachadh stèidhichte air modal BPF LSM, a tha a’ cuingealachadh ruigsinneachd buidheann de phròiseasan gu nithean kernel.
  • Chuir sinn faidhle rèiteachaidh /etc/integritytab ùr ris agus goireas systemd-integritysetup a bhios a’ rèiteachadh a’ mhodal dm-ionracas gus smachd a chumail air ionracas dàta aig ìre na roinne, mar eisimpleir, gus dèanamh cinnteach à neo-sheasmhachd dàta crioptaichte (Crioptachadh dearbhte, a’ dèanamh cinnteach gu bheil bloc dàta ann. nach deach atharrachadh ann an dòigh cearcall-rathaid). Tha cruth an fhaidhle /etc/integritytab coltach ris na faidhlichean /etc/crypttab agus /etc/veritytab, ach a-mhàin gu bheil dm-ionracas air a chleachdadh an àite dm-crypt agus dm-verity.
  • Chaidh faidhle aonad ùr systemd-boot-update.service a chur ris, nuair a thèid a ghnìomhachadh agus an sd-boot bootloader air a chuir a-steach, bheir systemd ùrachadh gu fèin-ghluasadach air an tionndadh den sd-boot bootloader, a ’cumail a’ chòd bootloader an-còmhnaidh ùraichte. Tha sd-boot fhèin a-nis air a thogail gu bunaiteach le taic airson uidheamachd SBAT (UEFI Secure Boot Advanced Targeting), a dh’ fhuasglas duilgheadasan le cùl-ghairm teisteanais airson UEFI Secure Boot. A bharrachd air an sin, tha sd-boot a’ toirt comas dhut roghainnean bròg Microsoft Windows a pharsadh gus ainmean sgaradh bròg a ghineadh gu ceart le Windows agus an dreach Windows a thaisbeanadh.

    Tha sd-boot cuideachd a’ toirt seachad comas sgeama dathan a mhìneachadh aig àm togail. Tron phròiseas bròg, chuir sinn taic ris airson rùn an sgrion atharrachadh le bhith a’ putadh air an iuchair “r”. Chaidh hotkey “f” a chuir ris gus a dhol chun eadar-aghaidh rèiteachaidh firmware. Chaidh modh a chuir ris gus an siostam a thòiseachadh gu fèin-ghluasadach a rèir an rud clàr a chaidh a thaghadh tron ​​​​bhròg mu dheireadh. Chuir sinn ris a’ chomas air draibhearan EFI a luchdachadh gu fèin-ghluasadach a tha suidhichte anns an / EFI / systemd / draibhearan / eòlaire anns an roinn ESP (EFI System Partition).

  • Tha factaraidh faidhle aonad ùr-reset.target air a thoirt a-steach, a tha air a phròiseasadh ann an systemd-logind ann an dòigh coltach ri gnìomhachd ath-thòiseachadh, poweroff, stad agus cadal a’ gheamhraidh, agus air a chleachdadh gus luchd-làimhseachaidh a chruthachadh airson ath-shuidheachadh factaraidh a dhèanamh.
  • Tha am pròiseas fuasgladh systemd a-nis a’ cruthachadh socaid èisteachd a bharrachd aig 127.0.0.54 a bharrachd air 127.0.0.53. Bidh iarrtasan a thig gu 127.0.0.54 an-còmhnaidh air an ath-stiùireadh gu frithealaiche DNS shuas an abhainn agus chan eil iad air an giullachd gu h-ionadail.
  • Cho fad ‘s a bha e comasach togail systemd-in-mhalairt agus fuasgladh systemd leis an leabharlann OpenSSL an àite libgcrypt.
  • Chuir sinn taic tùsail ris airson ailtireachd LoongArch a chaidh a chleachdadh ann am pròiseasairean Loongson.
  • tha systemd-gpt-auto-generator a’ toirt seachad comas air sgaraidhean suaip a tha air am mìneachadh leis an t-siostam a rèiteachadh gu fèin-ghluasadach le fo-shiostam LUKS2.
  • Tha an còd parsaidh ìomhaigh GPT a thathar a’ cleachdadh ann an systemd-nspawn, systemd-dissect, agus goireasan coltach ris a’ buileachadh comas ìomhaighean a dhì-chòdachadh airson ailtireachd eile, a’ leigeil le systemd-nspawn a bhith air a chleachdadh gus ìomhaighean a ruith air emuladairean ailtireachd eile.
  • Nuair a bhios tu a’ sgrùdadh ìomhaighean diosc, tha systemd-dissect a-nis a’ taisbeanadh fiosrachadh mu adhbhar a’ sgaradh, leithid freagarrachd airson bròg tro UEFI no ruith ann an soitheach.
  • Chaidh an raon “SYSEXT_SCOPE” a chur ris an system-extension.d/ files, a’ toirt cothrom dhut farsaingeachd ìomhaigh an t-siostaim a chomharrachadh - “initrd”, “system” no “so-ghiùlain”.
  • Chaidh raon “PORTABLE_PREFIXES” a chur ris an fhaidhle os-release, a dh'fhaodar a chleachdadh ann an ìomhaighean so-ghiùlain gus ro-leasachan faidhle aonad le taic a dhearbhadh.
  • Tha systemd-logind a’ toirt a-steach suidheachaidhean ùra HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress agus HandleHibernateKeyLongPress, a dh’ fhaodar a chleachdadh gus faighinn a-mach dè thachras nuair a thèid iuchraichean sònraichte a chumail sìos airson còrr air 5 diogan (mar eisimpleir, faodar putadh air an iuchair Suspend gu luath a-steach gu modh seasmhach gus a rèiteachadh , agus nuair a thèid a chumail sìos, thèid e gu cadal).
  • Airson aonadan, tha na roghainnean StartupAllowedCPUs agus StartupAllowedMemoryNodes air an cur an gnìomh, a tha eadar-dhealaichte bho shuidheachaidhean coltach ris às aonais an ro-leasachan Startup leis gu bheil iad air an cur an sàs dìreach aig ìre bròg is dùnadh, a leigeas leat cuingealachaidhean ghoireasan eile a shuidheachadh aig àm bròg.
  • Air a chur ris [Cumha | Dearbhadh] [Cuimhne | CPU | IO] Sgrùdaidhean cuideam a leigeas le gnìomhachd aonad a bhith air a sgiobadh no air fàiligeadh ma lorgas an inneal PSI eallach trom air cuimhne, CPU, agus I / O san t-siostam.
  • Chaidh a’ chrìoch inode as àirde a mheudachadh airson an sgaradh / dev bho 64k gu 1M, agus airson an sgaradh / tmp bho 400k gu 1M.
  • Chaidh suidheachadh ExecSearchPath a mholadh airson seirbheisean, a tha ga dhèanamh comasach an t-slighe airson lorg faidhlichean so-ghnìomhaichte a chaidh a chuir air bhog tro shuidheachaidhean mar ExecStart atharrachadh.
  • Chuir sinn ris an t-suidheachadh RuntimeRandomizedExtraSec, a leigeas leat claonaidhean air thuaiream a thoirt a-steach don ùine RuntimeMaxSec, a tha a’ cuingealachadh ùine cur gu bàs aonad.
  • Chaidh co-chòrdadh nan roghainnean RuntimeDirectory, StateDirectory, CacheDirectory agus LogsDirectory a leudachadh, anns an urrainn dhut a-nis le bhith a’ sònrachadh luach a bharrachd air a sgaradh le coloin, cruthachadh ceangal samhlachail ri eòlaire sònraichte airson ruigsinneachd a chuir air dòigh air grunn shlighean.
  • Airson seirbheisean, thathas a’ tabhann roghainnean TTYRows agus TTYColumns gus an àireamh de shreathan is cholbhan a shuidheachadh anns an inneal TTY.
  • Chuir sinn ris an t-suidheachadh ExitType, a leigeas leat an reusanachadh airson deireadh seirbheis atharrachadh. Gu gnàthach, cha bhith systemd a’ cumail sùil ach air bàs a’ phrìomh phròiseas, ach ma tha ExitType = cgroup air a shuidheachadh, fuirichidh manaidsear an t-siostaim gus am bi am pròiseas mu dheireadh sa cgroup deiseil.
  • Tha buileachadh systemd-cryptsetup de thaic TPM2 / FIDO2 / PKCS11 a-nis cuideachd air a thogail mar plugan cryptsetup, a’ ceadachadh an àithne àbhaisteach cryptsetup a chleachdadh gus sgaradh crioptaichte fhuasgladh.
  • Bidh an inneal-làimhseachaidh TPM2 ann an systemd-cryptsetup / systemd-cryptsetup a’ cur taic ri prìomh iuchraichean RSA a bharrachd air iuchraichean ECC gus co-chòrdalachd le sgoltagan neo-ECC a leasachadh.
  • Chaidh an roghainn token-timeout a chuir ri /etc/crypttab, a leigeas leat an ùine as fhaide a dh’ fheitheamh airson ceangal tòcan PKCS #11/FIDO2 a mhìneachadh, agus às deidh sin thèid iarraidh ort facal-faire no iuchair ath-bheothachaidh a chuir a-steach.
  • Bidh systemd-timesyncd a’ buileachadh suidheachadh SaveIntervalSec, a leigeas leat ùine an t-siostaim gnàthach a shàbhaladh gu diosc, mar eisimpleir, gus gleoc monotonach a chuir an gnìomh air siostaman às aonais RTC.
  • Chaidh roghainnean a chuir ris a’ ghoireas systemd-analyze: “--image” agus “-root” airson sgrùdadh a dhèanamh air faidhlichean aonad taobh a-staigh ìomhaigh sònraichte no eòlaire freumh, “--recursive-errors” airson a bhith a’ toirt aire do dh'aonadan eisimeileach nuair a tha mearachd ann. air a lorg, “--offline” airson a bhith a’ sgrùdadh fhaidhlichean aonad air an sàbhaladh gu diosc, “-json” airson toradh ann an cruth JSON, “-sàmhach” gus teachdaireachdan neo-chudromach a chuir à comas, “-profile” gus ceangal ri pròifil so-ghiùlain. Cuideachd air a chur ris tha an t-òrdugh inspect-elf airson parsadh prìomh fhaidhlichean ann an cruth ELF agus an comas sgrùdadh a dhèanamh air faidhlichean aonaid le ainm aonad sònraichte, ge bith a bheil an t-ainm seo a’ freagairt ri ainm an fhaidhle.
  • Tha systemd-networkd air taic a leudachadh airson bus Lìonra Sgìre an Rianadair (CAN). Suidhichidhean a bharrachd gus smachd a chumail air modhan CAN: Loopback, OneShot, PresumeAck agus ClassicDataLengthCode. Ùine air a chur risQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 agus DataSyncJumpWidth roghainnean don roinn [CANch] fhaidhlichean co-shìnteadh gu eadar-aghaidh smachd bit.
  • Tha Systemd-networkd air roghainn Label a chuir ris airson an neach-dèiligidh DHCPv4, a leigeas leat an leubail seòlaidh a chleachdadh nuair a bhios tu a’ rèiteachadh seòlaidhean IPv4.
  • tha systemd-udevd airson "ethtool" a 'toirt taic do luachan sònraichte "max" a shuidhich meud bufair chun an luach as motha le taic bhon bhathar-cruaidh.
  • Ann am faidhlichean .link airson systemd-udevd faodaidh tu a-nis diofar pharaimearan a rèiteachadh airson innealan-atharrachaidh lìonra a chur còmhla agus làimhseachadh bathar-cruaidh a cheangal (luchdachadh sìos).
  • tha systemd-networkd a’ tabhann faidhlichean .network ùra gu bunaiteach: 80-container-vb.network gus drochaidean lìonra a chaidh a chruthachadh nuair a bhios iad a’ ruith systemd-nspawn a mhìneachadh leis na roghainnean “-network-bridge” no “-network-zone”; 80-6rd-tunnel.network gus tunailean a chruthachadh a thèid a chruthachadh gu fèin-ghluasadach nuair a gheibh iad freagairt DHCP leis an roghainn 6RD.
  • Tha systemd-networkd agus systemd-udevd air taic a chuir ris airson gluasad IP thairis air eadar-aghaidh InfiniBand, airson an deach an roinn “[IPoIB]” a chuir ris na faidhlichean systemd.netdev, agus chaidh giullachd an luach “ipoib” a chuir an gnìomh anns an Kind suidheachadh.
  • Tha systemd-networkd a’ toirt seachad rèiteachadh slighe fèin-ghluasadach airson seòlaidhean a tha air an sònrachadh ann am paramadair CeadaichteIPs, a dh’ fhaodar a rèiteachadh tro na paramadairean RouteTable agus RouteMetric anns na h-earrannan [WireGuard] agus [WireGuardPeer].
  • Tha systemd-networkd a’ toirt seachad gineadh fèin-ghluasadach de sheòlaidhean MAC nach eil ag atharrachadh airson an eadar-aghaidh batadv agus drochaid. Gus an giùlan seo a chur à comas, 's urrainn dhut MACAddress=chan eil gin a shònrachadh ann am faidhlichean .netdev.
  • Chaidh suidheachadh WakeOnLanPassword a chuir ri faidhlichean .link anns an roinn “[Ceangal]” gus am facal-faire a dhearbhadh nuair a tha WoL a’ ruith ann am modh “SecureOn”.
  • Air a chur ris AutoRateIngress, Modh Dìolaidh, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO agus UseRawPacketSize ris an roinn “[CAKE]” de fhaidhlichean .network gus paramadairean an uidheamachd lìonra CAKE (Gnìomhan cumanta air an cumail) a mhìneachadh .
  • Chuir sinn suidheachadh IgnoreCarrierLoss ris an roinn “[Network]” de .network files, a’ toirt cothrom dhut faighinn a-mach dè cho fada ‘s a dh’ fheitheas tu mus gabh thu ri call comharra giùlain.
  • Tha systemd-nspawn, homectl, machinectl agus systemd-run air co-chàradh a’ pharameter “--setenv” a leudachadh - mura h-eil ach an t-ainm caochlaideach air a shònrachadh (às aonais “="), thèid an luach a thoirt bhon chaochladair àrainneachd co-fhreagarrach (airson mar eisimpleir, nuair a bhios tu a’ sònrachadh “--setenv = FOO” thèid an luach a thoirt bhon chaochladair àrainneachd $FOO agus a chleachdadh ann an caochladair àrainneachd den aon ainm a chaidh a shuidheachadh sa ghobhar).
  • tha systemd-nspawn air roghainn “--suppress-sync” a chuir ris gus gairmean siostam sioncranachaidh () / fsync () / fdatasync () a dhì-cheadachadh nuair a chruthaicheas tu soitheach (feumail nuair a tha astar na phrìomhachas agus a’ glèidheadh ​​stuthan togail air eagal ’s nach eil fàiligeadh ann cudromach, oir faodar an ath-chruthachadh aig àm sam bith).
  • Chaidh stòr-dàta hwdb ùr a chuir ris, a tha a’ toirt a-steach diofar sheòrsaichean de mhion-sgrùdairean comharran (ioma-mheatairean, sgrùdairean protocol, oscilloscopes, msaa). Chaidh fiosrachadh mu chamarathan ann an hwdb a leudachadh le raon le fiosrachadh mun t-seòrsa camara (cunbhalach no fo-dhearg) agus suidheachadh lionsa (aghaidh no cùl).
  • Gineadh comasach de dh’ ainmean eadar-aghaidh lìonra nach eil ag atharrachadh airson innealan netfront a thathas a ’cleachdadh ann an Xen.
  • Tha an sgrùdadh air prìomh fhaidhlichean leis a’ ghoireas systemd-coredump stèidhichte air na leabharlannan libdw/libelf a-nis air a dhèanamh ann am pròiseas air leth, aonaranach ann an àrainneachd bogsa gainmhich.
  • tha systemd-importd air taic a chuir ris airson caochladairean àrainneachd $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, leis an urrainn dhut gineadh fo-roinnean Btrfs a chur à comas, a bharrachd air cuotathan a rèiteachadh agus sioncronadh diosc.
  • Ann an systemd-journald, air siostaman faidhle a bheir taic do mhodh lethbhreac-air-sgrìobhadh, tha modh COW air ath-chomasachadh airson irisean tasglainn, a’ leigeil leotha a bhith air an teannachadh le bhith a’ cleachdadh Btrfs.
  • bidh systemd-journald a’ toirt air falbh raointean co-ionann ann an aon teachdaireachd, a thèid a dhèanamh aig an ìre mus cuir thu am brath san iris.
  • Chaidh roghainn “--show” a chuir ris an àithne dùnadh gus dùnadh clàraichte a thaisbeanadh.

Source: fosgailtenet.ru

Cuir beachd ann