ProHoster > Blog > naidheachdan eadar-lĂŹn > siostam manaidsear siostam sgaoileadh 242

siostam manaidsear siostam sgaoileadh 242

Às dèidh dà mhìos de leasachadh, chaidh am manaidsear siostaim systemd 242 fhoillseachadh. Am measg nan feartan ùra tha taic airson tunailean L2TP, a’ chomas smachd a chumail air giùlan systemd-logind rè ath-thòiseachadh tro chaochladairean àrainneachd, taic airson roinnean tòiseachaidh leudaichte (XBOOTLDR) airson a bhith a’ sreap /boot, a’ chomas tòiseachadh bho roinn freumh overlayfs, agus àireamh mhòr de shuidheachaidhean ùra airson diofar sheòrsaichean aonadan.

Atharraichean mòra:

  • systemd-networkd a’ toirt taic do thunailean L2TP;
  • Bidh sd-boot agus bootctl a’ toirt taic do phĂ irtean XBOOTLDR (Leudaichte Boot Loader) a chaidh a dhealbhadh airson a chuir suas air / boot, a bharrachd air sgaraidhean ESP air an cur suas air / efi no / boot / efi. Faodar kernels, suidheachaidhean, ĂŹomhaighean initrd agus EFI a-nis a bhrĂšthadh bho gach cuid sgaradh ESP agus XBOOTLDR. Leigidh an t-atharrachadh seo leat an sd-boot bootloader a chleachdadh ann an suidheachaidhean nas gleidhidh, nuair a tha an bootloader fhèin suidhichte san ESP, agus na kernels luchdaichte agus meata-dĂ ta co-cheangailte riutha air an cur ann an roinn air leth;
  • Chuir sinn ris a’ chomas bròg leis an roghainn “systemd.volatile = overlay” a chaidh a thoirt don kernel, a leigeas leat an sgaradh freumha a chuir ann an ath-chòmhdach agus obair a chuir air dòigh air mullach ĂŹomhaigh a leughas a-mhĂ in den eòlaire freumh le atharrachaidhean air an sgrĂŹobhadh gu a eòlaire air leth ann an tmpfs (tha atharrachaidhean san rèiteachadh seo air chall Ă s deidh ath-thòiseachadh). Le samhlachadh, tha systemd-nspawn air an roghainn “--volatile = overlay” a chuir ris gus comas-gnĂŹomh coltach ris a chleachdadh ann an soithichean;
  • Tha systemd-nspawn air an roghainn “--oci-bundle” a chuir ris gus leigeil le pasganan runtime a chleachdadh gus soithichean a chuir air bhog leotha fhèin a tha a rèir sònrachadh an Iomairt Container Fosgailte (OCI). Airson a chleachdadh anns an loidhne-Ă ithne agus aonadan nspawn, thathas a’ moladh taic airson diofar roghainnean a tha air am mĂŹneachadh ann an sònrachadh OCI, mar eisimpleir, faodar na roghainnean “--inaccessible” agus “Inaccessible” a chleachdadh gus pĂ irtean den t-siostam faidhle a thoirmeasg, agus an “ --console" chaidh roghainnean a chuir ris gus sruthan toraidh Ă bhaisteach agus “-pipe” a rèiteachadh;
  • Chuir sinn ris a’ chomas smachd a chumail air giĂšlan systemd-logind tro chaochladairean Ă rainneachd: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU agus
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. Le bhith a’ cleachdadh nan caochladairean sin, faodaidh tu na luchd-làimhseachaidh pròiseas ath-thòiseachadh agad fhèin a cheangal (/run/systemd/reboot-to-firmware-setup, / run/systemd/reboot-to-boot-loader-menu agus
    /run/systemd/reboot-to-boot-loader-entry) no cuir Ă  comas iad gu tur (ma tha an luach air a shuidheachadh gu ceĂ rr);
  • Roghainnean a chaidh a chur ris “-boot-load-menu=” agus
    “—boot-loader-entry=”, a’ toirt cothrom dhut nì clàr-taice sònraichte no modh bròg a thaghadh às deidh ath-thòiseachadh;
  • Chuir sinn ris Ă ithne aonaranachd bogsa gainmhich Ăšr “RestrictSUIDSGID=”, a bhios a’ cleachdadh seccomp gus casg a chuir air cruthachadh fhaidhlichean le brataichean SUID/SGID;
  • Dèan cinnteach gu bheil na cuingeadan “NoNewPrivileges” agus “RestrictSUIDSGID” air an cur an sĂ s gu bunaiteach ann an seirbheisean leis a ’mhodh gineadh ID cleachdaiche fiĂšghantach (“DynamicUser” air a chomasachadh);
  • The default MACAddressPolicy=Chaidh an suidheachadh seasmhach ann am faidhlichean .link atharrachadh gus barrachd uidheaman a chòmhdach. Chan eil eadar-aghaidh drochaidean lĂŹonra, tunailean (tun, tap) agus ceanglaichean iomlan (bond) gan comharrachadh fhèin ach le ainm eadar-aghaidh an lĂŹonraidh, agus mar sin tha an t-ainm seo a-nis air a chleachdadh mar bhunait airson seòlaidhean MAC agus IPv4 a cheangal. A bharrachd air an sin, chaidh an suidheachadh “MACAddressPolicy = random” a chur ris, a dh'fhaodar a chleachdadh gus seòlaidhean MAC agus IPv4 a cheangal ri innealan ann an òrdugh air thuaiream;
  • Chan eil faidhlichean aonad “.device” a chaidh a chruthachadh tro systemd-fstab-generator a’ toirt a-steach na h-aonadan “.mount” co-fhreagarrach tuilleadh mar eisimeileachd san roinn “Wants=". Is ann dĂŹreach le bhith a’ plugadh inneal a-steach chan eil sin a’ cur aonad air bhog gu fèin-ghluasadach, ach faodar aonadan mar sin a chuir air bhog fhathast airson adhbharan eile, leithid mar phĂ irt de local-fs.target no mar eisimeileachd air aonadan eile a tha an urra ri local-fs.target ;
  • Taic a bharrachd airson masgaichean (“*”, msaa) ris na h-òrdughan “networkctl list/status/lldp” gus buidhnean sònraichte de eadar-aghaidh lĂŹonra a shĂŹoladh a-mach le pĂ irt den ainm;
  • Tha an caochladair Ă rainneachd $PIDFILE a-nis air a shuidheachadh a’ cleachdadh na slighe iomlan a chaidh a rèiteachadh ann an seirbheisean tron ​​pharamadair “PIDFile=;”.
  • Chaidh frithealaichean DNS poblach a chur ris an liosta de fhrithealaichean DNS cĂšl-taic a thathar a’ cleachdadh mura h-eil am prĂŹomh DNS air a mhĂŹneachadh gu soilleir. frithealaichean Cloudflare (1.1.1.1). Gus an liosta de fhrithealaichean DNS cĂšl-taice a shĂ rachadh, faodaidh tu an roghainn "-Ddns-servers=" a chleachdadh;
  • Nuair a lorgar lĂ thaireachd rianadair inneal USB, thèid inneal-lĂ imhseachaidh usb-gadget.target Ăšr a chuir air bhog gu fèin-ghluasadach (nuair a bhios an siostam a’ ruith air inneal iomaill USB);
  • Airson faidhlichean aonaid, chaidh an suidheachadh “CPUQuotaPeriodSec =” a chuir an gnĂŹomh, a cho-dhĂšineas an Ăšine co-cheangailte ris a bheil cuota Ăšine CPU air a thomhas, air a shuidheachadh tron ​​​​t-suidheachadh “CPUQuota =”;
  • Airson faidhlichean aonaid, chaidh an suidheachadh “ProtectHostname =” a chuir an gnĂŹomh, a tha a’ toirmeasg seirbheisean bho bhith ag atharrachadh fiosrachadh mun ainm aoigheachd, eadhon ged a tha na ceadan iomchaidh aca;
  • Airson faidhlichean aonad, chaidh an suidheachadh “NetworkNamespacePath =” a chuir an gnĂŹomh, a leigeas leat Ă ite-ainm a cheangal ri seirbheisean no aonadan socaid le bhith a’ sònrachadh an t-slighe chun fhaidhle namespace anns an pseudo-FS / proc;
  • Chuir sinn ris a’ chomas air caochladairean Ă rainneachd a chuir Ă  comas airson pròiseasan a chaidh a chuir air bhog a’ cleachdadh an t-suidheachaidh “ExecStart =” le bhith a’ cur caractar “:” ris ron Ă ithne tòiseachaidh;
  • Airson timers (.timer aonadan) brataichean Ăšra “OnClockChange =” agus
    “OnTimezoneChange=”, leis an urrainn dhut smachd a chumail air gairm an aonaid nuair a dh’ atharraicheas ùine an t-siostaim no sòn ùine;
  • Chaidh suidheachaidhean Ăšra a chur ris “ConditionMemory =” agus “ConditionCPUs =”, a cho-dhĂšineas na cumhaichean airson aonad a ghairm a rèir meud cuimhne agus an Ă ireamh de choraichean CPU (mar eisimpleir, chan urrainnear seirbheis lĂ n ghoireasan a chuir air bhog ach ma tha an ĂŹre riatanach de RAM ri fhaighinn);
  • Chuir sinn aonad time-set.target Ăšr ris a ghabhas ris an Ăšine siostam a chaidh a shuidheachadh gu h-ionadail, gun a bhith a’ cleachdadh rèiteachadh le frithealaichean Ăšine taobh a-muigh a’ cleachdadh an aonad time-sync.target. Faodar an aonad Ăšr a chleachdadh le seirbheisean a dh’ fheumas gleocan ionadail neo-shioncronach;
  • Chaidh an roghainn “-show-transaction” a chur ri “systemctl start” agus òrdughan coltach ris, nuair a thèid a shònrachadh, tha geĂ rr-chunntas air a h-uile obair a chaidh a chur ris a’ chiudha mar thoradh air an obair a chaidh iarraidh air a thaisbeanadh;
  • Bidh systemd-networkd a’ buileachadh a’ mhĂŹneachaidh air staid Ăšr ‘brèigte’, air a chleachdadh an Ă ite ‘degraded’ no ‘carrier’ airson eadar-aghaidh lĂŹonra a tha nam pĂ irt de cheanglaichean iomlan no de dhrochaidean lĂŹonra. Airson eadar-aghaidh bun-sgoile, ma tha duilgheadasan ann le aon de na ceanglaichean co-dhèanta, chaidh an staid ‘degraded-carrier’ a chur ris;
  • Chaidh roghainn “IgnoreCarrierLoss=” a chur ris ris na h-aonadan .network gus roghainnean lĂŹonra a shĂ bhaladh gun fhios nach caillear ceangal;
  • Tro shuidheachadh “RequiredForOnline=” ann an aonadan .network, faodaidh tu a-nis an staid ceangail as lugha iomchaidh a shuidheachadh a dh’ fheumar gus an eadar-aghaidh lĂŹonraidh a ghluasad gu “air-loidhne” agus an inneal-lĂ imhseachaidh systemd-networkd-wait-online a phiobrachadh;
  • Chuir sinn an roghainn “--any” ri systemd-networkd-wait-online gus feitheamh gus am bi gin de na h-eadar-aghaidh lĂŹonra ainmichte deiseil an Ă ite a h-uile cĂ il, a bharrachd air an roghainn “--operational-state =” gus staid na an ceangal a 'sealltainn deiseil;
  • Chuir sinn roghainnean “UseAutonomousPrefix=” agus “UseOnLinkPrefix=” ri aonadan .network, a ghabhas cleachdadh gus ro-leasachain a leigeil seachad nuair a gheibh iad
    fios bho router IPv6 (RA, sanas router);
  • Ann an aonadan .network, chaidh na roghainnean “MulticastFlood=”, “NeighborSuppression=” agus “Learning=” a chur ris gus paramadairean obrachaidh drochaid an lĂŹonraidh atharrachadh, cho math ris an t-suidheachadh “TripleSampling=” gus am modh TRIPLE-SAMPLING atharrachadh de eadar-aghaidh mas-fhĂŹor CAN;
  • Chaidh na roghainnean "PrivateKeyFile=" agus "PresharedKeyFile=" a chur ri aonadan .netdev, a’ leigeil leat iuchraichean prĂŹobhaideach is co-roinnte (PSK) a shònrachadh airson eadar-aghaidhean. WireGuard VPN;
  • Chuir sinn roghainnean same-cpu-crypt agus cuir a-steach-bho-crypt-cpus gu /etc/crypttab, a bhios a’ cumail smachd air giĂšlan a’ chlĂ r-ama nuair a bhios iad ag imrich obair co-cheangailte ri crioptachadh eadar coraichean CPU;
  • Bidh systemd-tmpfiles a’ toirt seachad giullachd fhaidhlichean glasaidh mus dèan thu gnĂŹomhachd ann an clĂ ran le faidhlichean sealach, a leigeas leat obair air glanadh seann fhaidhlichean a dhĂŹ-cheadachadh fhad ‘s a tha gnĂŹomhan sònraichte ann (mar eisimpleir, nuair a bhios tu a’ dĂŹ-phapadh tasglann teĂ rr ann an / tmp, is dòcha gum bi faidhlichean glè sheann ann fhosgladh nach gabh a dhubhadh Ă s ro dheireadh na gnĂŹomhachd còmhla riutha);
  • Tha an Ă ithne “systemd-analyze cat-config” a ’toirt seachad comas mion-sgrĂšdadh a dhèanamh air rèiteachadh air a roinn ann an grunn fhaidhlichean, mar eisimpleir, ro-òrdughan cleachdaiche is siostam, susbaint tmpfiles.d agus sysusers.d, riaghailtean udev, msaa.
  • Chaidh roghainn "--cursor-file="" a chur ri "journalctl" gus faidhle a shònrachadh airson an cursair suidheachaidh a luchdachadh is a shĂ bhaladh;
  • Chaidh lorgaire ACRN agus fo-shiostam WSL a chur ri systemd-detect-virt ( Windows Fo-shiostam airson Linux) airson geugachadh Ă s dèidh sin a’ cleachdadh an obraiche cumhaichte “ConditionVirtualization”;
  • Rè an stĂ ladh systemd (nuair a thathar a’ cur an gnĂŹomh “ninja install”), cruthachadh ceanglaichean samhlachail ris na faidhlichean systemd-networkd.service, systemd-networkd.socket,
    systemd-resolved.service, iomallach-cryptsetup.target, iomallach-fs.target,
    systemd-networkd-wait-online.service agus systemd-timesyncd.service. Gus na faidhlichean sin a chruthachadh, feumaidh tu a-nis an àithne “systemctl preset-all” a ruith.

Source: fosgailtenet.ru

Ceannaich aoigheachd earbsach airson làraich le dìon DDoS, frithealaichean VPS VDS 🔥 Ceannaich aoigheachd làrach-lìn earbsach le dìon DDoS, frithealaichean VPS VDS | ProHoster