ProHoster > Blog > naidheachdan eadar-lĂŹn > Sgaoileadh manaidsear siostam systemd 252 le taic UKI (Unified Kernel Image).

Sgaoileadh manaidsear siostam systemd 252 le taic UKI (Unified Kernel Image).

Às deidh còig mìosan de leasachadh, chaidh sgaoileadh manaidsear an t-siostaim systemd 252 a thaisbeanadh. B ’e am prìomh atharrachadh san dreach ùr amalachadh taic airson pròiseas bròg ùr-nodha, a leigeas leat dearbhadh chan e a-mhàin an kernel agus an luchd-luidh, ach cuideachd co-phàirtean àrainneachd an t-siostaim bhunaiteach a’ cleachdadh ainmean-sgrìobhte didseatach.

Tha an dòigh a thathar a’ moladh a’ toirt a-steach cleachdadh ìomhaigh kernel aonaichte UKI (Unified Kernel Image) nuair a thathar ga luchdachadh, a bhios a’ cothlamadh làimhsichear airson an kernel a luchdachadh bho UEFI (stub boot UEFI), ìomhaigh kernel Linux agus an initrd, àrainneachd siostaim a thèid a luchdachadh a-steach don chuimhne, air a chleachdadh airson tòiseachadh mus tèid an siostam faidhle freumhach a chuir suas. Tha ìomhaigh UKI air a phacaigeadh mar fhaidhle aon-ghnìomhach ann an cruth PE, a ghabhas luchdachadh le bhith a’ cleachdadh luchdairean-tòiseachaidh traidiseanta no air a ghairm gu dìreach bhon firmware UEFI. Nuair a thèid a ghairm bho UEFI, faodar ionracas agus dearbh-aithne chan e a-mhàin an eithne ach cuideachd susbaint an initrd a dhearbhadh le bhith a’ cleachdadh ainm-sgrìobhte didseatach.

Gus obrachadh a-mach crìochan clàran TPM PCR (Clàr Rèiteachaidh Àrd-ùrlar Modal Àrd-ùrlar Urrasach) a thathar a’ cleachdadh gus sùil a chumail air ionracas agus ainm-sgrìobhte didseatach ìomhaigh UKI a ghineadh, tha tomhas-siostam goireas ùr air a thoirt a-steach. Faodar an iuchair phoblach agus am fiosrachadh PCR na chois a thathar a’ cleachdadh san ainm-sgrìobhte a fhighe a-steach gu dìreach ann an ìomhaigh bròg UKI (tha an iuchair agus an t-ainm-sgrìobhte air an sàbhaladh ann am faidhle PE anns na raointean ‘.pcrsig’ agus ‘.pcrkey’) agus air an toirt bhuaithe le taobh a-muigh no goireasan a-staigh.

Gu sònraichte, chaidh na goireasan systemd-cryptsetup, systemd-cryptenroll agus systemd-creds atharrachadh gus am fiosrachadh seo a chleachdadh, leis an urrainn dhut dèanamh cinnteach gu bheil sgaraidhean diosc crioptaichte ceangailte ri kernel le soidhnigeadh didseatach (sa chÚis seo, ruigsinneachd don sgaradh crioptaichte air a thoirt seachad a-mhàin ma tha Ïomhaigh UKI air a dhol seachad air dearbhadh le ainm-sgrÏobhte didseatach stèidhichte air paramadairean suidhichte ann an TPM).

A bharrachd air an sin, tha an goireas systemd-pcrphase air a thoirt a-steach, a leigeas leat smachd a chumail air ceangal diofar Ïrean bròg gu paramadairean a tha suidhichte mar chuimhneachan air cryptoprocessors a bheir taic do shònrachadh TPM 2.0 (mar eisimpleir, faodaidh tu an iuchair dÏ-chrioptachaidh LUKS2 a thoirt seachad a-mhàin ann an an Ïomhaigh initrd agus cuir casg air ruigsinneachd air aig Ïrean luchdachadh sÏos nas fhaide air adhart).

Beagan atharrachaidhean eile:

  • Dèan cinnteach gur e C.UTF-8 an locale bunaiteach mura h-eil locale eile air a shònrachadh anns na roghainnean.
  • Tha e comasach a-nis gnĂŹomhachd ro-shuidhichte seirbheis iomlan a dhèanamh (“ systemctl preset ”) rè a’ chiad bhròg. Le bhith a’ comasachadh ro-òrdughan aig Ă m tòiseachaidh feumar togail leis an roghainn “-Dfirst-boot-full-preset”, ach thathar an dĂšil a bhith air a chomasachadh gu bunaiteach ann am fiosan san Ă m ri teachd.
  • Tha na h-aonadan riaghlaidh luchd-cleachdaidh a’ toirt a-steach rianadair goireas CPU, a rinn e comasach dèanamh cinnteach gu bheil na roghainnean CPUWeight air an cur an sĂ s anns a h-uile aonad sliseag a thathas a’ cleachdadh gus an siostam a roinn ann am pĂ irtean (app.slice, background.slice, session.slice) gus goireasan a sgaradh eadar diofar sheirbheisean luchd-cleachdaidh, a 'farpais airson goireasan CPU. Bidh CPUWeight cuideachd a’ toirt taic don luach “idle” gus am modh solarachaidh ghoireasan iomchaidh a chuir an gnĂŹomh.
  • Ann an aonadan sealach (“gluasadach”) agus anns a’ ghoireas systemd-repart, tha roghainnean a tha a’ dol thairis air a cheadachadh le bhith a’ cruthachadh faidhlichean a-steach san /etc/systemd/system/name.d/ directory.
  • Airson ĂŹomhaighean siostam, tha am bratach le taic air a shuidheachadh, a’ dearbhadh na fĂŹrinn seo stèidhichte air luach a’ pharameter Ăšr “SUPPORT_END=” anns an fhaidhle /etc/os-release.
  • Chaidh roghainnean “ConditionCredential=” agus “AssertCredential=” a chur ris, a dh’fhaodar a chleachdadh gus aonadan a leigeil seachad no a chall mura bheil cuid de theisteanasan an lĂ thair san t-siostam.
  • Air a chur ris “DefaultSmackProcessLabel=” agus “DefaultDeviceTimeoutSec=” roghainnean ri system.conf agus user.conf gus an ĂŹre tèarainteachd SMACK bunaiteach agus Ă m gnĂŹomh an aonaid a mhĂŹneachadh.
  • Anns na roghainnean “ConditionFirmware =” agus “AssertFirmware =”, chaidh an comas raointean SMBIOS fa leth a shònrachadh, mar eisimpleir, gus aonad a chuir air bhog a-mhĂ in ma tha an luach “Custom san raon / sys/class/dmi/id/board_name Bòrd", faodaidh tu “ConditionFirmware=smbios” a shònrachadh -field(board_name = "Bòrd na Cusbainn")".
  • Tha comas aig a’ phròiseas tòiseachaidh (PID 1) a-nis teisteanasan a thoirt a-steach bho raointean SMBIOS (Seòrsa 11, "sreangan reiceadair OEM") a bharrachd air an mĂŹneachadh tro qemu_fwcfg, ga dhèanamh nas fhasa teisteanasan a thoirt seachad. innealan brĂŹgheil agus a’ cur Ă s don fheum air innealan treas-phĂ rtaidh leithid cloud-init agus ignition.
  • Rè an dĂšnadh, tha an loidsig airson siostaman faidhle brĂŹgheil a thoirt air falbh (proc, sys) air atharrachadh agus tha fiosrachadh mu phròiseasan a tha a’ cur bacadh air dĂŹ-stĂ ladh siostaman faidhle air a shĂ bhaladh sa loga.
  • Leigidh sĂŹoltachan gairm an t-siostaim (SystemCallFilter) cothrom faighinn gu gairm siostam riscv_flush_icache gu bunaiteach.
  • Tha comas aig an inneal-luchdaidh boot sd-boot a-nis bootadh ann am modh measgaichte, anns am bi an eithne 64-bit Linux A’ cur air bhog bho firmware UEFI 32-bit. Chaidh feart deuchainneach a chur ris airson iuchraichean SecureBoot a chur an sĂ s gu fèin-ghluasadach bho fhaidhlichean a lorgar air an ESP (roinn siostam EFI).
  • Chaidh roghainnean Ăšra a chur ris a’ ghoireas bootctl: “—all-architectures” airson binaries a chuir a-steach airson a h-uile ailtireachd EFI le taic, “—root =” agus “-image =” airson a bhith ag obair le eòlaire no ĂŹomhaigh diosc, “-install-source =” airson an tĂšs airson an stĂ ladh a mhĂŹneachadh, " -efi-boot-option-description = " gus smachd a chumail air ainmean inntrigidh bròg.
  • Chaidh an Ă ithne ‘list-automounts’ a chur ris a’ ghoireas systemctl gus liosta de chlĂ ran air an cur suas gu fèin-ghluasadach a thaisbeanadh agus an roghainn “--image=" gus òrdughan a chuir an gnĂŹomh a thaobh an ĂŹomhaigh diosc ainmichte. Chuir sinn roghainnean "--state=" agus" --type=" ris na h-òrdughan 'show' agus 'status'.
  • Chuir systemd-networkd roghainnean ris “TCPCongestionControlAlgorithm =” gus an algairim smachd dĂšmhlachd TCP a thaghadh, “KeepFileDescriptor =” gus tuairisgeul faidhle eadar-aghaidh TUN / TAP a shĂ bhaladh, “NetLabel =” gus NetLabels a shuidheachadh, “RapidCommit =” gus rèiteachadh a luathachadh tro DHCPv6 (RFC 3315). Tha am paramadair “RouteTable =” a’ ceadachadh ainmean chlĂ ran slighe a shònrachadh.
  • Leigidh systemd-nspawn slighean faidhle cĂ irdeach a chleachdadh anns na roghainnean "--bind=" agus "--overlay=". Chuir sinn taic ris a’ pharamadair ‘rootidmap’ ris an roghainn “--bind=" gus ID an neach-cleachdaidh freumha a cheangal sa ghobhar ri sealbhadair an eòlaire air a chuir suas air an taobh aoigheachd.
  • bidh fuasgladh systemd a’ cleachdadh OpenSSL mar an backend crioptachaidh aige gu bunaiteach (tha taic gnutls air a chumail mar roghainn). Thathas a-nis a’ dèiligeadh ri algoirmean DNSSEC gun taic mar rud cunnartach an Ă ite mearachd a thilleadh (SERVFAIL).
  • Bidh systemd-sysusers, systemd-tmpfiles agus systemd-sysctl a’ cur an gnĂŹomh comas suidheachaidhean a ghluasad tro inneal stòraidh teisteanais.
  • Chaidh òrdugh ‘compare-versions’ a chuir ris gus systemd-analyze a dhèanamh gus coimeas a dhèanamh eadar sreangan le Ă ireamhan dreach (coltach ri ‘rpmdev-vercmp’ agus ‘dpkg --compare-versions’). Chuir sinn ris a’ chomas aonadan a shĂŹoladh le masg ris an Ă ithne ‘systemd-analyze dump’.
  • Nuair a thaghas tu modh cadail ioma-ĂŹre (crochaidh-an uairsin cadal a’ gheamhraidh), tha an Ăšine a thèid a chaitheamh ann am modh cĂšl-taic a-nis air a thaghadh stèidhichte air ro-aithris na beatha bataraidh a tha air fhĂ gail. Bidh gluasad sa bhad gu modh cadail a’ tachairt nuair a tha cosgais bataraidh nas lugha na 5% air fhĂ gail.
  • Chaidh modh toraidh Ăšr “-o short-delta” a chur ri ‘journalctl’, a’ sealltainn an eadar-dhealachaidh Ăšine eadar diofar theachdaireachdan san loga.
  • Bidh systemd-repart a’ cur taic ri bhith a’ cruthachadh sgaraidhean le siostam faidhle Squashfs agus pĂŹosan airson dm-verity, a’ gabhail a-steach ainmean-sgrĂŹobhte didseatach.
  • Air a chur ris "StopIdleSessionSec=" suidheachadh gu systemd-logind gus crĂŹoch a chuir air seisean neo-ghnĂŹomhach Ă s deidh Ăšine ainmichte.
  • Tha Systemd-cryptenroll air roghainn “--unlock-key-file” a chuir ris gus an iuchair dĂŹ-chrioptachaidh a thoirt a-mach Ă  faidhle seach a bhith a’ brosnachadh a’ chleachdaiche.
  • Tha e comasach a-nis an goireas systemd-growfs a ruith ann an Ă rainneachdan gun udev.
  • tha systemd-backlight air taic nas fheĂ rr a thoirt do shiostaman le iomadh cairt grafaiceachd.
  • Chaidh an cead airson na h-eisimpleirean còd a tha air an toirt seachad anns na sgrĂŹobhainnean atharrachadh bho CC0 gu MIT-0.

Atharraichean a bhriseas co-chòrdalachd:

  • Nuair a thathar a’ sgrĂšdadh Ă ireamh an tionndaidh kernel a’ cleachdadh an stiĂšireadh ConditionKernelVersion, tha coimeas sreang sĂŹmplidh a-nis air a chleachdadh anns na gnĂŹomhaichean ‘=’ agus ‘!=’, agus mura h-eil an gnĂŹomhaiche coimeas air a shònrachadh idir, faodar maidseadh glob-mask a chleachdadh a’ cleachdadh an caractaran '*', '?' Agus ‘[’, ‘]’. Gus coimeas a dhèanamh eadar dreachan stoidhle stverscmp(), cleachd na gnĂŹomhaichean '<', '>', '<=' agus '>='.
  • Leubail SELinux, a thathar a’ cleachdadh gus ruigsinneachd bho fhaidhle aonaid a dhearbhadh, a-nis air a leughadh aig ĂŹre luchdachadh faidhle, seach aig ĂŹre sgrĂšdaidh ruigsinneachd.
  • Tha an suidheachadh “ConditionFirstBoot” a-nis air a phiobrachadh air a’ chiad bhot den t-siostam dĂŹreach aig ĂŹre a’ bhròg agus a’ tilleadh “meallta” nuair a bhios e a’ gairm aonadan Ă s deidh don bhròg a bhith deiseil.
  • Ann an 2024, tha systemd an dĂšil stad a chuir air taic a thoirt don uidheamachd cuibhreachaidh ghoireasan cgroup v1, a bha air a lughdachadh ann an sgaoileadh systemd 248. Thathas a’ comhairleachadh luchd-rianachd a bhith faiceallach ro-lĂ imh mu bhith ag imrich seirbheisean stèidhichte air cgroup v2 gu cgroup v1. Is e am prĂŹomh eadar-dhealachadh eadar cgroups v2 agus v1 a bhith a’ cleachdadh rangachd cgroups cumanta airson a h-uile seòrsa goireas, an Ă ite rangachd fa leth airson goireasan CPU a riarachadh, airson caitheamh cuimhne a riaghladh, agus airson I / O. Bidh rangachd fa leth a’ leantainn gu duilgheadasan ann a bhith a’ cur air dòigh eadar-obrachadh eadar luchd-lĂ imhseachaidh agus gu cosgaisean stòrais kernel a bharrachd nuair a bhios iad a’ cur an sĂ s riaghailtean airson pròiseas air a bheil iomradh ann an diofar rangachd.
  • Anns an dĂ rna leth de 2023, tha sinn an dĂšil crĂŹoch a chuir air taic airson rangachd eòlaire roinnte, far a bheil / usr air a chuir suas air leth bhon fhreumh, no / bin agus / usr / bin, / lib agus / usr / lib air an sgaradh.

Source: fosgailtenet.ru

Ceannaich aoigheachd earbsach airson làraich le dìon DDoS, frithealaichean VPS VDS 🔥 Ceannaich aoigheachd làrach-lìn earbsach le dìon DDoS, frithealaichean VPS VDS | ProHoster