ProHoster > Blog > naidheachdan eadar-lìn > Sgaoileadh manaidsear siostam systemd 252 le taic UKI (Unified Kernel Image).

Sgaoileadh manaidsear siostam systemd 252 le taic UKI (Unified Kernel Image).

Às deidh còig mìosan de leasachadh, chaidh sgaoileadh manaidsear an t-siostaim systemd 252 a thaisbeanadh. B ’e am prìomh atharrachadh san dreach ùr amalachadh taic airson pròiseas bròg ùr-nodha, a leigeas leat dearbhadh chan e a-mhàin an kernel agus an luchd-luidh, ach cuideachd co-phàirtean àrainneachd an t-siostaim bhunaiteach a’ cleachdadh ainmean-sgrìobhte didseatach.

Tha an dòigh a thathar a’ moladh a’ toirt a-steach cleachdadh ìomhaigh kernel aonaichte UKI (Ìomhaigh Kernel Aonaichte) nuair a thathar a’ luchdachadh, a tha a’ cothlamadh inneal-làimhseachaidh airson an kernel a luchdachadh bho UEFI (stub boot UEFI), ìomhaigh kernel Linux agus àrainneachd an t-siostaim initrd air a luchdachadh a-steach don chuimhne, air a chleachdadh airson tòiseachadh tùsail aig an ìre mus cuir thu suas am freumh FS . Tha an ìomhaigh UKI air a phacaigeadh mar aon fhaidhle so-ghnìomhaichte ann an cruth PE, a ghabhas luchdachadh le bhith a’ cleachdadh bootloaders traidiseanta no a ghairm gu dìreach bho firmware UEFI. Nuair a thèid an gairm bho UEFI, tha e comasach dearbhadh a dhèanamh air ionracas agus earbsachd an ainm-sgrìobhte didseatach chan ann a-mhàin air an kernel, ach cuideachd air susbaint an initrd.

Gus obrachadh a-mach crìochan clàran TPM PCR (Clàr Rèiteachaidh Àrd-ùrlar Modal Àrd-ùrlar Urrasach) a thathar a’ cleachdadh gus sùil a chumail air ionracas agus ainm-sgrìobhte didseatach ìomhaigh UKI a ghineadh, tha tomhas-siostam goireas ùr air a thoirt a-steach. Faodar an iuchair phoblach agus am fiosrachadh PCR na chois a thathar a’ cleachdadh san ainm-sgrìobhte a fhighe a-steach gu dìreach ann an ìomhaigh bròg UKI (tha an iuchair agus an t-ainm-sgrìobhte air an sàbhaladh ann am faidhle PE anns na raointean ‘.pcrsig’ agus ‘.pcrkey’) agus air an toirt bhuaithe le taobh a-muigh no goireasan a-staigh.

Gu sònraichte, chaidh na goireasan systemd-cryptsetup, systemd-cryptenroll agus systemd-creds atharrachadh gus am fiosrachadh seo a chleachdadh, leis an urrainn dhut dèanamh cinnteach gu bheil sgaraidhean diosc crioptaichte ceangailte ri kernel le soidhnigeadh didseatach (sa chùis seo, ruigsinneachd don sgaradh crioptaichte air a thoirt seachad a-mhàin ma tha ìomhaigh UKI air a dhol seachad air dearbhadh le ainm-sgrìobhte didseatach stèidhichte air paramadairean suidhichte ann an TPM).

A bharrachd air an sin, tha an goireas systemd-pcrphase air a thoirt a-steach, a leigeas leat smachd a chumail air ceangal diofar ìrean bròg gu paramadairean a tha suidhichte mar chuimhneachan air cryptoprocessors a bheir taic do shònrachadh TPM 2.0 (mar eisimpleir, faodaidh tu an iuchair dì-chrioptachaidh LUKS2 a thoirt seachad a-mhàin ann an an ìomhaigh initrd agus cuir casg air ruigsinneachd air aig ìrean luchdachadh sìos nas fhaide air adhart).

Beagan atharrachaidhean eile:

  • Dèan cinnteach gur e C.UTF-8 an locale bunaiteach mura h-eil locale eile air a shònrachadh anns na roghainnean.
  • Tha e comasach a-nis gnìomhachd ro-shuidhichte seirbheis iomlan a dhèanamh (“ systemctl preset ”) rè a’ chiad bhròg. Le bhith a’ comasachadh ro-òrdughan aig àm tòiseachaidh feumar togail leis an roghainn “-Dfirst-boot-full-preset”, ach thathar an dùil a bhith air a chomasachadh gu bunaiteach ann am fiosan san àm ri teachd.
  • Tha na h-aonadan riaghlaidh luchd-cleachdaidh a’ toirt a-steach rianadair goireas CPU, a rinn e comasach dèanamh cinnteach gu bheil na roghainnean CPUWeight air an cur an sàs anns a h-uile aonad sliseag a thathas a’ cleachdadh gus an siostam a roinn ann am pàirtean (app.slice, background.slice, session.slice) gus goireasan a sgaradh eadar diofar sheirbheisean luchd-cleachdaidh, a 'farpais airson goireasan CPU. Bidh CPUWeight cuideachd a’ toirt taic don luach “idle” gus am modh solarachaidh ghoireasan iomchaidh a chuir an gnìomh.
  • Ann an aonadan sealach (“gluasadach”) agus anns a’ ghoireas systemd-repart, tha roghainnean a tha a’ dol thairis air a cheadachadh le bhith a’ cruthachadh faidhlichean a-steach san /etc/systemd/system/name.d/ directory.
  • Airson ìomhaighean siostam, tha am bratach le taic air a shuidheachadh, a’ dearbhadh na fìrinn seo stèidhichte air luach a’ pharameter ùr “SUPPORT_END=” anns an fhaidhle /etc/os-release.
  • Chaidh roghainnean “ConditionCredential=” agus “AssertCredential=” a chur ris, a dh’fhaodar a chleachdadh gus aonadan a leigeil seachad no a chall mura bheil cuid de theisteanasan an làthair san t-siostam.
  • Air a chur ris “DefaultSmackProcessLabel=” agus “DefaultDeviceTimeoutSec=” roghainnean ri system.conf agus user.conf gus an ìre tèarainteachd SMACK bunaiteach agus àm gnìomh an aonaid a mhìneachadh.
  • Anns na roghainnean “ConditionFirmware =” agus “AssertFirmware =”, chaidh an comas raointean SMBIOS fa leth a shònrachadh, mar eisimpleir, gus aonad a chuir air bhog a-mhàin ma tha an luach “Custom san raon / sys/class/dmi/id/board_name Bòrd", faodaidh tu “ConditionFirmware=smbios” a shònrachadh -field(board_name = "Bòrd na Cusbainn")".
  • Tron phròiseas tòiseachaidh (PID 1), chaidh an comas teisteanasan a thoirt a-steach bho raointean SMBIOS (Seòrsa 11, “sreathan reiceadair OEM”) a bharrachd air a’ mhìneachadh aca tro qemu_fwcfg, a bhios a’ sìmpleachadh solarachadh theisteanasan gu innealan brìgheil agus a chuireas às do na feum air innealan treas-phàrtaidh leithid sgòth -init agus lasadh.
  • Rè an dùnadh, tha an loidsig airson siostaman faidhle brìgheil a thoirt air falbh (proc, sys) air atharrachadh agus tha fiosrachadh mu phròiseasan a tha a’ cur bacadh air dì-stàladh siostaman faidhle air a shàbhaladh sa loga.
  • Leigidh sìoltachan gairm an t-siostaim (SystemCallFilter) cothrom faighinn gu gairm siostam riscv_flush_icache gu bunaiteach.
  • Bidh an bootloader sd-boot a ’cur ris a’ chomas bròg ann am modh measgaichte, anns a bheil an kernel Linux 64-bit a ’ruith bho firmware UEFI 32-bit. Comas deuchainneach a bharrachd gus iuchraichean SecureBoot a chuir an sàs gu fèin-ghluasadach bho fhaidhlichean a lorgar ann an ESP (roinn siostam EFI).
  • Chaidh roghainnean ùra a chur ris a’ ghoireas bootctl: “—all-architectures” airson binaries a chuir a-steach airson a h-uile ailtireachd EFI le taic, “—root =” agus “-image =” airson a bhith ag obair le eòlaire no ìomhaigh diosc, “-install-source =” airson an tùs airson an stàladh a mhìneachadh, " -efi-boot-option-description = " gus smachd a chumail air ainmean inntrigidh bròg.
  • Chaidh an àithne ‘list-automounts’ a chur ris a’ ghoireas systemctl gus liosta de chlàran air an cur suas gu fèin-ghluasadach a thaisbeanadh agus an roghainn “--image=" gus òrdughan a chuir an gnìomh a thaobh an ìomhaigh diosc ainmichte. Chuir sinn roghainnean "--state=" agus" --type=" ris na h-òrdughan 'show' agus 'status'.
  • Chuir systemd-networkd roghainnean ris “TCPCongestionControlAlgorithm =” gus an algairim smachd dùmhlachd TCP a thaghadh, “KeepFileDescriptor =” gus tuairisgeul faidhle eadar-aghaidh TUN / TAP a shàbhaladh, “NetLabel =” gus NetLabels a shuidheachadh, “RapidCommit =” gus rèiteachadh a luathachadh tro DHCPv6 (RFC 3315). Tha am paramadair “RouteTable =” a’ ceadachadh ainmean chlàran slighe a shònrachadh.
  • Leigidh systemd-nspawn slighean faidhle càirdeach a chleachdadh anns na roghainnean "--bind=" agus "--overlay=". Chuir sinn taic ris a’ pharamadair ‘rootidmap’ ris an roghainn “--bind=" gus ID an neach-cleachdaidh freumha a cheangal sa ghobhar ri sealbhadair an eòlaire air a chuir suas air an taobh aoigheachd.
  • bidh fuasgladh systemd a’ cleachdadh OpenSSL mar an backend crioptachaidh aige gu bunaiteach (tha taic gnutls air a chumail mar roghainn). Thathas a-nis a’ dèiligeadh ri algoirmean DNSSEC gun taic mar rud cunnartach an àite mearachd a thilleadh (SERVFAIL).
  • Bidh systemd-sysusers, systemd-tmpfiles agus systemd-sysctl a’ cur an gnìomh comas suidheachaidhean a ghluasad tro inneal stòraidh teisteanais.
  • Chaidh òrdugh ‘compare-versions’ a chuir ris gus systemd-analyze a dhèanamh gus coimeas a dhèanamh eadar sreangan le àireamhan dreach (coltach ri ‘rpmdev-vercmp’ agus ‘dpkg --compare-versions’). Chuir sinn ris a’ chomas aonadan a shìoladh le masg ris an àithne ‘systemd-analyze dump’.
  • Nuair a thaghas tu modh cadail ioma-ìre (crochaidh-an uairsin cadal a’ gheamhraidh), tha an ùine a thèid a chaitheamh ann am modh cùl-taic a-nis air a thaghadh stèidhichte air ro-aithris na beatha bataraidh a tha air fhàgail. Bidh gluasad sa bhad gu modh cadail a’ tachairt nuair a tha cosgais bataraidh nas lugha na 5% air fhàgail.
  • Chaidh modh toraidh ùr “-o short-delta” a chur ri ‘journalctl’, a’ sealltainn an eadar-dhealachaidh ùine eadar diofar theachdaireachdan san loga.
  • Bidh systemd-repart a’ cur taic ri bhith a’ cruthachadh sgaraidhean le siostam faidhle Squashfs agus pìosan airson dm-verity, a’ gabhail a-steach ainmean-sgrìobhte didseatach.
  • Air a chur ris "StopIdleSessionSec=" suidheachadh gu systemd-logind gus crìoch a chuir air seisean neo-ghnìomhach às deidh ùine ainmichte.
  • Tha Systemd-cryptenroll air roghainn “--unlock-key-file” a chuir ris gus an iuchair dì-chrioptachaidh a thoirt a-mach à faidhle seach a bhith a’ brosnachadh a’ chleachdaiche.
  • Tha e comasach a-nis an goireas systemd-growfs a ruith ann an àrainneachdan gun udev.
  • tha systemd-backlight air taic nas fheàrr a thoirt do shiostaman le iomadh cairt grafaiceachd.
  • Chaidh an cead airson na h-eisimpleirean còd a tha air an toirt seachad anns na sgrìobhainnean atharrachadh bho CC0 gu MIT-0.

Atharraichean a bhriseas co-chòrdalachd:

  • Nuair a thathar a’ sgrùdadh àireamh an tionndaidh kernel a’ cleachdadh an stiùireadh ConditionKernelVersion, tha coimeas sreang sìmplidh a-nis air a chleachdadh anns na gnìomhaichean ‘=’ agus ‘!=’, agus mura h-eil an gnìomhaiche coimeas air a shònrachadh idir, faodar maidseadh glob-mask a chleachdadh a’ cleachdadh an caractaran '*', '?' Agus ‘[’, ‘]’. Gus coimeas a dhèanamh eadar dreachan stoidhle stverscmp(), cleachd na gnìomhaichean '<', '>', '<=' agus '>='.
  • Tha an taga SELinux a chleachdar airson sùil a thoirt air ruigsinneachd bho fhaidhle aonad a-nis air a leughadh aig an àm a tha am faidhle air a luchdachadh, seach aig àm an sgrùdaidh ruigsinneachd.
  • Tha an suidheachadh “ConditionFirstBoot” a-nis air a phiobrachadh air a’ chiad bhot den t-siostam dìreach aig ìre a’ bhròg agus a’ tilleadh “meallta” nuair a bhios e a’ gairm aonadan às deidh don bhròg a bhith deiseil.
  • Ann an 2024, tha systemd an dùil stad a chuir air taic a thoirt don uidheamachd cuibhreachaidh ghoireasan cgroup v1, a bha air a lughdachadh ann an sgaoileadh systemd 248. Thathas a’ comhairleachadh luchd-rianachd a bhith faiceallach ro-làimh mu bhith ag imrich seirbheisean stèidhichte air cgroup v2 gu cgroup v1. Is e am prìomh eadar-dhealachadh eadar cgroups v2 agus v1 a bhith a’ cleachdadh rangachd cgroups cumanta airson a h-uile seòrsa goireas, an àite rangachd fa leth airson goireasan CPU a riarachadh, airson caitheamh cuimhne a riaghladh, agus airson I / O. Bidh rangachd fa leth a’ leantainn gu duilgheadasan ann a bhith a’ cur air dòigh eadar-obrachadh eadar luchd-làimhseachaidh agus gu cosgaisean stòrais kernel a bharrachd nuair a bhios iad a’ cur an sàs riaghailtean airson pròiseas air a bheil iomradh ann an diofar rangachd.
  • Anns an dàrna leth de 2023, tha sinn an dùil crìoch a chuir air taic airson rangachd eòlaire roinnte, far a bheil / usr air a chuir suas air leth bhon fhreumh, no / bin agus / usr / bin, / lib agus / usr / lib air an sgaradh.

Source: fosgailtenet.ru

Cuir beachd ann