ProHoster > Blog > noticias de internet > Systemd System Manager versión 246

Systemd System Manager versión 246

Despois de cinco meses de desenvolvemento presentado versión do administrador do sistema systemd 246. A nova versión inclúe soporte para unidades de conxelación, a capacidade de verificar a imaxe do disco raíz mediante unha sinatura dixital, soporte para a compresión de rexistros e volcados de núcleo mediante o algoritmo ZSTD, a capacidade de desbloquear directorios de inicio portátiles usando tokens FIDO2, soporte para desbloquear Microsoft BitLocker particións a través de /etc/crypttab, BlackList foi renomeado a DenyList.

O principal cambios:

  • Engadiuse soporte para o controlador de recursos do conxelador baseado en cgroups v2, co que pode deter procesos e liberar temporalmente algúns recursos (CPU, E/S e, potencialmente, incluso memoria) para realizar outras tarefas. A conxelación e a desconxelación das unidades contrólase mediante o novo comando "systemctl freeze" ou mediante D-Bus.
  • Engadido soporte para verificar a imaxe do disco raíz mediante unha sinatura dixital. A verificación realízase mediante novas configuracións nas unidades de servizo: RootHash (hash raíz para verificar a imaxe de disco especificada mediante a opción RootImage) e RootHashSignature (sinatura dixital en formato PKCS#7 para o hash raíz).
  • O controlador PID 1 implementa a capacidade de cargar automaticamente regras de AppArmor precompiladas (/etc/apparmor/earlypolicy) na fase de inicio inicial.
  • Engadíronse novas opcións de configuración do ficheiro de unidade: ConditionPathIsEncrypted e AssertPathIsEncrypted para comprobar a ubicación da ruta especificada nun dispositivo de bloque que usa cifrado (dm-crypt/LUKS), ConditionEnvironment e AssertEnvironment para comprobar as variables de ambiente (por exemplo, as establecidas por PAM ou ao montar contedores).
  • Para as unidades *.mount, implementouse a configuración ReadWriteOnly, que prohibe montar unha partición en modo de só lectura se non fose posible montala para ler e escribir. En /etc/fstab este modo está configurado usando a opción "x-systemd.rw-only".
  • Para as unidades *.socket, engadiuse a configuración PassPacketInfo, que permite ao núcleo engadir metadatos adicionais para cada paquete lido desde o socket (habilita os modos IP_PKTINFO, IPV6_RECVPKTINFO e NETLINK_PKTINFO para o socket).
  • Para servizos (unidades *.service), propóñense a configuración de CoredumpFilter (define seccións de memoria que deben incluírse nos volcados de núcleo) e
    TimeoutStartFailureMode/TimeoutStopFailureMode (define o comportamento (SIGTERM, SIGABRT ou SIGKILL) cando se produce un tempo de espera ao iniciar ou deter un servizo).

  • A maioría das opcións agora admiten valores hexadecimais especificados mediante o prefixo "0x".
  • En varios parámetros de liña de comandos e ficheiros de configuración relacionados coa configuración de claves ou certificados, é posible especificar a ruta aos sockets Unix (AF_UNIX) para transferir claves e certificados mediante chamadas a servizos IPC cando non é desexable colocar certificados nun disco sen cifrar. almacenamento.
  • Engadido soporte para seis novos especificadores que se poden usar en unidades, tmpfiles.d/, sysusers.d/ e outros ficheiros de configuración: %a para substituír a arquitectura actual, %o/%w/%B/%W para substituír campos con identificadores de /etc/os-release e %l para a substitución do nome de host curto.
  • Os ficheiros de unidade xa non admiten a sintaxe ".include", que quedou en desuso hai 6 anos.
  • A configuración de StandardError e StandardOutput xa non admite os valores "syslog" e "syslog-console", que se converterán automaticamente en "journal" e "journal+console".
  • Para os puntos de montaxe baseados en tmpfs creados automaticamente (/tmp, /run, /dev/shm, etc.), ofrécense límites de tamaño e número de inodos, correspondentes ao 50% do tamaño da RAM para /tmp e /dev/ shm e un 10% de RAM para todos os demais.
  • Engadíronse novas opcións de liña de comandos do núcleo: systemd.hostname para establecer o nome de host na fase de inicio inicial, udev.blockdev_read_only para limitar todos os dispositivos de bloque asociados ás unidades físicas ao modo de só lectura (pode usar o comando "blockdev --setrw" para cancelar selectivamente), systemd .swap para desactivar a activación automática da partición de intercambio, systemd.clock-usec para configurar o reloxo do sistema en microsegundos, systemd.condition-needs-update e systemd.condition-first-boot para anular o ConditionNeedsUpdate e ConditionFirstBoot cheques.
  • De xeito predeterminado, sysctl fs.suid_dumpable está configurado en 2 ("suidsafe"), o que permite gardar os volcados do núcleo para procesos coa marca suid.
  • O ficheiro /usr/lib/udev/hwdb.d/60-autosuspend.hwdb foi prestado na base de datos de hardware de ChromiumOS, que inclúe información sobre dispositivos PCI e USB que admiten o modo de suspensión automático.
  • Engadiuse unha configuración ManageForeignRoutes a networkd.conf, cando estea activada, systemd-networkd comezará a xestionar todas as rutas configuradas por outras utilidades.
  • Engadiuse unha sección "[SR-IOV]" aos ficheiros .network para configurar dispositivos de rede que admitan SR-IOV (virtualización de E/S de raíz única).
  • En systemd-networkd, a configuración IPv4AcceptLocal engadiuse á sección "[Rede]" para permitir que os paquetes que chegan cun enderezo de orixe local se reciban na interface de rede.
  • systemd-networkd engadiu a posibilidade de configurar disciplinas de priorización de tráfico HTB a través de [HierarchyTokenBucket] e
    [HierarchyTokenBucketClass], "pfifo" a través de [PFIFO], "GRED" a través de [GenericRandomEarlyDetection], "SFB" a través de [StochasticFairBlue], "cake"
    vía [CAKE], "PIE" vía [PIE], "DRR" vía [DeficitRoundRobinScheduler] e
    [DeficitRoundRobinSchedulerClass], "BFIFO" vía [BFIFO],
    "PFIFOHeadDrop" mediante [PFIFOHeadDrop], "PFIFOHeadDrop" mediante [PFIFOHeadDrop], "HHF"
    a través de [HeavyHitterFilter], "ETS" a través de [EnhancedTransmissionSelection],
    "QFQ" a través de [QuickFairQueueing] e [QuickFairQueueingClass].

  • En systemd-networkd, engadiuse unha configuración UseGateway á sección [DHCPv4] para desactivar o uso da información da pasarela obtida a través de DHCP.
  • En systemd-networkd, nas seccións [DHCPv4] e [DHCPServer], engadiuse unha configuración SendVendorOption para instalar e procesar opcións adicionais de provedores.
  • systemd-networkd implementa un novo conxunto de opcións EmitPOP3/POP3, EmitSMTP/SMTP e EmitLPR/LPR na sección [DHCPServer] para engadir información sobre os servidores POP3, SMTP e LPR.
  • En systemd-networkd, nos ficheiros .netdev da sección [Bridge], engadiuse un axuste VLANProtocol para seleccionar o protocolo VLAN a usar.
  • En systemd-networkd, nos ficheiros .network da sección [Ligazón], a configuración de Grupo está implementada para xestionar un grupo de ligazóns.
  • A configuración da Lista Negra foi renomeada a DenyList (conservando o manexo de nomes antigos para compatibilidade con versións anteriores).
  • Systemd-networkd engadiu unha gran parte de configuracións relacionadas con IPv6 e DHCPv6.
  • Engadiuse o comando "forcerenew" a networkctl para forzar a actualización de todos os enlaces de enderezos (arrendamento).
  • En systemd-resolved, na configuración DNS, fíxose posible especificar o número de porto e o nome de host para a verificación do certificado DNS sobre TLS. A implementación de DNS sobre TLS engadiu soporte para a comprobación de SNI.
  • Systemd-resolved agora ten a capacidade de configurar a redirección de nomes DNS dunha única etiqueta (etiqueta única, a partir dun nome de host).
  • systemd-journald ofrece soporte para usar o algoritmo zstd para comprimir grandes campos en revistas. Traballouse para protexer contra colisións nas táboas hash utilizadas nas revistas.
  • Engadíronse a journalctl URL nos que se pode facer clic con ligazóns á documentación cando se mostran mensaxes de rexistro.
  • Engadiuse unha configuración de Auditoría a journald.conf para controlar se a auditoría está habilitada durante a inicialización de systemd-journald.
  • Systemd-coredump agora ten a capacidade de comprimir os volcados de núcleo usando o algoritmo zstd.
  • Engadiuse a configuración de UUID a systemd-repart para asignar un UUID á partición creada.
  • O servizo systemd-homed, que ofrece xestión de directorios domésticos portátiles, engadiu a posibilidade de desbloquear directorios de inicio usando tokens FIDO2. O backend de cifrado de particións LUKS engadiu compatibilidade para devolver automaticamente os bloques baleiros do sistema de ficheiros cando finaliza unha sesión. Engadiuse protección contra o dobre cifrado de datos se se determina que a partición /home do sistema xa está cifrada.
  • Engadíronse configuracións a /etc/crypttab: "keyfile-erase" para eliminar unha chave despois do uso e "try-empty-password" para tentar desbloquear unha partición cun contrasinal baleiro antes de pedirlle ao usuario un contrasinal (útil para instalar imaxes cifradas). cun contrasinal asignado despois do primeiro arranque, non durante a instalación).
  • systemd-cryptsetup engade compatibilidade para desbloquear particións de Microsoft BitLocker no momento do inicio usando /etc/crypttab. Tamén engadiu a posibilidade de ler
    claves para desbloquear automaticamente particións dos ficheiros /etc/cryptsetup-keys.d/ .key e /run/cryptsetup-keys.d/ .chave.

  • Engadido systemd-xdg-autostart-generator para crear ficheiros de unidades a partir de ficheiros de inicio automático .desktop.
  • Engadiuse o comando "reboot-to-firmware" a "bootctl".
  • Engadíronse opcións a systemd-firstboot: "--image" para especificar a imaxe do disco para iniciar, "--kernel-command-line" para inicializar o ficheiro /etc/kernel/cmdline, "--root-password-hashed" para especifique o hash do contrasinal de root e "--delete-root-password" para eliminar o contrasinal de root.

Fonte: opennet.ru

Engadir un comentario