Despois de cinco meses de desenvolvemento
O principal
- Engadiuse soporte para o controlador de recursos do conxelador baseado en cgroups v2, co que pode deter procesos e liberar temporalmente algúns recursos (CPU, E/S e, potencialmente, incluso memoria) para realizar outras tarefas. A conxelación e a desconxelación das unidades contrólase mediante o novo comando "systemctl freeze" ou mediante D-Bus.
- Engadido soporte para verificar a imaxe do disco raíz mediante unha sinatura dixital. A verificación realízase mediante novas configuracións nas unidades de servizo: RootHash (hash raíz para verificar a imaxe de disco especificada mediante a opción RootImage) e RootHashSignature (sinatura dixital en formato PKCS#7 para o hash raíz).
- O controlador PID 1 implementa a capacidade de cargar automaticamente regras de AppArmor precompiladas (/etc/apparmor/earlypolicy) na fase de inicio inicial.
- Engadíronse novas opcións de configuración do ficheiro de unidade: ConditionPathIsEncrypted e AssertPathIsEncrypted para comprobar a ubicación da ruta especificada nun dispositivo de bloque que usa cifrado (dm-crypt/LUKS), ConditionEnvironment e AssertEnvironment para comprobar as variables de ambiente (por exemplo, as establecidas por PAM ou ao montar contedores).
- Para as unidades *.mount, implementouse a configuración ReadWriteOnly, que prohibe montar unha partición en modo de só lectura se non fose posible montala para ler e escribir. En /etc/fstab este modo está configurado usando a opción "x-systemd.rw-only".
- Para as unidades *.socket, engadiuse a configuración PassPacketInfo, que permite ao núcleo engadir metadatos adicionais para cada paquete lido desde o socket (habilita os modos IP_PKTINFO, IPV6_RECVPKTINFO e NETLINK_PKTINFO para o socket).
- Para servizos (unidades *.service), propóñense a configuración de CoredumpFilter (define seccións de memoria que deben incluírse nos volcados de núcleo) e
TimeoutStartFailureMode/TimeoutStopFailureMode (define o comportamento (SIGTERM, SIGABRT ou SIGKILL) cando se produce un tempo de espera ao iniciar ou deter un servizo). - A maioría das opcións agora admiten valores hexadecimais especificados mediante o prefixo "0x".
- En varios parámetros de liña de comandos e ficheiros de configuración relacionados coa configuración de claves ou certificados, é posible especificar a ruta aos sockets Unix (AF_UNIX) para transferir claves e certificados mediante chamadas a servizos IPC cando non é desexable colocar certificados nun disco sen cifrar. almacenamento.
- Engadido soporte para seis novos especificadores que se poden usar en unidades, tmpfiles.d/, sysusers.d/ e outros ficheiros de configuración: %a para substituír a arquitectura actual, %o/%w/%B/%W para substituír campos con identificadores de /etc/os-release e %l para a substitución do nome de host curto.
- Os ficheiros de unidade xa non admiten a sintaxe ".include", que quedou en desuso hai 6 anos.
- A configuración de StandardError e StandardOutput xa non admite os valores "syslog" e "syslog-console", que se converterán automaticamente en "journal" e "journal+console".
- Para os puntos de montaxe baseados en tmpfs creados automaticamente (/tmp, /run, /dev/shm, etc.), ofrécense límites de tamaño e número de inodos, correspondentes ao 50% do tamaño da RAM para /tmp e /dev/ shm e un 10% de RAM para todos os demais.
- Engadíronse novas opcións de liña de comandos do núcleo: systemd.hostname para establecer o nome de host na fase de inicio inicial, udev.blockdev_read_only para limitar todos os dispositivos de bloque asociados ás unidades físicas ao modo de só lectura (pode usar o comando "blockdev --setrw" para cancelar selectivamente), systemd .swap para desactivar a activación automática da partición de intercambio, systemd.clock-usec para configurar o reloxo do sistema en microsegundos, systemd.condition-needs-update e systemd.condition-first-boot para anular o ConditionNeedsUpdate e ConditionFirstBoot cheques.
- De xeito predeterminado, sysctl fs.suid_dumpable está configurado en 2 ("suidsafe"), o que permite gardar os volcados do núcleo para procesos coa marca suid.
- O ficheiro /usr/lib/udev/hwdb.d/60-autosuspend.hwdb foi prestado na base de datos de hardware de ChromiumOS, que inclúe información sobre dispositivos PCI e USB que admiten o modo de suspensión automático.
- Engadiuse unha configuración ManageForeignRoutes a networkd.conf, cando estea activada, systemd-networkd comezará a xestionar todas as rutas configuradas por outras utilidades.
- Engadiuse unha sección "[SR-IOV]" aos ficheiros .network para configurar dispositivos de rede que admitan SR-IOV (virtualización de E/S de raíz única).
- En systemd-networkd, a configuración IPv4AcceptLocal engadiuse á sección "[Rede]" para permitir que os paquetes que chegan cun enderezo de orixe local se reciban na interface de rede.
- systemd-networkd engadiu a posibilidade de configurar disciplinas de priorización de tráfico HTB a través de [HierarchyTokenBucket] e
[HierarchyTokenBucketClass], "pfifo" a través de [PFIFO], "GRED" a través de [GenericRandomEarlyDetection], "SFB" a través de [StochasticFairBlue], "cake"
vía [CAKE], "PIE" vía [PIE], "DRR" vía [DeficitRoundRobinScheduler] e
[DeficitRoundRobinSchedulerClass], "BFIFO" vía [BFIFO],
"PFIFOHeadDrop" mediante [PFIFOHeadDrop], "PFIFOHeadDrop" mediante [PFIFOHeadDrop], "HHF"
a través de [HeavyHitterFilter], "ETS" a través de [EnhancedTransmissionSelection],
"QFQ" a través de [QuickFairQueueing] e [QuickFairQueueingClass]. - En systemd-networkd, engadiuse unha configuración UseGateway á sección [DHCPv4] para desactivar o uso da información da pasarela obtida a través de DHCP.
- En systemd-networkd, nas seccións [DHCPv4] e [DHCPServer], engadiuse unha configuración SendVendorOption para instalar e procesar opcións adicionais de provedores.
- systemd-networkd implementa un novo conxunto de opcións EmitPOP3/POP3, EmitSMTP/SMTP e EmitLPR/LPR na sección [DHCPServer] para engadir información sobre os servidores POP3, SMTP e LPR.
- En systemd-networkd, nos ficheiros .netdev da sección [Bridge], engadiuse un axuste VLANProtocol para seleccionar o protocolo VLAN a usar.
- En systemd-networkd, nos ficheiros .network da sección [Ligazón], a configuración de Grupo está implementada para xestionar un grupo de ligazóns.
- A configuración da Lista Negra foi renomeada a DenyList (conservando o manexo de nomes antigos para compatibilidade con versións anteriores).
- Systemd-networkd engadiu unha gran parte de configuracións relacionadas con IPv6 e DHCPv6.
- Engadiuse o comando "forcerenew" a networkctl para forzar a actualización de todos os enlaces de enderezos (arrendamento).
- En systemd-resolved, na configuración DNS, fíxose posible especificar o número de porto e o nome de host para a verificación do certificado DNS sobre TLS. A implementación de DNS sobre TLS engadiu soporte para a comprobación de SNI.
- Systemd-resolved agora ten a capacidade de configurar a redirección de nomes DNS dunha única etiqueta (etiqueta única, a partir dun nome de host).
- systemd-journald ofrece soporte para usar o algoritmo zstd para comprimir grandes campos en revistas. Traballouse para protexer contra colisións nas táboas hash utilizadas nas revistas.
- Engadíronse a journalctl URL nos que se pode facer clic con ligazóns á documentación cando se mostran mensaxes de rexistro.
- Engadiuse unha configuración de Auditoría a journald.conf para controlar se a auditoría está habilitada durante a inicialización de systemd-journald.
- Systemd-coredump agora ten a capacidade de comprimir os volcados de núcleo usando o algoritmo zstd.
- Engadiuse a configuración de UUID a systemd-repart para asignar un UUID á partición creada.
- O servizo systemd-homed, que ofrece xestión de directorios domésticos portátiles, engadiu a posibilidade de desbloquear directorios de inicio usando tokens FIDO2. O backend de cifrado de particións LUKS engadiu compatibilidade para devolver automaticamente os bloques baleiros do sistema de ficheiros cando finaliza unha sesión. Engadiuse protección contra o dobre cifrado de datos se se determina que a partición /home do sistema xa está cifrada.
- Engadíronse configuracións a /etc/crypttab: "keyfile-erase" para eliminar unha chave despois do uso e "try-empty-password" para tentar desbloquear unha partición cun contrasinal baleiro antes de pedirlle ao usuario un contrasinal (útil para instalar imaxes cifradas). cun contrasinal asignado despois do primeiro arranque, non durante a instalación).
- systemd-cryptsetup engade compatibilidade para desbloquear particións de Microsoft BitLocker no momento do inicio usando /etc/crypttab. Tamén engadiu a posibilidade de ler
claves para desbloquear automaticamente particións dos ficheiros /etc/cryptsetup-keys.d/ .key e /run/cryptsetup-keys.d/ .chave. - Engadido systemd-xdg-autostart-generator para crear ficheiros de unidades a partir de ficheiros de inicio automático .desktop.
- Engadiuse o comando "reboot-to-firmware" a "bootctl".
- Engadíronse opcións a systemd-firstboot: "--image" para especificar a imaxe do disco para iniciar, "--kernel-command-line" para inicializar o ficheiro /etc/kernel/cmdline, "--root-password-hashed" para especifique o hash do contrasinal de root e "--delete-root-password" para eliminar o contrasinal de root.
Fonte: opennet.ru