ProHoster > Pūnaewele > nūhou pūnaewele > hoʻokuʻu ʻia ʻo systemd system manager 243

hoʻokuʻu ʻia ʻo systemd system manager 243

Ma hope o ʻelima mau mahina o ka hoʻomohala ʻana hōʻike ʻia ka hoʻokuʻu ʻana o ka luna ʻōnaehana ʻōnaehana 243. Ma waena o nā mea hou, hiki iā mākou ke hoʻomaopopo i ka hoʻohui ʻana i ka PID 1 o kahi mea hoʻomanaʻo no ka hoʻomanaʻo haʻahaʻa i ka ʻōnaehana, kākoʻo no ka hoʻopili ʻana i kāu mau polokalamu BPF no ka kānana ʻana i nā ʻāpana, nā koho hou no systemd-networkd, kahi ʻano no ka nānā ʻana i ka bandwidth o ka pūnaewele. nā interfaces, hiki ke hoʻololi i nā ʻōnaehana 64-bit i nā helu PID 22-bit ma kahi o 16-bit, hoʻololi i kahi hierarchy cgroups i hui pū ʻia, hoʻokomo ʻia i ka systemd-network-generator.

Nā hoʻololi nui:

  • Ua hoʻohui ʻia ka ʻike ʻana i nā hōʻailona i hana ʻia i ka kernel e pili ana i waho o ka hoʻomanaʻo (Out-Of-Memory, OOM) i ka mea hoʻohana PID 1 e hoʻololi i nā ʻāpana i hiki i ka palena hoʻomanaʻo hoʻomanaʻo i kahi kūlana kūikawā me ka hiki ke koho e koi iā lākou e hoʻopau. a oki paha;
  • No nā faila ʻāpana, nā ʻāpana hou IPingressFilterPath a
    IPEgressFilterPath, kahi e hiki ai iā ʻoe ke hoʻohui i nā polokalamu BPF me nā mea hoʻohana pono ʻole e kānana i nā ʻeke IP komo a puka i waho i hana ʻia e nā kaʻina e pili ana i kēia ʻāpana. ʻO nā hiʻohiʻona i manaʻo ʻia e ʻae iā ʻoe e hana i kahi ʻano pā ahi no nā lawelawe systemd. Laʻana kākau kahi kānana pūnaewele maʻalahi e pili ana i ka BPF;

  • Ua hoʻohui ʻia ke kauoha "maʻemaʻe" i ka pono systemctl e holoi i ka cache, nā faila runtime, ka ʻike kūlana a me nā papa kuhikuhi log;
  • hoʻohui ʻia ʻo systemd-networkd i ke kākoʻo no MACsec, nlmon, IPVTAP a me Xfrm mau kikowaena pūnaewele;
  • Systemd-networkd hoʻohana i ka hoʻonohonoho ʻokoʻa o DHCPv4 a me DHCPv6 pūʻulu ma o nā ʻāpana "[DHCPv4]" a me "[DHCPv6]" i ka faila hoʻonohonoho. Hoʻohui ʻia ke koho RoutesToDNS e hoʻohui i kahi ala kaʻawale i ka server DNS i kuhikuhi ʻia i nā ʻāpana i loaʻa mai ka server DHCP (no laila e hoʻouna ʻia ke kaʻa i ka DNS ma o ka loulou like me ke ala nui i loaʻa mai ka DHCP). Ua hoʻohui ʻia nā koho hou no DHCPv4: MaxAttempts - ka nui o nā noi e loaʻa i kahi helu helu, BlackList - papa inoa ʻeleʻele o nā kikowaena DHCP, SendRelease - hiki ke hoʻouna i nā leka DHCP RELEASE i ka pau ʻana o ke kau;
  • Ua hoʻohui ʻia nā kauoha hou i ka pono systemd-analyze:
    • "systemd-analyze timestamp" - ka hoʻololi ʻana a me ka hoʻololi ʻana;
    • "systemd-analyze timespan" - ka nānā ʻana a me ka hoʻololi ʻana o nā manawa;
    • "systemd-analyse condition" - ka hoʻokaʻawale ʻana a me ka hoʻāʻo ʻana i nā ʻōlelo ConditionXYZ;
    • "systemd-analyze exit-status" - ka hoʻololi ʻana a me ka hoʻololi ʻana i nā code puka mai nā helu a i nā inoa a i ʻole;
    • "systemd-analyze unit-files" - Papa inoa i nā ala waihona no nā ʻāpana a me nā inoa inoa ʻāpana.
  • Nā koho SuccessExitStatus, RestartPreventExitStatus and
    Kākoʻo ʻo RestartForceExitStatus i kēia manawa ʻaʻole i nā code hoʻihoʻi helu wale nō, akā i kā lākou mau ʻike kikokikona (no ka laʻana, "DATAERR"). Hiki iā ʻoe ke nānā i ka papa inoa o nā code i hāʻawi ʻia i nā mea ʻike me ke kauoha "sytemd-analyze exit-status";

  • Ua hoʻohui ʻia ke kauoha "delete" i ka pono networkctl no ka holoi ʻana i nā hāmeʻa pūnaewele virtual, a me ke koho "—stats" e hōʻike i nā helu ʻikepili;
  • Ua hoʻohui ʻia nā hoʻonohonoho SpeedMeter a me SpeedMeterIntervalSec i networkd.conf no ke ana ʻana i kēlā me kēia manawa i ka hoʻokomo ʻana o nā pilina pūnaewele. Hiki ke ʻike ʻia nā ʻikepili i loaʻa mai nā hopena ana ma ka puka o ke kauoha 'networkctl status';
  • Hoʻohui hou ʻia ʻo systemd-network-generator no ka hana ʻana i nā faila
    .network, .netdev a me .link e pili ana i nā hoʻonohonoho IP i hala i ka wā i hoʻokuʻu ʻia ma o ka laina kauoha kernel Linux ma ke ʻano hoʻonohonoho Dracut;

  • ʻO ka waiwai sysctl "kernel.pid_max" ma nā ʻōnaehana 64-bit i kēia manawa i hoʻonohonoho ʻia i ka 4194304 (22-bit PIDs ma kahi o 16-bits), e hōʻemi ana i ka likelilike o nā hui ʻana i ka wā e hāʻawi ai i nā PID, hoʻonui i ka palena o ka helu o ka manawa like. nā kaʻina hana, a he hopena maikaʻi i ka palekana. Hiki i ka hoʻololi ke alakaʻi i nā pilikia pili, akā ʻaʻole i hōʻike ʻia ia mau pilikia ma ka hana;
  • Ma ka maʻamau, hoʻololi ke kahua kūkulu i ka hierarchy hui hui cgroups-v2 ("-Ddefault-hierarchy=unified"). Ma mua, ʻo ka mea paʻamau ka mode hybrid ("-Ddefault-hierarchy=hybrid");
  • Ua hoʻololi ʻia ke ʻano o ka kānana kelepona ʻōnaehana (SystemCallFilter), i ka hihia o kahi kelepona ʻōnaehana pāpā ʻia, i kēia manawa e hoʻopau i ke kaʻina holoʻokoʻa, ʻaʻole i nā milo pākahi, ʻoiai ke hoʻopau ʻana i nā kaula hoʻokahi hiki ke alakaʻi i nā pilikia hiki ʻole ke ʻike. Hoʻopili wale nā ​​loli inā loaʻa iā ʻoe ka Linux kernel 4.14+ a me libseccomp 2.4.0+;
  • Hāʻawi ʻia nā polokalamu pono ʻole i ka hiki ke hoʻouna i nā ʻeke ICMP Echo (ping) ma o ka hoʻonohonoho ʻana i ka sysctl "net.ipv4.ping_group_range" no nā pūʻulu holoʻokoʻa (no nā hana āpau);
  • No ka wikiwiki i ke kaʻina hana, ua hoʻopau ʻia ka hanauna o nā manuals kanaka ma ka paʻamau (e kūkulu i nā palapala piha, pono ʻoe e hoʻohana i ke koho "-Dman = ʻoiaʻiʻo" a i ʻole "-Dhtml = ʻoiaʻiʻo" no nā manuals ma html format). I mea e maʻalahi ai ka nānā ʻana i ka palapala, ua hoʻokomo ʻia nā palapala ʻelua: build/man/man a me build/man/html no ka hana ʻana a me ka nānā mua ʻana i nā manual o ka hoihoi;
  • No ka hana ʻana i nā inoa domain me nā huaʻōlelo mai nā alphabets aupuni, hoʻohana ʻia ka waihona libidn2 ma ke ʻano maʻamau (e hoʻihoʻi i ka libidn, e hoʻohana i ke koho "-Dlibidn=ʻoiaʻiʻo");
  • Ua kāpae ʻia ke kākoʻo no ka faila /usr/sbin/halt.local i hoʻolako ʻia i nā hana i hoʻolaha ʻole ʻia i nā māhele. No ka hoʻonohonohoʻana i ka hoʻomakaʻana o nā kauoha i ka wā e pani ai, ua'ōleloʻia e hoʻohana i nā palapala ma /usr/lib/systemd/system-shutdown/ a i ʻole e wehewehe i kahi ʻāpana hou e pili ana i ka final.target;
  • I ka pae hope o ka pani ʻana, hoʻonui ʻokoʻa ʻo systemd i ka pae log i ka sysctl "kernel.printk", e hoʻonā i ka pilikia me ka hōʻike ʻana i nā hanana log i hana ʻia ma nā pae hope o ka pani ʻana, i ka wā i pau ai nā daemon logging maʻamau. ;
  • Ma ka journalctl a me nā pono hana ʻē aʻe e hōʻike ana i nā lāʻau, ua hōʻike ʻia nā ʻōlelo aʻo i ka melemele, a ua hoʻokaʻawale ʻia nā moʻolelo loiloi i ka polū e hōʻike maka mai ka lehulehu;
  • Ma ka $PATH hoʻololi kaiapuni, hiki ke ala i ka bin/ i kēia manawa ma mua o ke ala i sbin/, ʻo ia. inā loaʻa nā inoa like o nā faila i hoʻokō ʻia ma nā papa kuhikuhi ʻelua, e hoʻokō ʻia ka faila mai bin/;
  • Hāʻawi ʻo systemd-logind i kahi kelepona SetBrightness () e hoʻololi palekana i ka ʻōlinolino o ka pale ma ke kumu pākahi;
  • Ua hoʻohui ʻia ka hae "--wait-for-initialization" i ke kauoha "udevadm info" e kali no ka hoʻomaka ʻana o ka hāmeʻa;
  • I ka wā o ka boot system, hōʻike ka mea hoʻokele PID 1 i nā inoa o nā ʻāpana ma kahi o kahi laina me kā lākou wehewehe. No ka hoʻi ʻana i ka hana i hala, hiki iā ʻoe ke hoʻohana i ke koho StatusUnitFormat ma /etc/systemd/system.conf a i ʻole systemd.status_unit_format kernel koho;
  • Hoʻohui ʻia ke koho KExecWatchdogSec i /etc/systemd/system.conf no ka ʻīlio kiaʻi PID 1, e kuhikuhi ana i ka manawa pau no ka hoʻomaka hou ʻana me ke kexec. Hoʻonohonoho kahiko
    Ua kapa hou ʻia ʻo ShutdownWatchdogSec iā RebootWatchdogSec a wehewehe i kahi manawa hoʻomaha no nā hana i ka wā o ka pani ʻana a i ʻole ka hoʻomaka hou ʻana;

  • Ua hoʻohui ʻia kahi koho hou no nā lawelawe Kūlana Kūlana, hiki iā ʻoe ke kuhikuhi i nā kauoha e hoʻokō ʻia ma mua o ExecStartPre. Ma muli o ke kuhi hewa i hoʻihoʻi ʻia e ke kauoha, ua hoʻoholo ʻia ka hoʻokō hou ʻana o ka ʻāpana - inā hoʻihoʻi ʻia ke code 0, hoʻomau ka hoʻomaka ʻana o ka ʻāpana, inā mai 1 a 254 e pau me ka ʻole o ka hae hemahema, inā 255 e pau me ka he hae hemahema;
  • Hoʻohui i kahi lawelawe hou systemd-pstore.service e unuhi i ka ʻikepili mai sys/fs/pstore/ a mai ka mālama ʻana i /var/lib/pstore no ka nānā hou ʻana;
  • Ua hoʻohui ʻia nā kauoha hou i ka pono timedatectl no ka hoʻonohonoho ʻana i nā ʻāpana NTP no systemd-timesyncd e pili ana i nā pilina pūnaewele;
  • ʻAʻole hōʻike hou ke kauoha "localectl list-locales" i nā wahi ʻē aʻe ma waho o UTF-8;
  • E hōʻoia i ka nānā ʻole ʻia nā hewa hoʻololi i nā faila sysctl.d/ inā hoʻomaka ka inoa hoʻololi me ke ʻano "-";
  • hana systemd-random-seed.service Aia i kēia manawa ke kuleana no ka hoʻomaka ʻana i ka wai entropy o ka Linux kernel pseudorandom number generator. Pono e hoʻomaka nā lawelawe e koi ana i kahi /dev/urandom i hoʻomaka pololei ma hope o systemd-random-seed.service;
  • Hāʻawi ka systemd-boot boot loader i ka hiki ke kākoʻo waihona hua me ke kaʻina maʻamau i ka EFI System Partition (ESP);
  • Ua hoʻohui ʻia nā kauoha hou i ka pono bootctl: "bootctl random-seed" e hana i kahi faila ma ka ESP a me "bootctl i hoʻokomo ʻia" e nānā i ka hoʻokomo ʻana o ka systemd-boot boot loader. Ua hoʻoponopono ʻia ʻo bootctl e hōʻike i nā ʻōlelo aʻo e pili ana i ka hoʻonohonoho hewa ʻana o nā hoʻokomo boot (no ka laʻana, ke holoi ʻia ke kiʻi kernel, akā waiho ʻia ke komo no ka hoʻouka ʻana);
  • Hāʻawi i ke koho ʻakomi o ka ʻāpana swap ke hele ka ʻōnaehana i ke ʻano moe. Koho ʻia ka ʻāpana ma muli o ka mea i hoʻonohonoho ʻia no ia, a i ke ʻano o nā mea nui like, ka nui o ka wahi manuahi;
  • Hoʻohui ʻia ke koho kīfile-timeout i /etc/crypttab e hoʻonohonoho i ka lōʻihi o ke kali ʻana o ka hāmeʻa me ke kī hoʻopunipuni ma mua o ke koi ʻana i kahi ʻōlelo huna e komo i ka pā i hoʻopili ʻia;
  • Hoʻohui i ka koho IOWeight e hoʻonohonoho i ke kaumaha I/O no ka mea hoʻonohonoho BFQ;
  • Ua hoʻohui ʻia ʻo systemd-resolved i ke ʻano 'strict' no DNS-over-TLS a hoʻokō i ka hiki ke hūnā i nā pane DNS maikaʻi wale nō ("Cache no-negative" ma resolved.conf);
  • No VXLAN, ua hoʻohui ʻo systemd-networkd i kahi koho GenericProtocolExtension e hiki ai i nā hoʻonui protocol VXLAN. No VXLAN a me GENEVE, ua hoʻohui ʻia ke koho IPDoNotFragment e hoʻonohonoho i ka hae pāpā ʻāpana no nā ʻeke puka waho;
  • Ma systemd-networkd, ma ka ʻāpana "[Route]", ua ʻike ʻia ka koho FastOpenNoCookie e hiki ai i ka mīkini no ka wehe koke ʻana i nā pilina TCP (TFO - TCP Fast Open, RFC 7413) e pili ana i nā alahele pākahi, a me ke koho TTLPropagate. e hoʻonohonoho i ka TTL LSP (Label Switched Path). Hāʻawi ka koho "Type" i ke kākoʻo no ka kūloko, hoʻolaha, anycast, multicast, kekahi a me xresolve routing modes;
  • Hāʻawi ʻo Systemd-networkd i kahi koho DefaultRouteOnDevice ma ka ʻāpana "[Network]" no ka hoʻonohonoho ʻokoʻa i kahi ala paʻamau no kahi hāmeʻa pūnaewele i hāʻawi ʻia;
  • Ua hoʻohui ʻo Systemd-networkd iā ProxyARP a
    ProxyARPWifi no ka hoʻonohonoho ʻana i ke ʻano ARP proxy, MulticastRouter no ka hoʻonohonoho ʻana i nā ʻāpana alahele ma ke ʻano multicast, MulticastIGMPVersion no ka hoʻololi ʻana i ka mana IGMP (Internet Group Management Protocol) no multicast;

  • Ua hoʻohui ʻo Systemd-networkd i nā koho Local, Peer a me PeerPort no FooOverUDP tunnels e hoʻonohonoho i nā helu IP kūloko a mamao, a me ka helu awa pūnaewele. No nā tunnels TUN, ua hoʻohui ʻia ke koho VnetHeader e hoʻonohonoho i ke kākoʻo GSO (Generic Segment Offload);
  • I ka systemd-networkd, ma ka .network a me ka .link files ma ka [Match] pauku, ua puka mai kahi koho Waiwai, e hiki ai ia oe ke hoomaopopo i na mea ma ko lakou mau waiwai kiko'ī ma udev;
  • I ka systemd-networkd, ua hoʻohui ʻia kahi koho AssignToLoopback no nā tunnels, nāna e hoʻomalu inā hāʻawi ʻia ka hopena o ka tunnel i ka hāmeʻa loopback "lo";
  • Systemd-networkd ho'ā 'akomi i ka IPv6 stack ina ua ālai 'ia ma o sysctl disable_ipv6 - IPv6 ho'ā 'ia ka IPv6 hoʻonohonoho IPv6 (static a DHCPvXNUMX) i ho'ākāka 'ia no ka pili pūnaewele, a i ole ia, aole e loli ka waiwai sysctl i hoonoho mua ia;
  • Ma nā faila .network, ua hoʻololi ʻia ka hoʻonohonoho CriticalConnection e ke koho KeepConfiguration, e hāʻawi ana i nā ala hou aʻe no ka wehewehe ʻana i nā kūlana ("ʻae", "static", "dhcp-on-stop", "dhcp") kahi e pono ai ka systemd-networkd. ʻaʻole e hoʻopā i nā pilina i ka wā e hoʻomaka ai;
  • Paʻa ka vulnerability CVE-2019-15718, ma muli o ka nele o ka mana komo i ka D-Bus interface systemd-resolved. Hāʻawi ka pilikia i kahi mea hoʻohana pono ʻole e hana i nā hana i loaʻa wale i nā luna hoʻomalu, e like me ka hoʻololi ʻana i nā hoʻonohonoho DNS a me ke kuhikuhi ʻana i nā nīnau DNS i kahi kikowaena rogue;
  • Paʻa ka vulnerability CVE-2019-9619pili i ka hiki ʻole ʻana i pam_systemd no nā hui non-interactive, e ʻae ai i ka spoofing o ke kau hana.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka