सिस्टमड सिस्टम मैनेजर रिलीज 243

पांच महीने के विकास के बाद प्रस्तुत सिस्टम मैनेजर रिलीज़ systemd 243. नवाचारों के बीच, हम सिस्टम में कम मेमोरी के लिए एक हैंडलर के पीआईडी ​​1 में एकीकरण, यूनिट ट्रैफ़िक को फ़िल्टर करने के लिए अपने स्वयं के बीपीएफ प्रोग्राम संलग्न करने के लिए समर्थन, सिस्टमडी-नेटवर्कडी के लिए कई नए विकल्प, नेटवर्क की बैंडविड्थ की निगरानी के लिए एक मोड को नोट कर सकते हैं। इंटरफ़ेस, 64-बिट सिस्टम पर डिफ़ॉल्ट रूप से 22-बिट के बजाय 16-बिट पीआईडी ​​नंबर सक्षम करना, एकीकृत सीग्रुप पदानुक्रम में संक्रमण, सिस्टमडी-नेटवर्क-जनरेटर में शामिल करना।

मुख्य परिवर्तन:

• मेमोरी से बाहर (आउट-ऑफ-मेमोरी, ओओएम) के बारे में कर्नेल-जनित संकेतों की पहचान को पीआईडी ​​1 हैंडलर में जोड़ा गया है ताकि मेमोरी खपत सीमा तक पहुंचने वाली इकाइयों को एक विशेष स्थिति में स्थानांतरित करने की वैकल्पिक क्षमता के साथ उन्हें समाप्त करने के लिए मजबूर किया जा सके। या रुकें;
• यूनिट फ़ाइलों के लिए, नए पैरामीटर IPIngressFilterPath और
  IPEgressFilterPath, जो आपको इस इकाई से जुड़ी प्रक्रियाओं द्वारा उत्पन्न इनकमिंग और आउटगोइंग आईपी पैकेट को फ़िल्टर करने के लिए मनमाने हैंडलर के साथ बीपीएफ प्रोग्राम को कनेक्ट करने की अनुमति देता है। प्रस्तावित सुविधाएँ आपको सिस्टमडी सेवाओं के लिए एक प्रकार का फ़ायरवॉल बनाने की अनुमति देती हैं। लेखन उदाहरण बीपीएफ पर आधारित एक सरल नेटवर्क फ़िल्टर;

• कैश, रनटाइम फ़ाइलें, स्थिति जानकारी और लॉग निर्देशिकाओं को हटाने के लिए systemctl उपयोगिता में "क्लीन" कमांड जोड़ा गया है;
• systemd-networkd MACsec, nlmon, IPVTAP और Xfrm नेटवर्क इंटरफेस के लिए समर्थन जोड़ता है;
• systemd-networkd कॉन्फ़िगरेशन फ़ाइल में "[DHCPv4]" और "[DHCPv6]" अनुभागों के माध्यम से DHCPv4 और DHCPv6 स्टैक के अलग-अलग कॉन्फ़िगरेशन को लागू करता है। डीएचसीपी सर्वर से प्राप्त मापदंडों में निर्दिष्ट डीएनएस सर्वर के लिए एक अलग रूट जोड़ने के लिए रूट्सटूडीएनएस विकल्प जोड़ा गया (ताकि डीएनएस पर ट्रैफिक डीएचसीपी से प्राप्त मुख्य रूट के समान लिंक के माध्यम से भेजा जा सके)। DHCPv4 के लिए नए विकल्प जोड़े गए हैं: MaxAttempts - पता प्राप्त करने के लिए अनुरोधों की अधिकतम संख्या, ब्लैकलिस्ट - DHCP सर्वरों की ब्लैक लिस्ट, सेंडरिलीज़ - सत्र समाप्त होने पर DHCP RELEASE संदेश भेजने में सक्षम;
• सिस्टमड-विश्लेषण उपयोगिता में नए कमांड जोड़े गए हैं:
  • "सिस्टमडी-विश्लेषण टाइमस्टैम्प" - समय विश्लेषण और रूपांतरण;
  • "सिस्टमडी-विश्लेषण समय अवधि" - समय अवधि को पार्स करना और परिवर्तित करना;
  • "सिस्टमडी-विश्लेषण स्थिति" - कंडीशनXYZ अभिव्यक्तियों को पार्स करना और परीक्षण करना;
  • "सिस्टमडी-विश्लेषण निकास-स्थिति" - निकास कोड को संख्याओं से नामों में पार्स करना और परिवर्तित करना और इसके विपरीत;
  • "सिस्टमडी-विश्लेषण इकाई-फ़ाइलें" - इकाइयों और इकाई उपनामों के लिए सभी फ़ाइल पथों को सूचीबद्ध करता है।
• विकल्प SuccesExitStatus, RestartPreventExitStatus और
  RestartForceExitStatus अब न केवल संख्यात्मक रिटर्न कोड का समर्थन करता है, बल्कि उनके टेक्स्ट पहचानकर्ताओं (उदाहरण के लिए, "DATAERR") का भी समर्थन करता है। आप "sytemd-analyze exit-status" कमांड का उपयोग करके पहचानकर्ताओं को निर्दिष्ट कोड की सूची देख सकते हैं;

• वर्चुअल नेटवर्क डिवाइस को हटाने के लिए नेटवर्कसीटीएल उपयोगिता में "डिलीट" कमांड जोड़ा गया है, साथ ही डिवाइस आंकड़े प्रदर्शित करने के लिए "-स्टेट्स" विकल्प भी जोड़ा गया है;
• नेटवर्क इंटरफेस के थ्रूपुट को समय-समय पर मापने के लिए स्पीडमीटर और स्पीडमीटरइंटरवलसेक सेटिंग्स को नेटवर्कडी.कॉन्फ़ में जोड़ा गया है। माप परिणामों से प्राप्त आंकड़े 'नेटवर्कसीटीएल स्टेटस' कमांड के आउटपुट में देखे जा सकते हैं;
• फ़ाइलें बनाने के लिए नई उपयोगिता systemd-network-जनरेटर जोड़ा गया
  ड्रेकट सेटिंग्स प्रारूप में लिनक्स कर्नेल कमांड लाइन के माध्यम से लॉन्च होने पर आईपी सेटिंग्स के आधार पर .network, .netdev और .link पारित किया गया;

• 64-बिट सिस्टम पर sysctl "कर्नेल.पिड_मैक्स" मान अब डिफ़ॉल्ट रूप से 4194304 (22-बिट्स के बजाय 16-बिट पीआईडी) पर सेट है, जो पीआईडी ​​​​असाइन करते समय टकराव की संभावना को कम करता है, एक साथ संख्या की सीमा बढ़ाता है चल रही प्रक्रियाएं, और सुरक्षा पर सकारात्मक प्रभाव पड़ता है। परिवर्तन संभावित रूप से अनुकूलता संबंधी समस्याएं पैदा कर सकता है, लेकिन व्यवहार में ऐसे मुद्दे अभी तक रिपोर्ट नहीं किए गए हैं;
• डिफ़ॉल्ट रूप से, निर्माण चरण एकीकृत पदानुक्रम cgroups-v2 ("-Ddefault-hierarchy=unified") पर स्विच हो जाता है। पहले, डिफ़ॉल्ट हाइब्रिड मोड था ("-Ddefault-hierarchy=hybrid");
• सिस्टम कॉल फ़िल्टर (SystemCallFilter) का व्यवहार बदल दिया गया है, जो निषिद्ध सिस्टम कॉल के मामले में, अब अलग-अलग थ्रेड के बजाय पूरी प्रक्रिया को समाप्त कर देता है, क्योंकि अलग-अलग थ्रेड को समाप्त करने से अप्रत्याशित समस्याएं हो सकती हैं। परिवर्तन केवल तभी लागू होते हैं यदि आपके पास Linux कर्नेल 4.14+ और libseccomp 2.4.0+ है;
• गैर-विशेषाधिकार प्राप्त प्रोग्रामों को समूहों की संपूर्ण श्रृंखला (सभी प्रक्रियाओं के लिए) के लिए sysctl "net.ipv4.ping_group_range" सेट करके ICMP इको (पिंग) पैकेट भेजने की क्षमता दी जाती है;
• निर्माण प्रक्रिया को तेज करने के लिए, मैन मैनुअल की पीढ़ी को डिफ़ॉल्ट रूप से रोक दिया गया है (पूर्ण दस्तावेज बनाने के लिए, आपको HTML प्रारूप में मैनुअल के लिए "-Dman=true" या "-Dhtml=true" विकल्प का उपयोग करना होगा)। दस्तावेज़ीकरण को देखना आसान बनाने के लिए, दो स्क्रिप्ट शामिल की गई हैं: रुचि के मैनुअल बनाने और पूर्वावलोकन करने के लिए बिल्ड/मैन/मैन और बिल्ड/मैन/एचटीएमएल;
• राष्ट्रीय वर्णमाला के वर्णों के साथ डोमेन नामों को संसाधित करने के लिए, libidn2 लाइब्रेरी का उपयोग डिफ़ॉल्ट रूप से किया जाता है (libidn वापस करने के लिए, "-Dlibidn=true" विकल्प का उपयोग करें);
• /usr/sbin/halt.local निष्पादन योग्य फ़ाइल के लिए समर्थन, जो कार्यक्षमता प्रदान करता था जो वितरण में व्यापक रूप से वितरित नहीं था, बंद कर दिया गया है। शट डाउन करते समय कमांड के लॉन्च को व्यवस्थित करने के लिए, /usr/lib/systemd/system-shutdown/ में स्क्रिप्ट का उपयोग करने या एक नई इकाई को परिभाषित करने की अनुशंसा की जाती है जो फाइनल.लक्ष्य पर निर्भर करती है;
• शटडाउन के अंतिम चरण में, सिस्टमडी अब स्वचालित रूप से sysctl "kernel.printk" में लॉग स्तर को बढ़ाता है, जो शटडाउन के बाद के चरणों में होने वाली लॉग घटनाओं को प्रदर्शित करने में समस्या को हल करता है, जब नियमित लॉगिंग डेमॉन पहले ही पूरा हो चुके होते हैं ;
• लॉग प्रदर्शित करने वाली जर्नलसीटीएल और अन्य उपयोगिताओं में, चेतावनियों को पीले रंग में हाइलाइट किया जाता है, और ऑडिट रिकॉर्ड को भीड़ से स्पष्ट रूप से उजागर करने के लिए नीले रंग में हाइलाइट किया जाता है;
• $PATH पर्यावरण चर में, बिन/ का पथ अब sbin/ के पथ से पहले आता है, अर्थात। यदि दोनों निर्देशिकाओं में निष्पादन योग्य फ़ाइलों के समान नाम हैं, तो बिन/ से फ़ाइल निष्पादित की जाएगी;
• systemd-logind प्रति सत्र के आधार पर स्क्रीन की चमक को सुरक्षित रूप से बदलने के लिए SetBrightness() कॉल प्रदान करता है;
• डिवाइस के प्रारंभ होने की प्रतीक्षा करने के लिए "--प्रतीक्षा-के-प्रारंभिकरण" ध्वज को "udevadm जानकारी" कमांड में जोड़ा गया है;
• सिस्टम बूट के दौरान, पीआईडी ​​1 हैंडलर अब इकाइयों के विवरण के साथ एक पंक्ति के बजाय उनके नाम प्रदर्शित करता है। पिछले व्यवहार पर वापस लौटने के लिए, आप /etc/systemd/system.conf या systemd.status_unit_format कर्नेल विकल्प में statusUnitFormat विकल्प का उपयोग कर सकते हैं;
• वॉचडॉग PID 1 के लिए /etc/systemd/system.conf में KExecWatchDogSec विकल्प जोड़ा गया, जो kexec का उपयोग करके पुनरारंभ करने के लिए टाइमआउट निर्दिष्ट करता है। पुरानी सेटिंग
  शटडाउनवॉचडॉगसेक का नाम बदलकर रीबूटवॉचडॉगसेक कर दिया गया है और यह शटडाउन या सामान्य पुनरारंभ के दौरान नौकरियों के लिए टाइमआउट को परिभाषित करता है;

• सेवाओं के लिए एक नया विकल्प जोड़ा गया है निष्पादन शर्त, जो आपको उन आदेशों को निर्दिष्ट करने की अनुमति देता है जिन्हें ExecStartPre से पहले निष्पादित किया जाएगा। कमांड द्वारा लौटाए गए त्रुटि कोड के आधार पर, यूनिट के आगे निष्पादन पर निर्णय लिया जाता है - यदि कोड 0 लौटाया जाता है, तो यूनिट लॉन्च जारी रहता है, यदि 1 से 254 तक यह चुपचाप विफलता ध्वज के बिना समाप्त होता है, यदि 255 यह समाप्त होता है एक विफलता ध्वज;
• sys/fs/pstore/ से डेटा निकालने और आगे के विश्लेषण के लिए /var/lib/pstore में सहेजने के लिए एक नई सेवा systemd-pstore.service जोड़ी गई;
• नेटवर्क इंटरफेस के संबंध में systemd-timesyncd के लिए NTP मापदंडों को कॉन्फ़िगर करने के लिए timedatectl उपयोगिता में नए कमांड जोड़े गए हैं;
• "localectl list-locales" कमांड अब UTF-8 के अलावा अन्य स्थान प्रदर्शित नहीं करता है;
• यह सुनिश्चित करता है कि यदि वेरिएबल नाम वर्ण "-" से शुरू होता है तो sysctl.d/ फ़ाइलों में वेरिएबल असाइनमेंट त्रुटियों को नजरअंदाज कर दिया जाता है;
• सेवा systemd-random-seed.service अब लिनक्स कर्नेल छद्म यादृच्छिक संख्या जनरेटर के एन्ट्रापी पूल को आरंभ करने के लिए पूरी तरह से जिम्मेदार है। जिन सेवाओं के लिए सही ढंग से आरंभिक /dev/urandom की आवश्यकता होती है, उन्हें systemd-random-seed.service के बाद शुरू किया जाना चाहिए;
• सिस्टमडी-बूट बूट लोडर समर्थन करने की वैकल्पिक क्षमता प्रदान करता है बीज फ़ाइल ईएफआई सिस्टम विभाजन (ईएसपी) में यादृच्छिक अनुक्रम के साथ;
• Bootctl उपयोगिता में नए कमांड जोड़े गए हैं: ESP में एक सीड फ़ाइल उत्पन्न करने के लिए "bootctl रैंडम-सीड" और सिस्टम-बूट बूट लोडर की स्थापना की जांच करने के लिए "bootctl is-installed"। गलत तरीके से कॉन्फ़िगर की गई बूट प्रविष्टियों के बारे में चेतावनियाँ प्रदर्शित करने के लिए बूटसीटीएल को भी समायोजित किया गया है (उदाहरण के लिए, जब कर्नेल छवि हटा दी जाती है, लेकिन इसे लोड करने के लिए प्रविष्टि छोड़ दी जाती है);
• जब सिस्टम स्लीप मोड में चला जाता है तो स्वैप विभाजन का स्वचालित चयन प्रदान करता है। विभाजन का चयन इसके लिए कॉन्फ़िगर की गई प्राथमिकता और समान प्राथमिकताओं के मामले में, खाली स्थान की मात्रा के आधार पर किया जाता है;
• एन्क्रिप्टेड विभाजन तक पहुंचने के लिए पासवर्ड के लिए संकेत देने से पहले एन्क्रिप्शन कुंजी वाला डिवाइस कितनी देर तक इंतजार करेगा, यह निर्धारित करने के लिए /etc/crypttab में कीफाइल-टाइमआउट विकल्प जोड़ा गया;
• BFQ अनुसूचक के लिए I/O भार निर्धारित करने के लिए IOWeight विकल्प जोड़ा गया;
• systemd-resolved ने DNS-over-TLS के लिए 'सख्त' मोड जोड़ा और केवल सकारात्मक DNS प्रतिक्रियाओं को कैश करने की क्षमता लागू की (solved.conf में कैश नो-नेगेटिव);
• VXLAN के लिए, systemd-networkd ने VXLAN प्रोटोकॉल एक्सटेंशन को सक्षम करने के लिए एक GenericProtocolExtension विकल्प जोड़ा है। VXLAN और GENEVE के लिए, आउटगोइंग पैकेट के लिए विखंडन निषेध ध्वज सेट करने के लिए IPDoNotFragment विकल्प जोड़ा गया है;
• सिस्टमडी-नेटवर्कडी में, "[रूट]" अनुभाग में, व्यक्तिगत मार्गों के संबंध में टीसीपी कनेक्शन (टीएफओ - टीसीपी फास्ट ओपन, आरएफसी 7413) को जल्दी से खोलने के लिए तंत्र को सक्षम करने के लिए फास्टओपेननोकुकी विकल्प दिखाई दिया है, साथ ही टीटीएलप्रॉपगेट विकल्प भी। टीटीएल एलएसपी (लेबल स्विच्ड पाथ) को कॉन्फ़िगर करने के लिए। "टाइप" विकल्प स्थानीय, प्रसारण, एनीकास्ट, मल्टीकास्ट, एनी और एक्सरिज़ॉल्व रूटिंग मोड के लिए समर्थन प्रदान करता है;
• Systemd-networkd किसी दिए गए नेटवर्क डिवाइस के लिए डिफ़ॉल्ट रूट को स्वचालित रूप से कॉन्फ़िगर करने के लिए "[नेटवर्क]" अनुभाग में एक DefaultRouteOnDevice विकल्प प्रदान करता है;
• Systemd-networkd ने ProxyARP और जोड़ा है
  प्रॉक्सी ARP व्यवहार सेट करने के लिए ProxyARPWifi, मल्टीकास्ट मोड में रूटिंग पैरामीटर सेट करने के लिए मल्टीकास्ट राउटर, मल्टीकास्ट के लिए IGMP (इंटरनेट ग्रुप मैनेजमेंट प्रोटोकॉल) संस्करण को बदलने के लिए मल्टीकास्टIGMPVersion;

• Systemd-networkd ने स्थानीय और दूरस्थ आईपी पते, साथ ही नेटवर्क पोर्ट नंबर को कॉन्फ़िगर करने के लिए FooOverUDP सुरंगों के लिए स्थानीय, पीयर और पीयरपोर्ट विकल्प जोड़े हैं। TUN सुरंगों के लिए, GSO (जेनेरिक सेगमेंट ऑफलोड) समर्थन को कॉन्फ़िगर करने के लिए VnetHeader विकल्प जोड़ा गया है;
• systemd-networkd में, [मैच] अनुभाग में .network और .link फ़ाइलों में, एक संपत्ति विकल्प दिखाई देता है, जो आपको udev में उनके विशिष्ट गुणों द्वारा उपकरणों की पहचान करने की अनुमति देता है;
• systemd-networkd में, सुरंगों के लिए एक AssignToLoopback विकल्प जोड़ा गया है, जो नियंत्रित करता है कि सुरंग का अंत लूपबैक डिवाइस "लो" को सौंपा गया है या नहीं;
• systemd-networkd स्वचालित रूप से IPv6 स्टैक को सक्रिय करता है यदि इसे sysctl disable_ipv6 के माध्यम से अवरुद्ध किया जाता है - IPv6 सक्रिय होता है यदि IPv6 सेटिंग्स (स्थैतिक या DHCPv6) नेटवर्क इंटरफ़ेस के लिए परिभाषित की जाती हैं, अन्यथा पहले से सेट sysctl मान नहीं बदलता है;
• .network फ़ाइलों में, क्रिटिकलकनेक्शन सेटिंग को KeepConfiguration विकल्प द्वारा प्रतिस्थापित किया गया है, जो स्थितियों को परिभाषित करने के लिए अधिक साधन प्रदान करता है ("हाँ", "स्थैतिक", "dhcp-ऑन-स्टॉप", "dhcp") जिसमें systemd-networkd होना चाहिए स्टार्टअप के समय मौजूदा कनेक्शन को न छुएं;
• भेद्यता ठीक की गई CVE-2019-15718, डी-बस इंटरफ़ेस सिस्टमडी-रिज़ॉल्यूशन तक पहुंच नियंत्रण की कमी के कारण। यह समस्या एक वंचित उपयोगकर्ता को ऐसे ऑपरेशन करने की अनुमति देती है जो केवल प्रशासकों के लिए उपलब्ध हैं, जैसे DNS सेटिंग्स बदलना और DNS क्वेरीज़ को एक दुष्ट सर्वर पर निर्देशित करना;
• भेद्यता ठीक की गई CVE-2019-9619गैर-संवादात्मक सत्रों के लिए pam_systemd को सक्षम न करने से संबंधित, जो सक्रिय सत्र की स्पूफिंग की अनुमति देता है।

स्रोत: opennet.ru