ProHoster > Blog > internetske vijesti > izdanje upravitelja sustava systemd 250

izdanje upravitelja sustava systemd 250

Nakon pet mjeseci razvoja predstavljeno je izdanje upravitelja sustava systemd 250. Novo izdanje uvelo je mogućnost pohranjivanja vjerodajnica u šifriranom obliku, implementiranu provjeru automatski otkrivenih GPT particija pomoću digitalnog potpisa, poboljšane informacije o uzrocima kašnjenja kada pokretanje servisa, te dodane opcije za ograničavanje pristupa servisu određenim datotečnim sustavima i mrežnim sučeljima, omogućena je podrška za praćenje cjelovitosti particije pomoću dm-integrity modula, te dodana podrška za sd-boot auto-update.

Velike promjene:

  • Dodana podrška za šifrirane i autentificirane vjerodajnice, što može biti korisno za sigurno pohranjivanje osjetljivih materijala kao što su SSL ključevi i pristupne lozinke. Dešifriranje vjerodajnica provodi se samo kada je potrebno i u vezi s lokalnom instalacijom ili opremom. Podaci se šifriraju automatski pomoću simetričnih algoritama šifriranja, čiji se ključ može nalaziti u datotečnom sustavu, u TPM2 čipu ili korištenjem kombinirane sheme. Kada se usluga pokrene, vjerodajnice se automatski dešifriraju i postaju dostupne usluzi u svom normalnom obliku. Za rad s šifriranim vjerodajnicama dodan je uslužni program 'systemd-creds', a za usluge su predložene postavke LoadCredentialEncrypted i SetCredentialEncrypted.
  • sd-stub, EFI izvršna datoteka koja EFI firmware-u omogućuje učitavanje Linux kernela, sada podržava pokretanje kernela pomoću LINUX_EFI_INITRD_MEDIA_GUID EFI protokola. Sd-stub-u je također dodana mogućnost pakiranja vjerodajnica i sysext datoteka u cpio arhivu i prijenos ove arhive u kernel zajedno s initrdom (dodatne datoteke smještene su u direktorij /.extra/). Ova značajka vam omogućuje korištenje provjerljivog nepromjenjivog initrd okruženja, nadopunjenog sysextovima i šifriranim podacima za provjeru autentičnosti.
  • Specifikacija Discoverable Partitions značajno je proširena, pružajući alate za identifikaciju, montiranje i aktiviranje sistemskih particija pomoću GPT-a (GUID Partition Tables). U usporedbi s prethodnim izdanjima, specifikacija sada podržava root particiju i /usr particiju za većinu arhitektura, uključujući platforme koje ne koriste UEFI.

    Discoverable Partitions također dodaje podršku za particije čiji integritet provjerava dm-verity modul pomoću PKCS#7 digitalnih potpisa, što olakšava stvaranje potpuno autentificiranih slika diska. Podrška za provjeru integrirana je u razne uslužne programe koji manipuliraju slikama diska, uključujući systemd-nspawn, systemd-sysext, systemd-dissect, usluge RootImage, systemd-tmpfiles i systemd-sysusers.

  • Za jedinice kojima treba dugo da se pokrenu ili zaustave, osim prikaza animirane trake napretka, moguće je prikazati informacije o statusu koje vam omogućuju da shvatite što se točno događa s uslugom u ovom trenutku i koja je usluga upravitelj sustava trenutno čeka da se završi.
  • Dodan je parametar DefaultOOMScoreAdjust u /etc/systemd/system.conf i /etc/systemd/user.conf, koji vam omogućuje podešavanje praga OOM-killera za manjak memorije, primjenjivog na procese koje systemd pokreće za sustav i korisnike. Prema zadanim postavkama, težina usluga sustava veća je od težine korisničkih usluga, tj. Kada nema dovoljno memorije, vjerojatnost prekida rada korisničkih servisa je veća od onih sistemskih.
  • Dodana je postavka RestrictFileSystems, koja vam omogućuje da ograničite pristup usluga određenim vrstama datotečnih sustava. Za pregled dostupnih vrsta datotečnih sustava, možete koristiti naredbu “systemd-analyze filesystems”. Analogno tome, implementirana je opcija RestrictNetworkInterfaces koja vam omogućuje ograničavanje pristupa određenim mrežnim sučeljima. Implementacija se temelji na BPF LSM modulu, koji ograničava pristup grupi procesa objektima jezgre.
  • Dodana je nova konfiguracijska datoteka /etc/integritytab i uslužni program systemd-integritysetup koji konfigurira modul dm-integrity za kontrolu integriteta podataka na razini sektora, na primjer, kako bi se zajamčila nepromjenjivost šifriranih podataka (Authenticated Encryption, osigurava da blok podataka ima nije modificirano na obilazni način) . Format datoteke /etc/integritytab sličan je datotekama /etc/crypttab i /etc/veritytab, osim što se dm-integrity koristi umjesto dm-crypt i dm-verity.
  • Dodana je nova jedinična datoteka systemd-boot-update.service, kada se aktivira i instalira sd-boot bootloader, systemd će automatski ažurirati verziju sd-boot bootloadera, održavajući kod bootloadera uvijek ažurnim. Sam sd-boot sada je izgrađen prema zadanim postavkama s podrškom za mehanizam SBAT (UEFI Secure Boot Advanced Targeting), koji rješava probleme s opozivom certifikata za UEFI Secure Boot. Osim toga, sd-boot pruža mogućnost analiziranja postavki pokretanja sustava Microsoft Windows kako bi se ispravno generirali nazivi particija za pokretanje sustava Windows i prikazala verzija sustava Windows.

    sd-boot također pruža mogućnost definiranja sheme boja tijekom izgradnje. Tijekom procesa pokretanja, dodana je podrška za promjenu rezolucije zaslona pritiskom na tipku “r”. Dodana tipka prečaca "f" za odlazak na sučelje konfiguracije firmvera. Dodan način za automatsko pokretanje sustava koji odgovara stavci izbornika odabranoj tijekom zadnjeg pokretanja. Dodana je mogućnost automatskog učitavanja EFI upravljačkih programa koji se nalaze u direktoriju /EFI/systemd/drivers/ u odjeljku ESP (EFI System Partition).

  • Uključena je nova datoteka jedinice factory-reset.target, koja se obrađuje u systemd-logind na sličan način kao operacije ponovnog pokretanja, isključivanja, obustave i hibernacije, a koristi se za stvaranje rukovatelja za vraćanje na tvorničke postavke.
  • Systemd razriješen proces sada stvara dodatnu utičnicu za slušanje na 127.0.0.54 uz 127.0.0.53. Zahtjevi koji stignu na 127.0.0.54 uvijek se preusmjeravaju na uzvodni DNS poslužitelj i ne obrađuju se lokalno.
  • Omogućena je mogućnost izgradnje systemd-importd i systemd-resolved s OpenSSL bibliotekom umjesto libgcrypt.
  • Dodana početna podrška za LoongArch arhitekturu koja se koristi u Loongson procesorima.
  • systemd-gpt-auto-generator pruža mogućnost automatske konfiguracije sistemski definiranih swap particija šifriranih LUKS2 podsustavom.
  • GPT kod za analizu slike koji se koristi u systemd-nspawn, systemd-dissect i sličnim uslužnim programima implementira mogućnost dekodiranja slika za druge arhitekture, dopuštajući da se systemd-nspawn koristi za pokretanje slika na emulatorima drugih arhitektura.
  • Prilikom pregledavanja slika diska, systemd-dissect sada prikazuje informacije o namjeni particije, kao što je prikladnost za dizanje putem UEFI-ja ili rad u spremniku.
  • Polje “SYSEXT_SCOPE” dodano je datotekama system-extension.d/, omogućujući vam da označite opseg slike sustava - “initrd”, “system” ili “portable”.
  • Polje “PORTABLE_PREFIXES” dodano je datoteci os-release, koja se može koristiti u prijenosnim slikama za određivanje podržanih prefiksa datoteke jedinice.
  • systemd-logind uvodi nove postavke HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress i HandleHibernateKeyLongPress, koje se mogu koristiti za određivanje što se događa kada se određene tipke drže pritisnute dulje od 5 sekundi (na primjer, brzo pritiskanje tipke Suspend može se konfigurirati za odlazak u stanje pripravnosti , a kada se drži pritisnuto, prijeći će u stanje mirovanja) .
  • Za jedinice su implementirane postavke StartupAllowedCPUs i StartupAllowedMemoryNodes, koje se razlikuju od sličnih postavki bez prefiksa Startup po tome što se primjenjuju samo u fazi pokretanja i isključivanja, što vam omogućuje postavljanje drugih ograničenja resursa tijekom pokretanja.
  • Dodane su [Condition|Assert][Memory|CPU|IO]Provjere tlaka koje omogućuju preskakanje ili neuspjeh aktivacije jedinice ako PSI mehanizam otkrije veliko opterećenje memorije, CPU-a i I/O u sustavu.
  • Zadano maksimalno ograničenje inodea povećano je za /dev particiju sa 64k na 1M, a za /tmp particiju sa 400k na 1M.
  • Za usluge je predložena postavka ExecSearchPath, koja omogućuje promjenu staze za traženje izvršnih datoteka pokrenutih putem postavki kao što je ExecStart.
  • Dodana je postavka RuntimeRandomizedExtraSec, koja vam omogućuje uvođenje nasumičnih odstupanja u vremensko ograničenje RuntimeMaxSec, što ograničava vrijeme izvršenja jedinice.
  • Proširena je sintaksa postavki RuntimeDirectory, StateDirectory, CacheDirectory i LogsDirectory, u kojoj navođenjem dodatne vrijednosti odvojene dvotočkom sada možete organizirati stvaranje simboličke veze na dani direktorij za organiziranje pristupa duž nekoliko staza.
  • Za usluge se nude postavke TTYRows i TTYColumns za postavljanje broja redaka i stupaca u TTY uređaju.
  • Dodana je postavka ExitType koja vam omogućuje promjenu logike za određivanje kraja usluge. Prema zadanim postavkama, systemd nadzire samo smrt glavnog procesa, ali ako je ExitType=cgroup postavljen, upravitelj sustava će čekati da završi posljednji proces u cgroup-u.
  • Systemd-cryptsetup implementacija podrške za TPM2/FIDO2/PKCS11 sada je također izgrađena kao cryptsetup plugin, dopuštajući da se normalna cryptsetup naredba koristi za otključavanje šifrirane particije.
  • TPM2 rukovatelj u systemd-cryptsetup/systemd-cryptsetup dodaje podršku za RSA primarne ključeve uz ECC ključeve radi poboljšanja kompatibilnosti s ne-ECC čipovima.
  • Opcija token-timeout dodana je u /etc/crypttab, što vam omogućuje definiranje maksimalnog vremena čekanja na vezu tokena PKCS#11/FIDO2, nakon čega će se od vas tražiti da unesete lozinku ili ključ za oporavak.
  • systemd-timesyncd implementira postavku SaveIntervalSec, koja vam omogućuje povremeno spremanje trenutnog sistemskog vremena na disk, na primjer, za implementaciju monotonog sata na sustavima bez RTC-a.
  • Opcije su dodane uslužnom programu systemd-analyze: “--image” i “--root” za provjeru datoteka jedinica unutar zadane slike ili korijenskog direktorija, “--recursive-errors” za uzimanje u obzir zavisnih jedinica kada dođe do pogreške je otkriven, “--offline” za provjeru zasebnih jedinica jedinica spremljenih na disk, “—json” za izlaz u JSON formatu, “—quiet” za onemogućavanje nevažnih poruka, “—profile” za vezanje na prijenosni profil. Dodana je i naredba inspect-elf za raščlanjivanje osnovnih datoteka u ELF formatu i mogućnost provjere jedinica jedinica s danim nazivom jedinice, bez obzira odgovara li to ime nazivu datoteke.
  • systemd-networkd je proširio podršku za sabirnicu Controller Area Network (CAN). Dodane postavke za kontrolu CAN načina rada: Loopback, OneShot, PresumeAck i ClassicDataLengthCode. Dodane opcije TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 i DataSyncJumpWidth u odjeljak [CAN] .network datoteka za kontrolu bitne sinkronizacije CAN-a sučelje.
  • Systemd-networkd je dodao opciju Label za DHCPv4 klijenta, koja vam omogućuje da konfigurirate adresnu oznaku koja se koristi prilikom konfiguracije IPv4 adresa.
  • systemd-udevd za "ethtool" implementira podršku za posebne "max" vrijednosti koje postavljaju veličinu međuspremnika na najveću vrijednost koju podržava hardver.
  • U .link datotekama za systemd-udevd sada možete konfigurirati različite parametre za kombiniranje mrežnih adaptera i povezivanje rukovatelja hardverom (offload).
  • systemd-networkd prema zadanim postavkama nudi nove .network datoteke: 80-container-vb.network za definiranje mrežnih mostova stvorenih prilikom pokretanja systemd-nspawn s opcijama “--network-bridge” ili “--network-zone”; 80-6rd-tunnel.network za definiranje tunela koji se automatski stvaraju kada se primi DHCP odgovor s opcijom 6RD.
  • Systemd-networkd i systemd-udevd dodali su podršku za IP prosljeđivanje preko InfiniBand sučelja, za što je odjeljak “[IPoIB]” dodan u datoteke systemd.netdev, a obrada vrijednosti “ipoib” implementirana je u Kind postavljanje.
  • systemd-networkd pruža automatsku konfiguraciju rute za adrese navedene u parametru AllowedIPs, koji se može konfigurirati putem parametara RouteTable i RouteMetric u odjeljcima [WireGuard] i [WireGuardPeer].
  • systemd-networkd osigurava automatsko generiranje nepromjenjivih MAC adresa za batadv i bridge sučelja. Da biste onemogućili ovo ponašanje, možete navesti MACAddress=none u .netdev datotekama.
  • Postavka WakeOnLanPassword dodana je datotekama .link u odjeljku “[Link]” za određivanje lozinke kada WoL radi u načinu rada “SecureOn”.
  • Dodane postavke AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO i UseRawPacketSize u odjeljak “[CAKE]” .network datoteka za definiranje parametara CAKE (Common Applications Kept Enhanced) mehanizma za upravljanje mrežnim redovima čekanja .
  • Dodana je postavka IgnoreCarrierLoss u odjeljak "[Network]" .network datoteka, što vam omogućuje da odredite koliko dugo čekati prije nego što reagirate na gubitak signala nositelja.
  • Systemd-nspawn, homectl, machinectl i systemd-run proširili su sintaksu parametra "--setenv" - ako je navedeno samo ime varijable (bez "="), vrijednost će se uzeti iz odgovarajuće varijable okruženja (za na primjer, kada navedete "--setenv=FOO" vrijednost će se uzeti iz varijable okruženja $FOO i koristiti u varijabli okruženja istog naziva postavljenoj u spremniku).
  • systemd-nspawn dodao je opciju "--suppress-sync" za onemogućavanje sinkroniziranih()/fsync()/fdatasync() sistemskih poziva prilikom stvaranja spremnika (korisno kada je brzina prioritet, a očuvanje artefakata izrade u slučaju kvara nije važno jer se mogu ponovno stvoriti u bilo kojem trenutku).
  • Dodana je nova hwdb baza podataka koja uključuje različite vrste analizatora signala (multimetre, analizatore protokola, osciloskope itd.). Podaci o kamerama u hwdb-u prošireni su poljem s podacima o vrsti kamere (obična ili infracrvena) i položaju leće (prednja ili stražnja).
  • Omogućeno generiranje nepromjenjivih naziva mrežnih sučelja za netfront uređaje koji se koriste u Xenu.
  • Analiza jezgrenih datoteka pomoću uslužnog programa systemd-coredump temeljenog na libdw/libelf bibliotekama sada se izvodi u zasebnom procesu, izoliranom u sandbox okruženju.
  • systemd-importd je dodao podršku za varijable okruženja $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, s kojima možete onemogućiti generiranje Btrfs podparticija, kao i konfigurirati kvote i sinkronizaciju diska.
  • U systemd-journaldu, na datotečnim sustavima koji podržavaju način kopiranja pri pisanju, način rada COW ponovno je omogućen za arhivirane dnevnike, dopuštajući njihovu kompresiju pomoću Btrfs-a.
  • systemd-journald implementira deduplikaciju identičnih polja u jednoj poruci, koja se izvodi u fazi prije stavljanja poruke u dnevnik.
  • Dodana je opcija "--show" naredbi za isključivanje radi prikaza planiranog isključivanja.

Izvor: opennet.ru

Dodajte komentar