ProHoster > Blog > internetske vijesti > izdanje upravitelja sustava systemd 250

izdanje upravitelja sustava systemd 250

Nakon pet mjeseci razvoja, objavljen je upravitelj sustava systemd 250. Novo izdanje dodaje mogućnost pohranjivanja šifriranih vjerodajnica, implementira provjeru digitalnog potpisa automatski detektiranih GPT particija, poboljšava izvještavanje o kašnjenjima pokretanja servisa, dodaje opcije za ograničavanje pristupa servisa određenim datotečnim sustavima i mrežnim sučeljima, podržava praćenje integriteta particija pomoću modula dm-integrity i dodaje podršku za automatska sd-boot ažuriranja.

Velike promjene:

  • Dodana je podrška za šifrirane i autentificirane vjerodajnice, što može biti korisno za sigurno pohranjivanje osjetljivih materijala kao što su SSL- pristupni ključevi i lozinke. Dešifriranje vjerodajnica izvodi se samo kada je to potrebno i specifično je za lokalnu instalaciju ili hardver. Podaci se automatski šifriraju pomoću simetričnih algoritama za šifriranje, čiji se ključ može nalaziti u datotečnom sustavu, u TPM2 čipu ili korištenjem kombinirane sheme. Kada se usluga pokrene, vjerodajnice se automatski dešifriraju i postaju dostupne usluzi u običnom tekstu. Dodan je uslužni program 'systemd-creds' za rad sa šifriranim vjerodajnicama, a za usluge su dostupne postavke LoadCredentialEncrypted i SetCredentialEncrypted.
  • U sd-stubu, izvršna datoteka za EFI, kojom EFI firmware učitava kernel LinuxDodana je podrška za pokretanje kernela pomoću LINUX_EFI_INITRD_MEDIA_GUID EFI protokola. Također je u sd-stub dodana mogućnost pakiranja vjerodajnica i sysext datoteka u cpio arhivu i prosljeđivanja ove arhive kernelu zajedno s initrd-om (dodatne datoteke se smještaju u direktorij /.extra/). Ova značajka omogućuje korištenje provjerljivog, nepromjenjivog initrd okruženja, proširenog sysexts-ovima i šifriranim podacima za autentifikaciju.
  • Specifikacija Otkrivenih Particija značajno je proširena, pružajući alate za identificiranje, montiranje i aktiviranje sistemskih particija pomoću GPT-a (GUID Partition Tables). U usporedbi s prethodnim izdanjima, specifikacija sada podržava root particiju i /usr particiju za većinu arhitektura, uključujući platforme koje ne koriste UEFI.

    Otkrivene particije također dodaju podršku za particije čiji integritet provjerava modul dm-verity pomoću digitalnih potpisa PKCS#7, pojednostavljujući stvaranje potpuno autentificiranih slika diskova. Podrška za provjeru integrirana je u razne uslužne programe koji manipuliraju slikama diskova, uključujući systemd-nspawn, systemd-sysext, systemd-dissect, usluge s RootImage, systemd-tmpfiles i systemd-sysusers.

  • Za jedinice kojima je potrebno dugo vremena za pokretanje ili zaustavljanje, osim prikaza animirane trake napretka, omogućena je i mogućnost prikaza informacija o statusu, što vam omogućuje da shvatite što se točno događa s uslugom u ovom trenutku i koju uslugu upravitelj sustava trenutno čeka da dovrši.
  • Parametar DefaultOOMScoreAdjust dodan je u /etc/systemd/system.conf i /etc/systemd/user.conf. Ovaj parametar podešava prag OOM-killera za situacije s malo memorije, primjenjiv na procese koje je pokrenuo systemd za sustav i korisnike. Prema zadanim postavkama, sistemske usluge imaju veću težinu od korisničkih usluga, što znači da je vjerojatnije da će se korisničke usluge prekinuti u uvjetima malo memorije nego sistemske usluge.
  • Dodana je postavka RestrictFileSystems koja vam omogućuje ograničavanje pristupa servisa određenim vrstama datotečnih sustava. Naredbu "systemd-analyze filesystems" možete koristiti za pregled dostupnih vrsta datotečnih sustava. Slično tome, implementirana je opcija RestrictNetworkInterfaces koja vam omogućuje ograničavanje pristupa određenim mrežnim sučeljima. Ova implementacija temelji se na LSM BPF modulu koji ograničava pristup objektima kernela za skupinu procesa.
  • Dodana je nova konfiguracijska datoteka, /etc/integritytab, i uslužni program systemd-integritysetup. Oni konfiguriraju modul dm-integrity za praćenje integriteta podataka na razini sektora, kao što je osiguravanje nepromjenjivosti šifriranih podataka (Autentificirano šifriranje osigurava da blok podataka nije modificiran na način koji sprječava neovlaštene izmjene). Format datoteke /etc/integritytab sličan je datotekama /etc/crypttab i /etc/veritytab, osim što se umjesto dm-crypt i dm-verity koristi dm-integrity.
  • Dodana je nova datoteka jedinice, systemd-boot-update.service. Kada je omogućena i instaliran je sd-boot bootloader, systemd će automatski ažurirati verziju sd-boot bootloadera, održavajući kod bootloadera uvijek ažurnim. Sam sd-boot sada je prema zadanim postavkama izgrađen s podrškom za mehanizam SBAT (UEFI Secure Boot Advanced Targeting), koji rješava probleme s opozivom certifikata za UEFI Secure Boot. Nadalje, sd-boot sada podržava parsiranje Microsoftovih postavki pokretanja. Windows za ispravno formiranje imena boot particija s Windows i verzija za prikaz Windows.

    sd-boot također pruža mogućnost određivanja sheme boja tijekom procesa izgradnje. Sada je dostupna podrška za promjenu rezolucije zaslona pritiskom na tipku "r" tijekom pokretanja. Dodana je tipkovnica "f" za ulazak u sučelje za postavljanje firmvera. Dodan je automatski način pokretanja sustava, koji odgovara stavci izbornika odabranoj tijekom prethodnog pokretanja. Dodana je mogućnost automatskog učitavanja EFI upravljačkih programa koji se nalaze u direktoriju /EFI/systemd/drivers/ na ESP-u (EFI sistemska particija).

  • Uključena je nova datoteka jedinice, factory-reset.target, koju systemd-logind obrađuje na sličan način kao operacije ponovnog pokretanja, isključivanja, obustave i hibernacije, a koristi se za stvaranje rukovatelja za izvođenje tvorničkog resetiranja.
  • Proces koji je riješio systemd sada stvara dodatni socket za slušanje na 127.0.0.54 uz 127.0.0.53. Zahtjevi prema 127.0.0.54 uvijek se prosljeđuju uzvodnom DNS poslužitelju i ne obrađuju se lokalno.
  • Uvedena je mogućnost izgradnje systemd-importd i systemd-resolved s OpenSSL bibliotekom umjesto libgcrypt.
  • Dodana je početna podrška za LoongArch arhitekturu korištenu u Loongson procesorima.
  • systemd-gpt-auto-generator implementira mogućnost automatskog konfiguriranja sistemski definiranih swap particija šifriranih LUKS2 podsustavom.
  • Kod za parsiranje GPT slika koji se koristi u systemd-nspawn, systemd-dissect i sličnim uslužnim programima implementira mogućnost dekodiranja slika za druge arhitekture, omogućujući korištenje systemd-nspawn-a za pokretanje slika u emulatorima za druge arhitekture.
  • Prilikom pregleda slika diska u systemd-dissectu, sada se prikazuju informacije o namjeni particije, poput toga je li prikladna za UEFI pokretanje ili pokretanje u kontejneru.
  • Polje "SYSEXT_SCOPE" dodano je u datoteke system-extension.d/, što vam omogućuje da odredite opseg slike sustava - "initrd", "system" ili "portable".
  • U os-release datoteku dodano je polje "PORTABLE_PREFIXES" koje se može koristiti u prenosivim slikama za definiranje podržanih prefiksa datoteka jedinica.
  • systemd-logind implementira nove postavke HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress i HandleHibernateKeyLongPress, koje se mogu koristiti za definiranje radnji kada se određene tipke drže pritisnute dulje od 5 sekundi (na primjer, brzi pritisak tipke Suspend može se konfigurirati za obustavu sustava, a držanje tipke može se konfigurirati za hibernaciju sustava).
  • Za jedinice su implementirane postavke StartupAllowedCPUs i StartupAllowedMemoryNodes. One se razlikuju od sličnih postavki bez prefiksa Startup po tome što se primjenjuju samo u fazama pokretanja i gašenja, što vam omogućuje postavljanje različitih ograničenja resursa tijekom pokretanja.
  • Dodane su provjere pritiska [Uvjet|Potvrdi][Memorija|CPU|IO] koje omogućuju preskakanje ili dovršetak aktivacije jedinice s greškom ako se putem PSI mehanizma otkrije veliko opterećenje memorije, CPU-a i I/O u sustavu.
  • Zadani maksimalni limit inodea povećan je za /dev particiju sa 64k na 1M, a za /tmp sa 400k na 1M.
  • Za servise je uvedena postavka ExecSearchPath koja omogućuje promjenu putanje za pretraživanje izvršnih datoteka pokrenutih putem postavki sličnih ExecStartu.
  • Dodana je postavka RuntimeRandomizedExtraSec koja vam omogućuje uvođenje nasumičnih varijacija u vremensko ograničenje RuntimeMaxSec, što ograničava vrijeme izvršavanja jedinice.
  • Sintaksa postavki RuntimeDirectory, StateDirectory, CacheDirectory i LogsDirectory je proširena. Određivanjem dodatne vrijednosti odvojene dvotočkom sada možete stvoriti simboličku vezu na određeni direktorij kako biste omogućili pristup putem više putova.
  • Za usluge, postavke TTYRows i TTYColumns služe za određivanje broja redaka i stupaca u TTY uređaju.
  • Dodana je postavka ExitType koja vam omogućuje promjenu logike za određivanje prekida usluge. Prema zadanim postavkama, systemd prati samo prekid glavnog procesa, ali kada je postavljeno ExitType=cgroup, upravitelj sustava će čekati da se završi posljednji proces u cgrupi.
  • Implementacija podrške za TPM2/FIDO2/PKCS11 u systemd-cryptsetup sada je također izgrađena kao dodatak za cryptsetup, što omogućuje korištenje uobičajene naredbe cryptsetup za otključavanje šifrirane particije.
  • TPM2 rukovatelj u systemd-cryptsetup/systemd-cryptsetup ažuriran je kako bi uz ECC ključeve podržavao i RSA primarne ključeve radi poboljšanja kompatibilnosti s čipovima koji ne podržavaju ECC.
  • Opcija token-timeout dodana je u /etc/crypttab, što vam omogućuje da odredite maksimalno vrijeme čekanja na povezivanje PKCS#11/FIDO2 tokena, nakon čega će se od vas tražiti da unesete lozinku ili ključ za oporavak.
  • systemd-timesyncd implementira postavku SaveIntervalSec, koja omogućuje periodično spremanje trenutnog sistemskog vremena na disk, na primjer, za implementaciju monotonog sata na sustavima bez RTC-a.
  • Uslužni program systemd-analyze ažuriran je sljedećim opcijama: "--image" i "--root" za pregled datoteka jedinica unutar zadane slike ili korijenskog direktorija, "--recursive-errors" za uzimanje u obzir ovisnih jedinica kada se otkrije pogreška, "--offline" za pregled zasebno spremljenih datoteka jedinica, "--json" za izlaz u JSON formatu, "--quiet" za onemogućavanje nevažnih poruka i "--profile" za povezivanje s prijenosnim profilom. Dodana je i naredba inspect-elf za parsiranje ELF osnovnih datoteka i mogućnost pregleda datoteka jedinica s zadanim nazivom jedinice, bez obzira odgovara li naziv nazivu datoteke.
  • Systemd-networkd sada podržava sabirnicu Controller Area Network (CAN). Dodane su opcije konfiguracije za upravljanje CAN načinima rada: Loopback, OneShot, PresumeAck i ClassicDataLengthCode. Sljedeće opcije dodane su u odjeljak [CAN] .network datoteka: TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 i DataSyncJumpWidth za kontrolu sinkronizacije bitova CAN sučelja.
  • DHCPv4 klijent systemd-networkd sada ima opciju Label koja vam omogućuje konfiguriranje oznake adrese koja se koristi prilikom konfiguriranja IPv4 adresa.
  • systemd-udevd implementira podršku za posebne "max" vrijednosti za "ethtool" koje postavljaju veličinu međuspremnika na maksimalnu vrijednost koju podržava hardver.
  • U .link datotekama za systemd-udevd sada možete konfigurirati razne parametre za povezivanje mrežnih adaptera i rukovatelja hardverom (offload).
  • systemd-networkd prema zadanim postavkama nudi nove .network datoteke: 80-container-vb.network za definiranje mrežnih mostova stvorenih kada se systemd-nspawn pokrene s opcijama "--network-bridge" ili "--network-zone"; 80-6rd-tunnel.network za definiranje tunela koji se automatski stvaraju kada se primi DHCP odgovor s opcijom 6RD.
  • Podrška za IP prosljeđivanje preko InfiniBand sučelja dodana je u systemd-networkd i systemd-udevd, za što je odjeljak "[IPoIB]" dodan u datoteke systemd.netdev, a vrijednost "ipoib" je obrađena u postavci Kind.
  • systemd-networkd omogućuje automatsku konfiguraciju ruta za adrese navedene u parametru AllowedIPs, koji se može konfigurirati putem parametara RouteTable i RouteMetric u [WireGuard] I [WireGuardVršnjak].
  • systemd-networkd automatski generira fiksne MAC adrese za sučelja batadv i bridge. Da biste onemogućili ovo ponašanje, u .netdev datotekama navedite MACAddress=none.
  • Postavka WakeOnLanPassword dodana je u odjeljak "[Link]" .link datoteka kako bi se definirala lozinka kada WoL radi u načinu rada "SecureOn".
  • Odjeljak "[CAKE]" .network datoteka ažuriran je postavkama AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO i UseRawPacketSize kako bi se definirali parametri mehanizma upravljanja mrežnim redovima CAKE (Common Applications Kept Enhanced).
  • Postavka IgnoreCarrierLoss dodana je u odjeljak "[Network]" .network datoteka, što vam omogućuje da odredite koliko dugo čekati prije reagiranja na gubitak signala nosioca.
  • U systemd-nspawn, homectl, machinectl i systemd-run, sintaksa parametra "--setenv" je proširena: ako je naveden samo naziv varijable (bez "="), vrijednost će se preuzeti iz odgovarajuće varijable okruženja (na primjer, ako navedete "--setenv=FOO", vrijednost će se preuzeti iz varijable okruženja $FOO i koristiti u varijabli okruženja istog naziva postavljenoj u spremniku).
  • Dodana je opcija "--suppress-sync" u systemd-nspawn kako bi se onemogućilo izvršavanje sistemskih poziva sync()/fsync()/fdatasync() prilikom stvaranja kontejnera (korisno kada je brzina prioritet, a očuvanje artefakata izgradnje u slučaju kvara nije važno, jer se mogu ponovno stvoriti u bilo kojem trenutku).
  • Dodana je nova hwdb baza podataka koja uključuje različite vrste analizatora signala (multimetri, analizatori protokola, osciloskopi itd.). Informacije o kameri u hwdb-u proširene su i sada uključuju polje za vrstu kamere (obična ili infracrvena) i položaj objektiva (prednji ili stražnji).
  • Generira trajna imena mrežnih sučelja za netfront uređaje koji se koriste u Xenu.
  • Analiza osnovnih datoteka pomoću uslužnog programa systemd-coredump temeljenog na bibliotekama libdw/libelf sada se izvodi u zasebnom procesu izoliranom u sandbox okruženju.
  • systemd-importd sada podržava varijable okruženja $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA i $SYSTEMD_IMPORT_SYNC, koje se mogu koristiti za onemogućavanje generiranja Btrfs podključeva i konfiguriranje kvota i sinkronizacije diska.
  • U systemd-journaldu, na datotečnim sustavima koji podržavaju način kopiranja pri pisanju, COW način rada je ponovno omogućen za arhivirane časopise, što omogućuje njihovu kompresiju pomoću Btrfs-a.
  • systemd-journald implementira deduplikaciju identičnih polja u jednoj poruci, što se izvodi prije nego što se poruka smjesti u dnevnik.
  • Naredba shutdown sada ima opciju "--show" za prikaz planiranih gašenja.

Izvor: opennet.ru

Kupite pouzdan hosting za stranice s DDoS zaštitom, VPS VDS poslužiteljima 🔥 Kupite pouzdan web hosting sa DDoS zaštitom, VPS VDS servere | ProHoster