ProHoster > Blog > nouvèl sou entènèt > systemd system manager version 250

systemd system manager version 250

Apre senk mwa nan devlopman, yo te prezante lage manadjè sistèm systemd 250 la nouvo lage a te entwodwi kapasite pou estoke kalifikasyon yo nan fòm chiffres, aplike verifikasyon otomatikman detekte GPT lè l sèvi avèk yon siyati dijital, amelyore enfòmasyon sou sa ki lakòz reta yo. kòmanse sèvis yo, ak opsyon ajoute pou limite aksè sèvis nan sèten sistèm fichye ak koòdone rezo, sipò pou siveyans entegrite patisyon lè l sèvi avèk modil la dm-entegrite yo bay, epi yo ajoute sipò pou sd-boot oto-mizajou.

Chanjman prensipal yo:

  • Te ajoute sipò pou kalifikasyon ankripte ak otantifye, ki ka itil pou estoke materyèl sansib an sekirite tankou kle SSL ak modpas aksè. Dekripte kalifikasyon yo fèt sèlman lè sa nesesè ak an koneksyon avèk enstalasyon lokal la oswa ekipman. Done yo ankripte otomatikman lè l sèvi avèk algoritm chifreman simetrik, kle a pou yo ka lokalize nan sistèm fichye a, nan chip TPM2 la, oswa lè l sèvi avèk yon konplo konbinezon. Lè sèvis la kòmanse, kalifikasyon yo otomatikman dechifre epi yo vin disponib nan sèvis la nan fòm nòmal li. Pou travay ak kalifikasyon chiffres, yo te ajoute sèvis piblik 'systemd-creds', epi yo te pwopoze paramèt LoadCredentialEncrypted ak SetCredentialEncrypted pou sèvis yo.
  • sd-stub, ègzèkutabl EFI a ki pèmèt firmwèr EFI chaje nwayo Linux la, kounye a sipòte demaraj nwayo a lè l sèvi avèk pwotokòl EFI LINUX_EFI_INITRD_MEDIA_GUID. Epitou ajoute nan sd-stub kapasite pou pake kalifikasyon ak fichye sysext nan yon achiv cpio epi transfere achiv sa a nan nwayo a ansanm ak initrd la (fichye adisyonèl yo mete nan anyè /.extra/). Karakteristik sa a pèmèt ou sèvi ak yon anviwònman initrd ki ka verifye, ki konplete pa sysexts ak done otantifikasyon chiffres.
  • Espesifikasyon Partitions Discoverable yo te elaji anpil, bay zouti pou idantifye, monte ak aktive patisyon sistèm yo lè l sèvi avèk GPT (GUID Partition Tables). Konpare ak degaje anvan yo, spesifikasyon an kounye a sipòte patisyon rasin lan ak patisyon /usr pou pifò achitekti, ki gen ladan platfòm ki pa sèvi ak UEFI.

    Discoverable Partitions tou ajoute sipò pou patisyon ki gen entegrite verifye pa modil la dm-verity lè l sèvi avèk siyati dijital PKCS#7, sa ki fè li pi fasil yo kreye imaj ki gen otantifye konplètman. Sipò pou verifikasyon entegre nan divès kalite sèvis piblik ki manipile imaj disk, tankou systemd-nspawn, systemd-sysext, systemd-dissect, sèvis RootImage, systemd-tmpfiles, ak systemd-sysusers.

  • Pou inite ki pran anpil tan pou yo kòmanse oswa sispann, anplis de montre yon ba pwogrè anime, li posib pou montre enfòmasyon sou estati ki pèmèt ou konprann ki sa egzakteman k ap pase ak sèvis la nan moman an ak ki sèvis manadjè sistèm lan ye. kounye a ap tann pou fini.
  • Te ajoute paramèt DefaultOOMScoreAdjust nan /etc/systemd/system.conf ak /etc/systemd/user.conf, ki pèmèt ou ajiste papòt OOM-Killer pou memwa ki ba, aplikab a pwosesis ke systemd kòmanse pou sistèm lan ak itilizatè yo. Pa default, pwa sèvis sistèm yo pi wo pase sèvis itilizatè yo, sa vle di. Lè pa gen ase memwa, pwobabilite pou mete fen nan sèvis itilizatè a pi wo pase sa yo ki nan sistèm yo.
  • Te ajoute anviwònman RestrictFileSystems, ki pèmèt ou mete restriksyon sou aksè sèvis yo nan sèten kalite sistèm dosye. Pou wè kalite sistèm dosye ki disponib yo, ou ka itilize kòmandman "systemd-analyse filesystems". Pa analoji, opsyon RestrictNetworkInterfaces yo te aplike, ki pèmèt ou limite aksè a sèten entèfas rezo. Aplikasyon an baze sou modil BPF LSM, ki mete restriksyon sou aksè nan yon gwoup pwosesis nan objè nwayo.
  • Te ajoute yon nouvo fichye konfigirasyon /etc/integritytab ak sèvis piblik systemd-integritysetup ki konfigirasyon modil dm-integrity la pou kontwole entegrite done yo nan nivo sektè a, pou egzanp, pou garanti immuabilite done chiffres (Otantifye chifreman, asire ke yon blòk done gen pa te modifye nan yon fason otonòm). Fòma fichye /etc/integritytab la sanble ak fichye /etc/crypttab ak /etc/veritytab, eksepte ke yo itilize dm-integrity olye dm-crypt ak dm-verity.
  • Yo te ajoute yon nouvo dosye inite systemd-boot-update.service, lè yo aktive epi sd-boot bootloader la enstale, systemd pral otomatikman mete ajou vèsyon sd-boot bootloader la, kenbe kòd bootloader la toujou ajou. sd-boot tèt li kounye a bati pa default ak sipò pou mekanis SBAT (UEFI Secure Boot Advanced Targeting), ki rezoud pwoblèm ak revokasyon sètifika pou UEFI Secure Boot. Anplis de sa, sd-boot bay kapasite nan analize Microsoft Windows anviwònman bòt yo kòrèkteman jenere non yo nan patisyon bòt ak Windows epi montre vèsyon an Windows.

    sd-boot tou bay kapasite nan defini yon konplo koulè nan tan bati. Pandan pwosesis bòt la, te ajoute sipò pou chanje rezolisyon ekran an lè w peze kle "r". Te ajoute hotkey "f" pou ale nan koòdone konfigirasyon firmwèr la. Te ajoute yon mòd otomatikman demaraj sistèm ki koresponn ak atik nan meni chwazi pandan dènye bòt la. Te ajoute kapasite pou otomatikman chaje chofè EFI ki sitiye nan anyè /EFI/systemd/drivers/ nan seksyon ESP (EFI System Partition).

  • Gen yon nouvo fichye inite faktori-reset.target ki gen ladann, ki trete nan systemd-logind nan yon fason ki sanble ak operasyon rdemaraj, poweroff, sispann ak ibènasyon, epi li itilize pou kreye moun kap okipe yo pou fè yon reset faktori.
  • Pwosesis systemd-resolved kounye a kreye yon priz koute adisyonèl nan 127.0.0.54 anplis 127.0.0.53. Demann ki rive nan 127.0.0.54 yo toujou redireksyon sou yon sèvè DNS en epi yo pa trete lokalman.
  • Bay kapasite pou konstwi systemd-importd ak systemd-resolved ak bibliyotèk OpenSSL la olye pou yo libgcrypt.
  • Te ajoute sipò inisyal pou achitekti LoongArch yo itilize nan processeurs Loongson yo.
  • systemd-gpt-auto-generator bay kapasite pou otomatikman konfigirasyon patisyon swap defini nan sistèm ki ankripte pa subsistèm LUKS2 la.
  • Kòd analiz imaj GPT yo itilize nan systemd-nspawn, systemd-dissect, ak sèvis piblik menm jan an aplike kapasite pou dekode imaj pou lòt achitekti, sa ki pèmèt systemd-nspawn itilize pou kouri imaj sou emulateur lòt achitekti.
  • Lè w ap enspekte imaj ki gen kapasite, systemd-dissect kounye a montre enfòmasyon sou objektif patisyon an, tankou konvnab pou demaraj atravè UEFI oswa kouri nan yon veso.
  • Yo te ajoute jaden "SYSEXT_SCOPE" nan fichye system-extension.d/, sa ki pèmèt ou endike dimansyon imaj sistèm lan - "initrd", "system" oswa "portable".
  • Yo te ajoute yon jaden "PORTABLE_PREFIXES" nan dosye OS la, ki ka itilize nan imaj pòtab pou detèmine prefiks dosye inite yo.
  • systemd-logind entwodui nouvo paramèt HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress ak HandleHibernateKeyLongPress, ki ka itilize pou detèmine sa k ap pase lè sèten kle yo kenbe pou plis pase 5 segonn (pa egzanp, peze kle a ka konfigirasyon an kanpe vit. , epi lè yo kenbe l desann, li pral dòmi).
  • Pou inite yo, yo te aplike paramèt StartupAllowedCPUs ak StartupAllowedMemoryNodes, ki diferan de paramèt menm jan an san prefiks Demaraj la paske yo aplike sèlman nan etap demaraj ak fèmen, ki pèmèt ou mete lòt restriksyon sou resous pandan demaraj la.
  • Te ajoute [Kondisyon|Afime] [Memwa|CPU|IO]Tèks presyon ki pèmèt deklanchman inite a sote oswa echwe si mekanis PSI a detekte yon gwo chaj sou memwa, CPU, ak I/O nan sistèm nan.
  • Limit maksimòm inode default la ogmante pou patisyon /dev la soti nan 64k a 1M, ak pou patisyon /tmp la soti nan 400k a 1M.
  • Yo te pwopoze yon anviwònman ExecSearchPath pou sèvis yo, ki fè li posib pou chanje chemen pou chèche dosye ègzèkutabl yo te lanse atravè paramèt tankou ExecStart.
  • Te ajoute anviwònman RuntimeRandomizedExtraSec, ki pèmèt ou prezante devyasyon o aza nan delè RuntimeMaxSec, ki limite tan ekzekisyon yon inite.
  • Sentaks RuntimeDirectory, StateDirectory, CacheDirectory ak LogsDirectory anviwònman yo te elaji, nan ki lè w espesifye yon valè adisyonèl separe pa yon kolon, ou kapab kounye a òganize kreyasyon an yon lyen senbolik nan yon anyè bay yo pou òganize aksè sou plizyè chemen.
  • Pou sèvis yo, yo ofri paramèt TTYRows ak TTYColumns pou fikse kantite ranje ak kolòn nan aparèy TTY a.
  • Te ajoute anviwònman ExitType, ki pèmèt ou chanje lojik pou detèmine fen yon sèvis. Pa default, systemd sèlman kontwole lanmò nan pwosesis prensipal la, men si ExitType = cgroup yo mete, manadjè sistèm lan ap tann pou dènye pwosesis la nan cgroup la fini.
  • Enplemantasyon systemd-cryptsetup sipò TPM2/FIDO2/PKCS11 kounye a bati tou kòm yon plugin cryptsetup, ki pèmèt kòmand nòmal cryptsetup yo dwe itilize pou déblotché yon patisyon chiffres.
  • Manadjè TPM2 nan systemd-cryptsetup/systemd-cryptsetup ajoute sipò pou kle prensipal RSA anplis kle ECC pou amelyore konpatibilite ak chips ki pa ECC.
  • Opsyon token-timeout la te ajoute nan /etc/crypttab, ki pèmèt ou defini tan maksimòm pou tann yon koneksyon siy PKCS#11/FIDO2, apre sa yo pral mande w pou antre yon modpas oswa kle rekiperasyon.
  • systemd-timesyncd aplike anviwònman SaveIntervalSec, ki pèmèt ou sove detanzantan tan sistèm aktyèl la sou disk, pou egzanp, aplike yon revèy monotonik sou sistèm san yo pa yon RTC.
  • Opsyon yo te ajoute nan sèvis piblik systemd-analyse la: "--image" ak "--root" pou tcheke fichye inite andedan yon imaj oswa anyè rasin bay, "--recursive-errors" pou pran an kont inite depandan yo lè yon erè. se detekte, "--offline" pou tcheke separeman fichye inite yo sove sou disk, "-json" pou pwodiksyon nan fòma JSON, "-trankil" pou enfim mesaj ki pa enpòtan, "-profile" pou mare nan yon pwofil pòtab. Yo ajoute tou kòmandman enspekte-elf pou analize fichye debaz yo nan fòma ELF ak kapasite pou tcheke dosye inite yo ak yon non inite yo bay, kèlkeswa si non sa a matche ak non fichye a.
  • systemd-networkd te ogmante sipò pou otobis Controller Area Network (CAN). Te ajoute paramèt pou kontwole mòd CAN: Loopback, OneShot, PresumeAck ak ClassicDataLengthCode. Te ajoute opsyon TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 ak DataSyncJumpWidth nan seksyon [CAN] koòdone koòdone yo kontwole.
  • Systemd-networkd te ajoute yon opsyon Label pou kliyan DHCPv4 la, ki pèmèt ou konfigirasyon etikèt adrès yo itilize lè konfigirasyon adrès IPv4 yo.
  • systemd-udevd pou "ethtool" aplike sipò pou valè "max" espesyal ki mete gwosè tanpon nan valè maksimòm ki sipòte pa pyès ki nan konpitè.
  • Nan fichye .link pou systemd-udevd ou kapab kounye a konfigirasyon divès paramèt pou konbine adaptè rezo ak konekte moun kap okipe pyès ki nan konpitè (dechaje).
  • systemd-networkd ofri nouvo fichye .network pa default: 80-container-vb.network pou defini pon rezo yo kreye lè w ap kouri systemd-nspawn ak opsyon "--network-bridge" oswa "--network-zone"; 80-6rd-tunnel.network pou defini tinèl yo kreye otomatikman lè w ap resevwa yon repons DHCP ak opsyon 6RD la.
  • Systemd-networkd ak systemd-udevd te ajoute sipò pou transmisyon IP sou koòdone InfiniBand, pou ki seksyon "[IPoIB]" yo te ajoute nan fichye systemd.netdev yo, ak pwosesis valè "ipoib" yo te aplike nan Kind la. anviwònman.
  • systemd-networkd bay konfigirasyon wout otomatik pou adrès ki espesifye nan paramèt AllowedIPs, ki ka konfigirasyon atravè paramèt RouteTable ak RouteMetric nan seksyon [WireGuard] ak [WireGuardPeer].
  • systemd-networkd bay jenerasyon otomatik adrès MAC ki pa chanje pou entèfas batadv ak pon yo. Pou enfim konpòtman sa a, ou ka presize MACAddress=none nan dosye .netdev.
  • Yo te ajoute yon anviwònman WakeOnLanPassword nan dosye .link nan seksyon "[Link]" pou detèmine modpas la lè WoL ap kouri nan mòd "SecureOn".
  • Te ajoute AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO ak UserRawPacketSize paramèt nan seksyon "[CAKE]" nan fichye .network pou defini paramèt rezo jesyon CAKE (Common Applications Kept Enhanced) .
  • Te ajoute yon paramèt IgnoreCarrierLoss nan seksyon "[Rezo]" nan fichye .network, ki pèmèt ou detèmine konbyen tan pou w tann anvan ou reyaji a yon pèt siyal konpayi asirans lan.
  • Systemd-nspawn, homectl, machinectl ak systemd-run te pwolonje sentaks paramèt "--setenv" - si sèlman non varyab la espesifye (san "="), valè a pral pran nan varyab anviwònman ki koresponn lan (pou egzanp, lè w ap presize "--setenv=FOO" valè a pral pran nan varyab anviwònman $FOO a epi yo pral itilize nan varyab anviwònman an ki gen menm non ki mete nan veso a).
  • systemd-nspawn te ajoute yon opsyon "--suppress-sync" pou enfim apèl sistèm sync()/fsync()/fdatasync() lè w ap kreye yon veso (itil lè vitès se yon priyorite epi prezève zafè bati nan ka ta gen echèk pa). enpòtan, paske yo ka re-kreye nenpòt ki lè).
  • Yo te ajoute yon nouvo baz done hwdb, ki gen ladan plizyè kalite analizè siyal (multimèt, analizè pwotokòl, osiloskop, elatriye). Enfòmasyon sou kamera nan hwdb te elaji ak yon jaden ki gen enfòmasyon sou kalite kamera (regilye oswa enfrawouj) ak plasman lantiy (devan oswa dèyè).
  • Pèmèt jenerasyon non koòdone rezo ki pa chanje pou aparèy netfront yo itilize nan Xen.
  • Analiz dosye debaz pa sèvis piblik systemd-coredump ki baze sou libdw/libelf bibliyotèk yo kounye a fèt nan yon pwosesis separe, izole nan yon anviwònman sandbox.
  • systemd-importd te ajoute sipò pou varyab anviwònman $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, ak ki ou ka enfim jenerasyon Btrfs subpartitions, osi byen ke konfigirasyon kota ak senkronizasyon disk.
  • Nan systemd-journald, sou sistèm dosye ki sipòte mòd kopi-sou-ekri, mòd COW re-aktive pou jounal achiv yo, ki pèmèt yo konprese lè l sèvi avèk Btrfs.
  • systemd-journald aplike deduplication nan jaden ki idantik nan yon mesaj sèl, ki fèt nan etap la anvan mete mesaj la nan jounal la.
  • Te ajoute opsyon "--montre" nan lòd fèmen pou montre fèmen pwograme.

Sous: opennet.ru

Add nouvo kòmantè