ProHoster > Blog > nouvèl sou entènèt > systemd system manager version 243

systemd system manager version 243

Apre senk mwa nan devlopman prezante lage manadjè sistèm lan sistèm 243. Pami inovasyon yo, nou ka sonje entegrasyon nan PID 1 nan yon moun k ap okipe memwa ki ba nan sistèm nan, sipò pou atache pwòp pwogram BPF ou pou filtraj trafik inite, anpil nouvo opsyon pou systemd-networkd, yon mòd pou kontwole Pleasant rezo a. interfaces, pèmèt pa default sou sistèm 64-bit nimewo PID 22-bit olye pou yo 16-bit, tranzisyon nan yon yerachi cgroups inifye, enklizyon nan systemd-network-generator.

Chanjman prensipal yo:

  • Yo te ajoute rekonesans siyal nwayo ki te pwodwi sou memwa (Out-Of-Memory, OOM) te ajoute nan jeran PID 1 pou transfere inite ki te rive nan limit konsomasyon memwa nan yon eta espesyal ak kapasite si ou vle fòse yo sispann. oswa sispann;
  • Pou fichye inite yo, nouvo paramèt IPIngressFilterPath ak
    IPEgressFilterPath, ki pèmèt ou konekte pwogram BPF ak moun k ap okipe abitrè pou filtre pake IP k ap rantre ak sòtan ki te pwodwi pa pwosesis ki asosye ak inite sa a. Karakteristik yo pwopoze yo pèmèt ou kreye yon kalite firewall pou sèvis systemd. Ekzanp ekri yon filtè rezo senp ki baze sou BPF;

  • Yo te ajoute kòmandman "pwòp" la nan sèvis piblik systemctl la pou efase kachèt la, dosye ègzekutabl, enfòmasyon sou estati a ak repèrtwar boutèy demi lit;
  • systemd-networkd ajoute sipò pou koòdone rezo MACsec, nlmon, IPVTAP ak Xfrm;
  • systemd-networkd aplike konfigirasyon separe nan pil DHCPv4 ak DHCPv6 atravè seksyon "[DHCPv4]" ak "[DHCPv6]" nan fichye konfigirasyon an. Te ajoute opsyon RoutesToDNS pou ajoute yon wout separe nan sèvè dns ki espesifye nan paramèt yo resevwa nan men sèvè DHCP la (pou trafik nan dns la voye atravè menm lyen ak wout prensipal yo resevwa nan men DHCP). Nouvo opsyon yo te ajoute pou DHCPv4: MaxAttempts - kantite maksimòm demann pou jwenn yon adrès, BlackList - lis nwa sèvè DHCP, SendRelease - pèmèt voye mesaj DHCP RELEASE lè sesyon an fini;
  • Nouvo kòmandman yo te ajoute nan sèvis piblik systemd-analyse:
    • "systemd-analyse timestamp" - analiz tan ak konvèsyon;
    • "systemd-analyse timespan" - analiz ak konvèsyon peryòd tan;
    • "systemd-analyse condition" - analiz ak teste ekspresyon ConditionXYZ;
    • "systemd-analyse exit-status" - analiz ak konvèti kòd sòti soti nan nimewo nan non ak vis vèrsa;
    • "systemd-analyze unit-files" - Lis tout chemen dosye pou inite yo ak alyas inite yo.
  • Opsyon SuccessExitStatus, RestartPreventExitStatus ak
    RestartForceExitStatus kounye a sipòte non sèlman kòd retou nimerik, men tou idantifyan tèks yo (pa egzanp, "DATAERR"). Ou ka wè lis kòd yo bay idantifyan yo lè l sèvi avèk kòmandman "sytemd-analyse exit-status";

  • Yo te ajoute kòmandman "efase" nan sèvis piblik networkctl pou efase aparèy rezo vityèl yo, osi byen ke opsyon "-stats" pou montre estatistik aparèy;
  • SpeedMeter ak SpeedMeterIntervalSec paramèt yo te ajoute nan networkd.conf pou mezire detanzantan debi rezo interfaces. Estatistik yo te jwenn nan rezilta mezi yo ka wè nan pwodiksyon an nan 'networkctl status' lòd la;
  • Te ajoute nouvo sistèm sèvis piblik systemd-network-generator pou jenere dosye
    .network, .netdev ak .link ki baze sou anviwònman IP yo te pase lè yo te lanse atravè liy kòmand nwayo Linux nan fòma anviwònman Dracut;

  • Valè sysctl "kernel.pid_max" sou sistèm 64-bit yo kounye a tabli pa default nan 4194304 (22-bit PID olye pou yo 16-bit), ki diminye chans pou kolizyon lè yo bay PIDs, ogmante limit la sou kantite ansanm. kouri pwosesis, epi li gen yon enpak pozitif sou sekirite. Chanjman an ta ka mennen nan pwoblèm konpatibilite, men pwoblèm sa yo poko rapòte nan pratik;
  • Pa default, etap konstriksyon an chanje nan yerachi inifye cgroups-v2 ("-Ddefault-hierarchy = inifye"). Anvan sa, default la te mòd ibrid ("-Ddefault-hierarchy=hybrid");
  • Konpòtman nan filtè apèl sistèm lan (SystemCallFilter) te chanje, ki, nan ka a nan yon apèl sistèm entèdi, kounye a mete fen nan pwosesis la tout antye, olye ke fil endividyèl, depi mete fen nan fil endividyèl ta ka mennen nan pwoblèm enprevizib. Chanjman yo aplike sèlman si ou gen Linux kernel 4.14+ ak libseccomp 2.4.0+;
  • Yo bay pwogram ki pa gen privilèj kapasite pou yo voye pake ICMP Echo (ping) lè yo mete sysctl "net.ipv4.ping_group_range" pou tout seri gwoup yo (pou tout pwosesis);
  • Pou akselere pwosesis konstriksyon an, jenerasyon manyèl manyèl yo te sispann pa default (pou bati dokiman konplè, ou bezwen sèvi ak opsyon "-Dman = vre" oswa "-Dhtml = vre" pou manyèl nan fòma html). Pou rann li pi fasil pou wè dokiman an, de script yo enkli: build/man/man ak build/man/html pou jenere ak preview manyèl ki enterese yo;
  • Pou trete non domèn ak karaktè ki soti nan alfabè nasyonal yo, yo itilize bibliyotèk libidn2 la pa defo (pou retounen libidn, sèvi ak opsyon "-Dlibidn = vre");
  • Sipò pou /usr/sbin/halt.local dosye ègzèkutabl la, ki te bay fonksyonalite ki pa te distribye lajman nan distribisyon, yo sispann. Pou òganize lansman kòmandman lè fèmen, li rekòmande pou itilize scripts nan /usr/lib/systemd/system-shutdown/ oswa defini yon nouvo inite ki depann de final.target;
  • Nan dènye etap la nan fèmen, systemd kounye a otomatikman ogmante nivo boutèy la nan sysctl "kernel.printk", ki rezoud pwoblèm nan ak montre nan evènman yo ki te fèt nan dènye etap yo nan fèmen, lè demon regilye yo te deja fini. ;
  • Nan journalctl ak lòt sèvis piblik ki montre mòso bwa, avètisman yo make an jòn, epi dosye odit yo make an ble pou montre yo vizyèlman nan mitan foul moun yo;
  • Nan varyab anviwònman $PATH la, chemen bin/ kounye a vini anvan chemen sbin/, i.e. si gen non ki idantik nan dosye ègzèkutabl nan tou de repèrtwar, dosye ki soti nan bin/ pral egzekite;
  • systemd-logind bay yon apèl SetBrightness() pou chanje klète ekran an san danje pou chak sesyon;
  • Yo te ajoute drapo "--wait-for-initialization" nan lòd "udevadm info" pou tann aparèy la inisyalize;
  • Pandan demaraj sistèm lan, moun k ap okipe PID 1 kounye a montre non inite yo olye pou yo yon liy ak deskripsyon yo. Pou retounen nan konpòtman ki sot pase yo, ou ka itilize opsyon StatusUnitFormat nan /etc/systemd/system.conf oswa opsyon kernel systemd.status_unit_format;
  • Te ajoute opsyon KExecWatchdogSec nan /etc/systemd/system.conf pou watchdog PID 1, ki espesifye delè pou rekòmanse lè l sèvi avèk kexec. Ansyen anviwònman
    ShutdownWatchdogSec te chanje non RebootWatchdogSec epi li defini yon delè pou travay pandan fèmen oswa rekòmanse nòmal;

  • Yo te ajoute yon nouvo opsyon pou sèvis yo ExecCondition, ki pèmèt ou presize kòmandman yo pral egzekite anvan ExecStartPre. Ki baze sou kòd erè a te retounen nan lòd la, yo pran yon desizyon sou plis ekzekisyon nan inite a - si kòd 0 retounen, lansman inite a ap kontinye, si soti nan 1 a 254 li an silans fini san yon drapo echèk, si 255 li fini ak yon drapo echèk;
  • Te ajoute yon nouvo sèvis systemd-pstore.service pou ekstrè done ki soti nan sys/fs/pstore/ ak pou sove nan /var/lib/pstore pou plis analiz;
  • Nouvo kòmandman yo te ajoute nan sèvis piblik timedatectl pou konfigirasyon paramèt NTP pou systemd-timesyncd an relasyon ak rezo interfaces;
  • Kòmand "localectl list-locales" la pa montre lòt lokal ki pa UTF-8 ankò;
  • Asire ke erè plasman varyab nan sysctl.d/ fichye yo inyore si non varyab la kòmanse ak karaktè "-";
  • Lapòs systemd-random-seed.service se kounye a totalman responsab pou inisyalize pisin antropi nan dèlko nimewo pseudorandom Linux Kernel la. Sèvis ki mande yon /dev/urandom inisyalize kòrèkteman ta dwe kòmanse apre systemd-random-seed.service;
  • Systemd-boot loader nan bòt bay kapasite nan si ou vle sipòte dosye grenn ak sekans o aza nan EFI System Partition (ESP);
  • Nouvo kòmandman yo te ajoute nan sèvis piblik bootctl la: "bootctl random-seed" pou jenere yon fichye grenn nan ESP a ak "bootctl is-installed" pou tcheke enstalasyon systemd-boot bootloader la. bootctl te ajiste tou pou montre avètisman sou konfigirasyon kòrèk nan antre bòt yo (pa egzanp, lè yo efase imaj nwayo a, men antre pou chaje li rete);
  • Bay seleksyon otomatik nan patisyon an swap lè sistèm nan antre nan mòd dòmi. Se patisyon an chwazi depann sou priyorite ki configuré pou li, ak nan ka priyorite ki idantik, kantite espas gratis;
  • Te ajoute opsyon keyfile-timeout nan /etc/crypttab pou fikse konbyen tan aparèy ki gen kle chifreman an ap tann anvan li mande yon modpas pou jwenn aksè nan patisyon an chifreman;
  • Te ajoute opsyon IOWeight pou mete pwa I/O pou pwogramè BFQ la;
  • systemd-resolved te ajoute mòd 'strik' pou DNS-sou-TLS ak aplike kapasite nan kachèt sèlman repons DNS pozitif ("Cache no-negative" nan resolved.conf);
  • Pou VXLAN, systemd-networkd te ajoute yon opsyon GenericProtocolExtension pou pèmèt ekstansyon pwotokòl VXLAN. Pou VXLAN ak GENEVE, opsyon IPDoNotFragment te ajoute pou mete drapo entèdiksyon fwagmantasyon pou pake sortan yo;
  • Nan systemd-networkd, nan seksyon "[Route]", opsyon FastOpenNoCookie te parèt pou pèmèt mekanis pou louvri koneksyon TCP rapid (TFO - TCP Fast Open, RFC 7413) an relasyon ak wout endividyèl, ansanm ak opsyon TTLPropagate. pou konfigirasyon TTL LSP (Label Switched Path). Opsyon "Type" a bay sipò pou mòd routage lokal, emisyon, anycast, multicast, nenpòt ak xresolve;
  • Systemd-networkd ofri yon opsyon DefaultRouteOnDevice nan seksyon "[Rezo]" pou otomatikman configured yon wout default pou yon aparèy rezo bay yo;
  • Systemd-networkd te ajoute ProxyARP ak
    ProxyARPWifi pou mete konpòtman proxy ARP, MulticastRouter pou mete paramèt routage nan mòd multicast, MulticastIGMPVersion pou chanje vèsyon IGMP (Internet Group Management Protocol) pou multicast;

  • Systemd-networkd te ajoute opsyon Lokal, Peer ak PeerPort pou tinèl FooOverUDP pou konfigirasyon adrès IP lokal ak aleka, ansanm ak nimewo pò rezo a. Pou tinèl TUN, opsyon VnetHeader yo te ajoute pou konfigirasyon sipò GSO (Generic Segment Offload);
  • Nan systemd-networkd, nan fichye .network ak .link nan seksyon [Match], yon opsyon Pwopriyete parèt, ki pèmèt ou idantifye aparèy yo dapre pwopriyete espesifik yo nan udev;
  • Nan systemd-networkd, yo te ajoute yon opsyon AssignToLoopback pou tinèl, ki kontwole si fen tinèl la asiyen nan aparèy loopback "lo" la;
  • systemd-networkd otomatikman aktive pile IPv6 la si li bloke atravè sysctl disable_ipv6 - IPv6 aktive si paramèt IPv6 (estatik oswa DHCPv6) yo defini pou koòdone rezo a, otreman valè sysctl ki deja fikse a pa chanje;
  • Nan fichye .network, yo te ranplase anviwònman CriticalConnection pa opsyon KeepConfiguration, ki bay plis mwayen pou defini sitiyasyon ("wi", "estatik", "dhcp-on-stop", "dhcp") kote systemd-networkd ta dwe. pa manyen koneksyon ki deja egziste lè demaraj;
  • Vilnerabilite fiks CVE-2019-15718, ki te koze pa mank de kontwòl aksè a koòdone D-Bus systemd-rezoud. Pwoblèm nan pèmèt yon itilizatè san privilèj fè operasyon ki disponib sèlman pou administratè yo, tankou chanje anviwònman DNS ak dirije demann DNS nan yon sèvè vakabon;
  • Vilnerabilite fiks CVE-2019-9619ki gen rapò ak pa pèmèt pam_systemd pou sesyon ki pa entèaktif, ki pèmèt spoofing nan sesyon aktif la.

Sous: opennet.ru

Add nouvo kòmantè