ProHoster > Blog > internetes hírek > A systemd 245 hordozható otthoni címtár megvalósítással is elérhető

A systemd 245 hordozható otthoni címtár megvalósítással is elérhető

Három hónapos fejlesztés után bemutatott rendszerkezelő kiadás rendszer 245. Az új kiadás új komponensekkel egészül ki a systemd-homed és systemd-repart, támogatja a hordozható felhasználói profilokat JSON formátumban, lehetőséget biztosít a névterek meghatározására a systemd-journald fájlban, valamint a „pidfd” mechanizmus támogatása. . Teljesen újratervezve projekt honlapja, amely összegyűjti a legtöbb rendelkezésre álló dokumentációt, és új logót javasol.

A systemd 245 hordozható otthoni címtár megvalósítással is elérhető

A főbb változások:

  • Hozzáadott szolgáltatás systemd-homed, amely hordozható otthoni könyvtárak kezelését biztosítja, csatolt képfájl formájában szállítva, amelyben az adatok titkosítva vannak. A Systemd-homed lehetővé teszi önálló környezetek létrehozását a felhasználói adatok számára, amelyek átvihetők a különböző rendszerek között anélkül, hogy aggódnának az azonosítók szinkronizálása és bizalmas kezelése miatt. A felhasználói hitelesítő adatok a saját könyvtárhoz vannak kötve, nem pedig a rendszerbeállításokhoz – a formátumú profilt használják az /etc/passwd, /etc/group és /etc/shadow helyett JSON. További részletekért lásd utolsó bejelentése systemd-homed.
  • Systemd-homed kísérőkomponens hozzáadva "userdb” („systemd-userdb”), amely a UNIX/glibc NSS-fiókokat JSON-rekordokká fordítja, és egységes Varlink API-t biztosít a rekordok lekérdezéséhez és iterációjához. A kezdőkönyvtárhoz társított JSON-profil meghatározza a felhasználó munkájához szükséges paramétereket, beleértve a felhasználónevet, a jelszókivonatot, a titkosítási kulcsokat, a kvótákat és a kiépített erőforrásokat. A profil egy külső Yubikey tokenen tárolt digitális aláírással hitelesíthető. A profilok kezeléséhez a „userdbctl” segédprogram javasolt. A JSON-profilok támogatása hozzáadásra került a különféle systemd-összetevőkhöz, beleértve a systemd-logind és a pam-systemd-t, amely lehetővé teszi a hordozható könyvtárak felhasználóinak hitelesítését, bejelentkezését, környezeti változók beállítását, munkamenet létrehozását, korlátok beállítását stb. A jövőben várhatóan az sssd keretrendszer képes lesz JSON-profilokat generálni az LDAP-ban tárolt felhasználói beállításokkal.
  • Egy új „systemd-repart” segédprogram került hozzáadásra, amelyet a lemezpartíciós táblák GPT formátumban történő újraparticionálására terveztek. A partíció szerkezetét deklaratív formában definiálják olyan fájlok, amelyek leírják, hogy mely partícióknak kell vagy létezhetnek. Minden indításkor a tényleges partíciós tábla összevetésre kerül ezekkel a fájlokkal, majd hozzáadják a hiányzó partíciókat, vagy ha a beállításokban megadott relatív vagy abszolút méret nem egyezik, akkor a meglévők méretét növelik. Csak növekményes változtatások megengedettek, pl. a méret törlése és csökkentése nem lehetséges, partíciók csak hozzáadhatók és nagyíthatók.
    A segédprogramot úgy tervezték, hogy az initrd-ből induljon el, és automatikusan felismeri azt a lemezt, amelyen a gyökérpartíció található, ami nem igényel további konfigurációt, kivéve a változtatások meghatározását tartalmazó fájlokat.

    A gyakorlatban a systemd-repart hasznos lehet olyan operációs rendszer lemezképeknél, amelyeket kezdetben minimális formában lehet szállítani, majd az első rendszerindítást követően a meglévő blokkeszköz méretére bővíthető, vagy kiegészíthető további partíciókkal (például a root A partíció kiterjeszthető a teljes lemezre, vagy az első rendszerindítás után létrehozhat egy swap partíciót vagy /home). Egy másik felhasználási terület a két forgó partícióval rendelkező konfigurációk alkalmazása – kezdetben csak az első partíció kerülhet forgalomba, a második pedig az első rendszerindításkor jön létre.

  • Mostantól lehetőség van a systemd-journald több példányának elindítására, amelyek mindegyike a saját névterében tartja a naplókat. A fő systemd-journald.service mellett a .service könyvtár egy sablont kínál további példányok létrehozásához, amelyek a „LogNamespace” direktíva segítségével a névterükhöz vannak kötve. Minden napló névterét külön háttérfolyamat szolgálja ki, saját beállításokkal és korlátokkal. A javasolt funkció hasznos lehet nagy mennyiségű rönk terheléselosztásához vagy az alkalmazások elkülönítésének javításához. A "--namespace" opció hozzáadva a journalctl-hez, hogy a lekérdezést csak a megadott névtérre korlátozza.
  • A Systemd-udevd és más systemd összetevők kiegészítették a hálózati interfészekhez alternatív nevek hozzárendelésének mechanizmusát, amely lehetővé teszi több név egyidejű használatát egy interfészhez. A név legfeljebb 128 karakterből állhat (korábban a hálózati interfész neve 16 karakterre korlátozódott). Alapértelmezés szerint a systemd-udevd mostantól minden hálózati interfészhez hozzárendeli a támogatott elnevezési sémák által generált összes változatnevet. Ez a viselkedés a .link fájlok új AlternativeName és AlternativeNamesPolicy beállításaival módosítható. A systemd-nspawn alternatív nevek generálását valósítja meg a teljes konténernévvel a gazdagép oldalon létrehozott veth hivatkozásokhoz.
  • Az sd-event.h API támogatja a Linux kernel "pidfd" alrendszerét, hogy kezelje a PID újrafelhasználásának helyzetét (a pidfd egy adott folyamathoz van társítva, és nem változik, míg a PID társítható egy másik folyamathoz az aktuális folyamat után kilép ebből a PID-ből). A PID 1 kivételével minden systemd összetevő pidfd használatára lett konvertálva, ha az alrendszert az aktuális kernel támogatja.
  • A systemd-logind hozzáférés-ellenőrzést biztosít a virtuális terminál módosítási műveletéhez a PolicyKit segítségével. Alapértelmezés szerint az aktív terminál módosítására csak azok a felhasználók kapnak engedélyt, akik legalább egyszer munkamenetet kezdeményeztek a helyi virtuális terminálon.
  • Az initrd-képek systemd-vel való könnyebb létrehozása érdekében a PID 1 kezelő most észleli, hogy az initrd használatban van-e, és ebben az esetben automatikusan betölti az initrd.target a default.target helyett. Ezzel a megközelítéssel az initrd és a fő rendszerkép csak az /etc/initrd-release fájl jelenlétében térhet el egymástól.
  • Hozzáadott egy új kernel parancssori paramétert - "systemd.cpu_affinity", amely egyenértékű az /etc/systemd/system.conf fájl CPUAffinity beállításával, és lehetővé teszi a CPU-affinitásmaszk konfigurálását a PID 1-hez és más folyamatokhoz.
  • Engedélyezett a SELinux adatbázis újratöltése és a PID 1 újraindítása olyan parancsokkal, mint a "systemctl daemon-reload".
  • A „systemd.show-status=error” beállítás hozzáadásra került a PID 1 kezelőhöz, ha be van állítva, csak a hibaüzenetek és a betöltés közbeni jelentős késések jelennek meg a konzolon.
  • A systemd-sysusers támogatást nyújtott a felhasználónévtől eltérő elsődleges csoportnévvel rendelkező felhasználók létrehozásához.
  • A systemd-growfs támogatja az XFS-partícióbővítést az /etc/fstab fájl x-systemd.growfs beillesztési opciójával, a korábban támogatott partícióbővítés mellett az Ext4-gyel és a Btrfs-szel.
  • Hozzáadtuk az x-initrd.attach paramétert az /etc/crypttab fájlhoz az initrd szakaszban már feloldott titkosított partíció meghatározásához.
  • A systemd-cryptsetup támogatást adott (pkcs11-uri opció az /etc/crypttab-ban) a titkosított partíciók feloldásához PKCS#11 intelligens kártyákkal, például partíciótitkosítás csatolásához a YubiKeys-hez.
  • Az "x-systemd.required-by" és az "x-systemd.wanted-by" beillesztési opciók hozzáadásra kerültek az /etc/fstab fájlhoz, hogy kifejezetten beállítsák azokat az egységeket, amelyek a local-fs.target és remote helyett a beillesztési műveleteket határozzák meg. -fs .target.
  • Egy új szolgáltatási sandboxing opció került hozzáadásra - ProtectClock, amely korlátozza a rendszerórára való írást (a hozzáférés a /dev/rtc, a rendszerhívások és a CAP_SYS_TIME/CAP_WAKE_ALARM engedélyek szintjén blokkolva van).
  • A specifikációhoz Felfedezhető partíciók és a systemd-gpt-auto-generator hozzáadott partícióészlelést
    /var és /var/tmp.

  • A „systemctl list-unit-files”-ben az egységek listájának megjelenítésekor egy új oszlop jelent meg, amely a gyártó által az ilyen típusú egységekhez megadott engedélyezési állapotot tükrözi.
  • A „systemctl”-hez hozzáadtunk egy „—with-dependencies” opciót. Telepítéskor a „systemctl status” és a „systemctl cat” parancsok nem csak az összes megfelelő egységet jelenítik meg, hanem azokat is, amelyektől függenek.
  • A systemd-networkd-ben a qdisc konfiguráció hozzáadta a TBF (Token Bucket Filter), SFQ (Stochastic Fairness Queuing), CoDel (Controlled-Delay Active Queue Management) és FQ (Fair Queue) paraméterek konfigurálását.
  • systemd-networkd hozzáadta az IFB hálózati eszközök támogatását (Köztes funkcionális blokk).
  • A Systemd-networkd megvalósítja a MultiPathRoute paramétert az [Útvonal] szakaszban a többutas útvonalak konfigurálásához.
  • A systemd-networkd-ben a DHCPv4 klienshez hozzáadásra került a SendDecline opció, amikor megadtuk, a címmel ellátott DHCP-válasz beérkezése után duplikált címellenőrzés történik, és ha címütközés észlelhető, a kiadott cím elutasításra kerül. A RouteMTUBytes opció is hozzáadásra került a DHCPv4 klienshez, amely lehetővé teszi az IP-cím-összerendelésekből (bérletekből) generált útvonalak MTU-méretének meghatározását.
  • A .network fájlok [Address] részében található PrefixRoute beállítás elavult. Ezt az „AddPrefixRoute” beállítás váltotta fel, amelynek ellenkező jelentése van.
  • A .network fájlokban az új „_dhcp” érték támogatása hozzáadásra került az „[Útvonal]” szakasz Átjáró-beállításához, ha be van állítva, a rendszer egy statikus útvonalat választ ki a DHCP-n keresztül konfigurált átjáró alapján.
  • A beállítások a „[RoutingPolicyRule]” szakasz .network fájljaiban jelentek meg
    A User és a SuppressPrefixLength az UID-tartományok és az előtag mérete alapján adja meg a forrásútválasztást.

  • A networkctl-ben a „status” parancs lehetővé teszi az egyes hálózati interfészekhez kapcsolódó naplók megjelenítését.
  • A systemd-networkd-wait-online támogatást nyújt az interfész működésbe lépésére és az interfész leállására várandó maximális idő beállítására.
  • A .link és .network fájlok feldolgozása leállt, üres vagy megjegyzéssel ellátott „[Egyezés]” szakasz.
  • A .link és .network fájlokban a „[Match]” részben egy „PermanentMACAddress” beállítás került hozzáadásra az eszközök állandó MAC-címének ellenőrzésére generált véletlenszerű MAC használata esetén.
  • A .network fájlok „[TrafficControlQueueingDiscipline]” szakaszát átnevezték „[NetworkEmulator]-ra”, és a „NetworkEmulator” előtagot eltávolítottuk a kapcsolódó beállítások nevéből.
  • A systemd-resolved a DNS-over-TLS esetén támogatja az SNI-ellenőrzést.

Forrás: opennet.ru

Hozzászólás