ProHoster > Blog > internetes hírek > systemd rendszerkezelő 242-es kiadás

systemd rendszerkezelő 242-es kiadás

[: ru]

После двух месяцев разработки bemutatott rendszerkezelő kiadás rendszer 242. Из новшеств можно отметить поддержку туннелей L2TP, возможность управления поведением systemd-logind при перезапуске через переменные окружения, поддержку расширенных загрузочных разделов XBOOTLDR для монтирования /boot, возможность загрузки с корневым разделом в overlayfs, а также большое число новых настроек для разных типов юнитов.

Nagy változások:

  • A systemd-networkd támogatja az L2TP alagutakat;
  • Az sd-boot és a bootctl támogatja az XBOOTLDR (Extended Boot Loader) partíciókat, amelyeket úgy terveztek, hogy a /boot-ra csatolják, az /efi vagy /boot/efi-re szerelt ESP-partíciók mellett. A kernelek, beállítások, initrd és EFI lemezképek mostantól ESP és XBOOTLDR partíciókról is indíthatók. Ez a változtatás lehetővé teszi az sd-boot betöltő használatát konzervatívabb forgatókönyvekben, amikor maga a rendszertöltő az ESP-ben található, a betöltött kernelek és a kapcsolódó metaadatok pedig külön szakaszban vannak elhelyezve;
  • A rendszermagnak átadott „systemd.volatile=overlay” opcióval való rendszerindítás lehetősége, amely lehetővé teszi a gyökérpartíció átfedésekbe helyezését, és a munka a gyökérkönyvtár írásvédett képének a tetejére való rendszerezését, a változtatásokat a rendszermagba írva. külön könyvtár a tmpfs-ben (a konfiguráció módosításai az újraindítás után elvesznek) . Hasonló módon a systemd-nspawn hozzáadta a „--volatile=overlay” opciót, hogy hasonló funkciókat használjon a tárolókban;
  • A systemd-nspawn hozzáadta a "--oci-bundle" opciót, amely lehetővé teszi a futásidejű kötegek használatát az Open Container Initiative (OCI) specifikációnak megfelelő tárolók izolált elindításához. A parancssori és az nspawn egységekben történő használathoz az OCI specifikációban leírt különféle opciók támogatása javasolt, például a „--inaccessible” és „Inaccessible” opciók használhatók a fájlrendszer egyes részei kizárására, és a „ A --console” opciók hozzáadva a szabványos kimeneti adatfolyamok és a "-pipe" beállításához;
  • A systemd-login viselkedésének szabályozási képessége hozzáadva a következő környezeti változókon keresztül: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU és
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. Ezekkel a változókkal összekapcsolhatja saját újraindítási folyamatkezelőit (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu és
    /run/systemd/reboot-to-boot-loader-entry), vagy teljesen tiltsa le őket (ha az érték false);

  • Hozzáadott opciók „-boot-load-menu=” és
    „—boot-loader-entry=”, amely lehetővé teszi egy adott rendszerindítási menüelem vagy rendszerindítási mód kiválasztását az újraindítás után;

  • Hozzáadott egy új, „RestrictSUIDSGID=” sandbox elkülönítési parancsot, amely a seccomp segítségével tiltja a SUID/SGID jelzőkkel rendelkező fájlok létrehozását;
  • Biztosítottuk, hogy a „NoNewPrivileges” és a „RestrictSUIDSGID” korlátozások alapértelmezés szerint alkalmazva legyenek a dinamikus felhasználói azonosító-generálási móddal rendelkező szolgáltatásokban (a „DynamicUser” engedélyezve van);
  • Az alapértelmezett MACAddressPolicy=persistent beállítás a .link fájlokban módosult, hogy több eszközre is kiterjedjen. A hálózati hidak, alagutak (tun, tap) és az aggregált linkek (bond) interfészei a hálózati interfész nevén kívül nem azonosítják magukat, így most ezt a nevet használják a MAC és IPv4 címek kötésének alapjául. Ezen kívül bekerült a „MACAddressPolicy=random” beállítás, amellyel véletlenszerű sorrendben lehet MAC- és IPv4-címeket kötni az eszközökhöz;
  • A systemd-fstab-generator segítségével létrehozott ".device" egységfájlok már nem tartalmazzák a megfelelő ".mount" egységeket függőségekként a "Wants=" szakaszban. Az eszköz egyszerű csatlakoztatása már nem indítja el automatikusan a csatlakoztatandó egységet, de az ilyen egységek más okok miatt továbbra is elindíthatók, például a local-fs.target részeként vagy a local-fs.targettől függő egyéb egységektől való függőségként ;
  • A maszkok ("*" stb.) támogatása a "networkctl list/status/lldp" parancsokhoz hozzáadva a hálózati interfészek bizonyos csoportjainak nevük egy része alapján történő kiszűréséhez;
  • A $PIDFILE környezeti változó most a szolgáltatásokban a "PIDFile=;" paraméterrel konfigurált abszolút elérési út használatával van beállítva.
  • Nyilvános Cloudflare-kiszolgálók (1.1.1.1) hozzáadva a használt tartalék DNS-kiszolgálók számához, ha a fő DNS nincs kifejezetten meghatározva. A tartalék DNS-kiszolgálók listájának újradefiniálásához használja a „-Ddns-servers=” opciót;
  • Az USB-eszközvezérlő jelenlétének észlelésekor egy új usb-gadget.target kezelő automatikusan elindul (ha a rendszer USB-periférián fut);
  • Az egységfájlok esetében a „CPUQuotaPeriodSec=” beállítás került megvalósításra, amely meghatározza azt az időtartamot, amelyhez viszonyítva a CPU-időkvótát mérik, a „CPUQuota=” beállítással beállítva;
  • Az egységfájlok esetében a „ProtectHostname=” beállítást alkalmazták, amely megtiltja a szolgáltatásoknak, hogy módosítsák a gazdagépnévre vonatkozó információkat, még akkor sem, ha rendelkeznek a megfelelő jogosultságokkal;
  • Az egységfájlok esetében a „NetworkNamespacePath=” beállítás valósult meg, amely lehetővé teszi, hogy egy névteret szolgáltatásokhoz vagy socket egységekhez rendeljen a névtérfájl elérési útjának megadásával a pszeudo-FS /proc fájlban;
  • Hozzáadtuk a környezeti változók helyettesítésének letiltását az „ExecStart=” beállítással elindított folyamatok esetében a „:” karakter hozzáadásával a start parancs előtt;
  • Időzítőknél (.timer egységek) új jelzők „OnClockChange=” és
    „OnTimezoneChange=”, amellyel vezérelheti az egységhívást, amikor a rendszeridő vagy az időzóna megváltozik;

  • Új beállítások „ConditionMemory=” és „ConditionCPUs=”, amelyek a memória méretétől és a CPU magok számától függően határozzák meg az egység hívásának feltételeit (például erőforrás-igényes szolgáltatás csak akkor indítható el, ha a szükséges mennyiségű RAM elérhető);
  • Új time-set.target egység került hozzáadásra, amely elfogadja a helyileg beállított rendszeridőt anélkül, hogy a time-sync.target egységet használó külső időkiszolgálókkal való egyeztetést alkalmazná. Az új egységet olyan szolgáltatások használhatják, amelyeknek szükségük van a nem szinkronizált helyi órák pontosságára;
  • A „--show-transaction” opció hozzáadásra került a „systemctl start” és hasonló parancsokhoz, ha megadjuk, megjelenik a várólistához a kért művelet miatt hozzáadott összes feladat összegzése;
  • A systemd-networkd egy új „szolgaszolga” állapot meghatározását valósítja meg, amelyet a „degraded” vagy „carrier” helyett használnak az összesített kapcsolatok vagy hálózati hidak részét képező hálózati interfészek esetében. Az elsődleges interfészeknél az egyik összetett hivatkozással kapcsolatos probléma esetén a „leromlott vivő” állapot került hozzáadásra;
  • Az „IgnoreCarrierLoss=” opció hozzáadva a .hálózati egységekhez a hálózati beállítások mentéséhez a kapcsolat megszakadása esetén;
  • A .network units „RequiredForOnline=” beállításával most beállíthatja azt a minimálisan elfogadható kapcsolati állapotot, amely a hálózati interfész „online” állapotba átviteléhez és a systemd-networkd-wait-online kezelő aktiválásához szükséges;
  • A systemd-networkd-wait-online-hoz hozzáadta a „--any” opciót, hogy megvárja a megadott hálózati interfészek bármelyikének készenlétét az összes helyett, valamint a „--operational-state=” opciót a hálózat állapotának meghatározásához. a készenlétet jelző link;
  • A „UseAutonomousPrefix=” és „UseOnLinkPrefix=” beállítások hozzáadva a .hálózati egységekhez, amelyek segítségével figyelmen kívül hagyhatók az előtagok fogadáskor
    bejelentés egy IPv6 útválasztóról (RA, Router Advertisement);

  • A .network egységekben a „MulticastFlood=”, „NeighborSuppression=” és „Learning=” beállítások hozzáadásra kerültek a hálózati híd működési paramétereinek módosításához, valamint a „TripleSampling=” beállítás a TRIPLE-SAMPLING mód megváltoztatásához. CAN virtuális interfészek;
  • A „PrivateKeyFile=” és a „PresharedKeyFile=” beállítások hozzáadásra kerültek a .netdev egységekhez, amelyekkel privát és megosztott (PSK) kulcsokat adhat meg a WireGuard VPN interfészekhez;
  • A same-cpu-crypt és a submit-from-crypt-cpus opciók hozzáadása az /etc/crypttab fájlhoz, amelyek szabályozzák az ütemező viselkedését a titkosítással kapcsolatos munkák CPU-magok közötti migrálásakor;
  • A systemd-tmpfiles biztosítja a zárfájlok feldolgozását az ideiglenes fájlokat tartalmazó könyvtárakban végzett műveletek végrehajtása előtt, ami lehetővé teszi az elavult fájlok tisztításának letiltását bizonyos műveletek idejére (például egy tar archívum kicsomagolásakor a /tmp mappában nagyon régi fájlok lehetnek megnyitott, amely nem törölhető a velük végzett művelet vége előtt);
  • A „systemd-analyze cat-config” parancs lehetővé teszi egy több fájlra osztott konfiguráció elemzését, például felhasználói és rendszerbeállításokat, a tmpfiles.d és sysusers.d fájl tartalmát, az udev szabályokat stb.
  • A "--cursor-file=" opció hozzáadva a "journalctl"-hez a betöltendő fájl megadásához és a pozíciókurzor mentéséhez;
  • Az ACRN hipervizor és a WSL alrendszer (Windows alrendszer Linuxhoz) definíciója hozzáadva a systemd-detect-virthez a „ConditionVirtualization” feltételes operátor használatával történő későbbi elágazáshoz;
  • A systemd telepítés során (a "ninja install" futtatásakor) szimbolikus hivatkozások létrehozása a systemd-networkd.service, systemd-networkd.socket,
    systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
    systemd-networkd-wait-online.service és systemd-timesyncd.service. E fájlok létrehozásához most futtassa a „systemctl preset-all” parancsot.

Forrásopennet.ru

[En]

После двух месяцев разработки bemutatott rendszerkezelő kiadás rendszer 242. Из новшеств можно отметить поддержку туннелей L2TP, возможность управления поведением systemd-logind при перезапуске через переменные окружения, поддержку расширенных загрузочных разделов XBOOTLDR для монтирования /boot, возможность загрузки с корневым разделом в overlayfs, а также большое число новых настроек для разных типов юнитов.

Nagy változások:

  • A systemd-networkd támogatja az L2TP alagutakat;
  • Az sd-boot és a bootctl támogatja az XBOOTLDR (Extended Boot Loader) partíciókat, amelyeket úgy terveztek, hogy a /boot-ra csatolják, az /efi vagy /boot/efi-re szerelt ESP-partíciók mellett. A kernelek, beállítások, initrd és EFI lemezképek mostantól ESP és XBOOTLDR partíciókról is indíthatók. Ez a változtatás lehetővé teszi az sd-boot betöltő használatát konzervatívabb forgatókönyvekben, amikor maga a rendszertöltő az ESP-ben található, a betöltött kernelek és a kapcsolódó metaadatok pedig külön szakaszban vannak elhelyezve;
  • A rendszermagnak átadott „systemd.volatile=overlay” opcióval való rendszerindítás lehetősége, amely lehetővé teszi a gyökérpartíció átfedésekbe helyezését, és a munka a gyökérkönyvtár írásvédett képének a tetejére való rendszerezését, a változtatásokat a rendszermagba írva. külön könyvtár a tmpfs-ben (a konfiguráció módosításai az újraindítás után elvesznek) . Hasonló módon a systemd-nspawn hozzáadta a „--volatile=overlay” opciót, hogy hasonló funkciókat használjon a tárolókban;
  • A systemd-nspawn hozzáadta a "--oci-bundle" opciót, amely lehetővé teszi a futásidejű kötegek használatát az Open Container Initiative (OCI) specifikációnak megfelelő tárolók izolált elindításához. A parancssori és az nspawn egységekben történő használathoz az OCI specifikációban leírt különféle opciók támogatása javasolt, például a „--inaccessible” és „Inaccessible” opciók használhatók a fájlrendszer egyes részei kizárására, és a „ A --console” opciók hozzáadva a szabványos kimeneti adatfolyamok és a "-pipe" beállításához;
  • A systemd-login viselkedésének szabályozási képessége hozzáadva a következő környezeti változókon keresztül: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU és
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. Ezekkel a változókkal összekapcsolhatja saját újraindítási folyamatkezelőit (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu és
    /run/systemd/reboot-to-boot-loader-entry), vagy teljesen tiltsa le őket (ha az érték false);

  • Hozzáadott opciók „-boot-load-menu=” és
    „—boot-loader-entry=”, amely lehetővé teszi egy adott rendszerindítási menüelem vagy rendszerindítási mód kiválasztását az újraindítás után;

  • Hozzáadott egy új, „RestrictSUIDSGID=” sandbox elkülönítési parancsot, amely a seccomp segítségével tiltja a SUID/SGID jelzőkkel rendelkező fájlok létrehozását;
  • Biztosítottuk, hogy a „NoNewPrivileges” és a „RestrictSUIDSGID” korlátozások alapértelmezés szerint alkalmazva legyenek a dinamikus felhasználói azonosító-generálási móddal rendelkező szolgáltatásokban (a „DynamicUser” engedélyezve van);
  • Az alapértelmezett MACAddressPolicy=persistent beállítás a .link fájlokban módosult, hogy több eszközre is kiterjedjen. A hálózati hidak, alagutak (tun, tap) és az aggregált linkek (bond) interfészei a hálózati interfész nevén kívül nem azonosítják magukat, így most ezt a nevet használják a MAC és IPv4 címek kötésének alapjául. Ezen kívül bekerült a „MACAddressPolicy=random” beállítás, amellyel véletlenszerű sorrendben lehet MAC- és IPv4-címeket kötni az eszközökhöz;
  • A systemd-fstab-generator segítségével létrehozott ".device" egységfájlok már nem tartalmazzák a megfelelő ".mount" egységeket függőségekként a "Wants=" szakaszban. Az eszköz egyszerű csatlakoztatása már nem indítja el automatikusan a csatlakoztatandó egységet, de az ilyen egységek más okok miatt továbbra is elindíthatók, például a local-fs.target részeként vagy a local-fs.targettől függő egyéb egységektől való függőségként ;
  • A maszkok ("*" stb.) támogatása a "networkctl list/status/lldp" parancsokhoz hozzáadva a hálózati interfészek bizonyos csoportjainak nevük egy része alapján történő kiszűréséhez;
  • A $PIDFILE környezeti változó most a szolgáltatásokban a "PIDFile=;" paraméterrel konfigurált abszolút elérési út használatával van beállítva.
  • Nyilvános Cloudflare-kiszolgálók (1.1.1.1) hozzáadva a használt tartalék DNS-kiszolgálók számához, ha a fő DNS nincs kifejezetten meghatározva. A tartalék DNS-kiszolgálók listájának újradefiniálásához használja a „-Ddns-servers=” opciót;
  • Az USB-eszközvezérlő jelenlétének észlelésekor egy új usb-gadget.target kezelő automatikusan elindul (ha a rendszer USB-periférián fut);
  • Az egységfájlok esetében a „CPUQuotaPeriodSec=” beállítás került megvalósításra, amely meghatározza azt az időtartamot, amelyhez viszonyítva a CPU-időkvótát mérik, a „CPUQuota=” beállítással beállítva;
  • Az egységfájlok esetében a „ProtectHostname=” beállítást alkalmazták, amely megtiltja a szolgáltatásoknak, hogy módosítsák a gazdagépnévre vonatkozó információkat, még akkor sem, ha rendelkeznek a megfelelő jogosultságokkal;
  • Az egységfájlok esetében a „NetworkNamespacePath=” beállítás valósult meg, amely lehetővé teszi, hogy egy névteret szolgáltatásokhoz vagy socket egységekhez rendeljen a névtérfájl elérési útjának megadásával a pszeudo-FS /proc fájlban;
  • Hozzáadtuk a környezeti változók helyettesítésének letiltását az „ExecStart=” beállítással elindított folyamatok esetében a „:” karakter hozzáadásával a start parancs előtt;
  • Időzítőknél (.timer egységek) új jelzők „OnClockChange=” és
    „OnTimezoneChange=”, amellyel vezérelheti az egységhívást, amikor a rendszeridő vagy az időzóna megváltozik;

  • Új beállítások „ConditionMemory=” és „ConditionCPUs=”, amelyek a memória méretétől és a CPU magok számától függően határozzák meg az egység hívásának feltételeit (például erőforrás-igényes szolgáltatás csak akkor indítható el, ha a szükséges mennyiségű RAM elérhető);
  • Új time-set.target egység került hozzáadásra, amely elfogadja a helyileg beállított rendszeridőt anélkül, hogy a time-sync.target egységet használó külső időkiszolgálókkal való egyeztetést alkalmazná. Az új egységet olyan szolgáltatások használhatják, amelyeknek szükségük van a nem szinkronizált helyi órák pontosságára;
  • A „--show-transaction” opció hozzáadásra került a „systemctl start” és hasonló parancsokhoz, ha megadjuk, megjelenik a várólistához a kért művelet miatt hozzáadott összes feladat összegzése;
  • A systemd-networkd egy új „szolgaszolga” állapot meghatározását valósítja meg, amelyet a „degraded” vagy „carrier” helyett használnak az összesített kapcsolatok vagy hálózati hidak részét képező hálózati interfészek esetében. Az elsődleges interfészeknél az egyik összetett hivatkozással kapcsolatos probléma esetén a „leromlott vivő” állapot került hozzáadásra;
  • Az „IgnoreCarrierLoss=” opció hozzáadva a .hálózati egységekhez a hálózati beállítások mentéséhez a kapcsolat megszakadása esetén;
  • A .network units „RequiredForOnline=” beállításával most beállíthatja azt a minimálisan elfogadható kapcsolati állapotot, amely a hálózati interfész „online” állapotba átviteléhez és a systemd-networkd-wait-online kezelő aktiválásához szükséges;
  • A systemd-networkd-wait-online-hoz hozzáadta a „--any” opciót, hogy megvárja a megadott hálózati interfészek bármelyikének készenlétét az összes helyett, valamint a „--operational-state=” opciót a hálózat állapotának meghatározásához. a készenlétet jelző link;
  • A „UseAutonomousPrefix=” és „UseOnLinkPrefix=” beállítások hozzáadva a .hálózati egységekhez, amelyek segítségével figyelmen kívül hagyhatók az előtagok fogadáskor
    bejelentés egy IPv6 útválasztóról (RA, Router Advertisement);

  • A .network egységekben a „MulticastFlood=”, „NeighborSuppression=” és „Learning=” beállítások hozzáadásra kerültek a hálózati híd működési paramétereinek módosításához, valamint a „TripleSampling=” beállítás a TRIPLE-SAMPLING mód megváltoztatásához. CAN virtuális interfészek;
  • A „PrivateKeyFile=” és a „PresharedKeyFile=” beállítások hozzáadásra kerültek a .netdev egységekhez, amelyekkel privát és megosztott (PSK) kulcsokat adhat meg a WireGuard VPN interfészekhez;
  • A same-cpu-crypt és a submit-from-crypt-cpus opciók hozzáadása az /etc/crypttab fájlhoz, amelyek szabályozzák az ütemező viselkedését a titkosítással kapcsolatos munkák CPU-magok közötti migrálásakor;
  • A systemd-tmpfiles biztosítja a zárfájlok feldolgozását az ideiglenes fájlokat tartalmazó könyvtárakban végzett műveletek végrehajtása előtt, ami lehetővé teszi az elavult fájlok tisztításának letiltását bizonyos műveletek idejére (például egy tar archívum kicsomagolásakor a /tmp mappában nagyon régi fájlok lehetnek megnyitott, amely nem törölhető a velük végzett művelet vége előtt);
  • A „systemd-analyze cat-config” parancs lehetővé teszi egy több fájlra osztott konfiguráció elemzését, például felhasználói és rendszerbeállításokat, a tmpfiles.d és sysusers.d fájl tartalmát, az udev szabályokat stb.
  • A "--cursor-file=" opció hozzáadva a "journalctl"-hez a betöltendő fájl megadásához és a pozíciókurzor mentéséhez;
  • Az ACRN hipervizor és a WSL alrendszer (Windows alrendszer Linuxhoz) definíciója hozzáadva a systemd-detect-virthez a „ConditionVirtualization” feltételes operátor használatával történő későbbi elágazáshoz;
  • A systemd telepítés során (a "ninja install" futtatásakor) szimbolikus hivatkozások létrehozása a systemd-networkd.service, systemd-networkd.socket,
    systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
    systemd-networkd-wait-online.service és systemd-timesyncd.service. E fájlok létrehozásához most futtassa a „systemctl preset-all” parancsot.

Forrás: opennet.ru

[:]

Hozzászólás