ProHoster > Blog > internetes hírek > systemd rendszerkezelő 246-es kiadás

systemd rendszerkezelő 246-es kiadás

Öt hónapos fejlesztés után bemutatott rendszerkezelő kiadás rendszer 246. Az új kiadás tartalmazza a lefagyasztó egységek támogatását, a gyökérlemez képének digitális aláírással történő ellenőrzésének lehetőségét, a naplótömörítés és a magkiíratások támogatását a ZSTD algoritmus használatával, a hordozható otthoni könyvtárak feloldásának lehetőségét FIDO2 tokenekkel, valamint a Microsoft BitLocker feloldásának támogatását. partíciókat az /etc/ crypttab-on keresztül, a BlackList átnevezték DenyList-re.

A főbb változások:

  • Támogatás hozzáadva a cgroups v2-n alapuló fagyasztó erőforrás-vezérlőhöz, amellyel leállíthatja a folyamatokat, és ideiglenesen felszabadíthat bizonyos erőforrásokat (CPU, I/O és esetleg még memória) egyéb feladatok elvégzéséhez. Az egységek fagyasztása és leolvasztása az új „systemctl freeze” paranccsal vagy D-buszon keresztül vezérelhető.
  • Támogatás hozzáadva a gyökérlemez képének digitális aláírással történő ellenőrzéséhez. Az ellenőrzés a szolgáltatási egységek új beállításaival történik: RootHash (root hash a RootImage opcióban megadott lemezkép ellenőrzéséhez) és RootHashSignature (digitális aláírás PKCS#7 formátumban a gyökérkivonathoz).
  • A PID 1 kezelő lehetővé teszi az előre lefordított AppArmor szabályok (/etc/apparmor/earlypolicy) automatikus betöltését a kezdeti rendszerindítási szakaszban.
  • Új egységfájlbeállítások kerültek hozzáadásra: ConditionPathIsEncrypted és AssertPathIsEncrypted a megadott elérési út elhelyezésének ellenőrzéséhez egy titkosítást használó blokkeszközön (dm-crypt/LUKS), ConditionEnvironment és AssertEnvironment a környezeti változók (például a PAM vagy a PAM által beállítottak) ellenőrzésére. konténerek felállításakor).
  • A *.mount egységeknél a ReadWriteOnly beállítást implementálták, amely megtiltja a partíció csak olvasható módban történő felcsatolását, ha nem lehetett felcsatolni olvasásra és írásra. Az /etc/fstab fájlban ez a mód az „x-systemd.rw-only” kapcsolóval van beállítva.
  • A *.socket egységeknél hozzáadásra került a PassPacketInfo beállítás, amely lehetővé teszi, hogy a kernel további metaadatokat adjon hozzá minden egyes, a socketből kiolvasott csomaghoz (engedélyezi az IP_PKTINFO, IPV6_RECVPKTINFO és NETLINK_PKTINFO módokat a socket számára).
  • A szolgáltatásokhoz (*.szolgáltatási egységek) a CoredumpFilter beállításai javasoltak (meghatározza azokat a memóriarészeket, amelyeket bele kell foglalni a magkiíratásokba) és
    TimeoutStartFailureMode/TimeoutStopFailureMode (meghatározza azt a viselkedést (SIGTERM, SIGABRT vagy SIGKILL), amikor egy szolgáltatás indításakor vagy leállításakor időtúllépés lép fel).
  • A legtöbb beállítás már támogatja a "0x" előtaggal megadott hexadecimális értékeket.
  • A kulcsok vagy tanúsítványok beállításához kapcsolódó különféle parancssori paraméterekben és konfigurációs fájlokban lehetőség van megadni a unix socketek (AF_UNIX) elérési útját a kulcsok és tanúsítványok átviteléhez IPC szolgáltatások hívásain keresztül, ha nem kívánatos a tanúsítványokat titkosítatlan lemezre helyezni. tárolás.
  • Hozzáadott támogatás hat új specifikációhoz, amelyek használhatók a unitokban, a tmpfiles.d/, a sysusers.d/ és más konfigurációs fájlokban: %a a jelenlegi architektúra helyettesítésére, %o/%w/%B/%W a mezők helyettesítésére az /etc/os-release és a %l azonosítók a rövid gazdagépnév helyettesítéséhez.
  • Az egységfájlok már nem támogatják a 6 évvel ezelőtt elavult „.include” szintaxist.
  • A StandardError és a StandardOutput beállítások már nem támogatják a „syslog” és „syslog-console” értékeket, amelyek automatikusan „journal” és „journal+console” formátumra lesznek konvertálva.
  • Az automatikusan létrehozott tmpfs-alapú csatolási pontokhoz (/tmp, /run, /dev/shm stb.) az inode-ok méretének és számának korlátai vannak megadva, ami a /tmp és /dev/ RAM-méretének 50%-ának felel meg. shm, és a RAM 10%-a mindenki másnak.
  • Új kernel parancssori opciók hozzáadva: systemd.hostname a gazdagépnév beállításához a kezdeti rendszerindítási szakaszban, udev.blockdev_read_only a fizikai meghajtókhoz társított összes blokkeszköz írásvédett módra korlátozásához (a "blockdev --setrw" parancsot használhatja szelektíven mégse), systemd .swap a swap partíció automatikus aktiválásának letiltásához, systemd.clock-usec a rendszeróra mikroszekundumban történő beállításához, systemd.condition-needs-update és systemd.condition-first-boot a ConditionNeedsUpdate és ConditionBootBootBoot felülbírálásához ellenőrzi.
  • Alapértelmezés szerint a sysctl fs.suid_dumpable értéke 2 („suidsafe”), ami lehetővé teszi a suid jelzővel rendelkező folyamatok alapkiíratásának mentését.
  • A /usr/lib/udev/hwdb.d/60-autosuspend.hwdb fájlt a ChromiumOS hardveres adatbázisába kölcsönözték, amely információkat tartalmaz az automatikus alvó üzemmódot támogató PCI- és USB-eszközökről.
  • A ManageForeignRoutes beállítás hozzáadásra került a networkd.conf fájlhoz, ha engedélyezve van, a systemd-networkd elkezdi kezelni a többi segédprogram által konfigurált összes útvonalat.
  • A „[SR-IOV]” szakasz hozzáadásra került a .network fájlokhoz az SR-IOV-t (Single Root I/O Virtualization) támogató hálózati eszközök konfigurálásához.
  • A systemd-networkd-ben az IPv4AcceptLocal beállítás hozzáadásra került a „[Network]” szakaszhoz, hogy lehetővé tegye a helyi forráscímmel érkező csomagok fogadását a hálózati interfészen.
  • A systemd-networkd hozzáadta a HTB forgalom prioritási szabályainak konfigurálását a [HierarchyTokenBucket] és
    [HierarchyTokenBucketClass], "pfifo" a [PFIFO]-on keresztül, "GRED" a [GenericRandomEarlyDetection]-n keresztül, "SFB" a [StochasticFairBlue]-n keresztül, "torta"
    keresztül [CAKE], "PIE" keresztül [PIE], "DRR" keresztül [DeficitRoundRobinScheduler] és
    [DeficitRoundRobinSchedulerClass], "BFIFO" a [BFIFO]-on keresztül,
    "PFIFOHeadDrop" a [PFIFOHeadDrop]-on keresztül, "PFIFOFast" a [PFIFOFast]-on keresztül, "HHF"
    keresztül [HeavyHitterFilter], "ETS" keresztül [EnhancedTransmissionSelection],
    „QFQ” a [QuickFairQueueing] és [QuickFairQueueingClass] segítségével.
  • A systemd-networkd rendszerben a [DHCPv4] szakaszban egy UseGateway beállítás került hozzáadásra, amely letiltja a DHCP-n keresztül szerzett átjáró-információk használatát.
  • A systemd-networkd [DHCPv4] és [DHCPServer] szakaszában egy SendVendorOption beállítás került hozzáadásra a további szállítói opciók telepítéséhez és feldolgozásához.
  • A systemd-networkd az EmitPOP3/POP3, EmitSMTP/SMTP és EmitLPR/LPR opciók új készletét valósítja meg a [DHCPServer] részben, hogy a POP3-, SMTP- és LPR-kiszolgálókkal kapcsolatos információkat adjon hozzá.
  • A systemd-networkd .netdev fájljaiban a [Bridge] szakaszban egy VLANProtocol beállítás került hozzáadásra a használni kívánt VLAN protokoll kiválasztásához.
  • A systemd-networkd-ben a .network fájlokban a [Link] szakaszban a Csoport beállítás van megvalósítva a hivatkozások csoportjának kezelésére.
  • A BlackList beállításai át lettek nevezve DenyList névre (megőrizve a régi névkezelést a visszafelé kompatibilitás érdekében).
  • A Systemd-networkd az IPv6-hoz és a DHCPv6-hoz kapcsolódó beállítások nagy részét hozzáadta.
  • A „forcerenew” parancs hozzáadva a networkctl-hez, hogy az összes cím-összerendelést frissíteni (bérlet) kényszerítse.
  • A systemd-resolvedben a DNS konfigurációban lehetővé vált a portszám és a gazdagépnév megadása a DNS-over-TLS tanúsítvány ellenőrzéséhez. A DNS-over-TLS megvalósítás támogatja az SNI-ellenőrzést.
  • A Systemd-resolved mostantól képes beállítani az egycímkés DNS-nevek átirányítását (egycímkés, egyetlen gazdagépnévről).
  • A systemd-journald támogatja a zstd algoritmus használatát a naplók nagy mezőinek tömörítésére. Dolgoztak a naplókban használt hash táblák ütközéseinek védelme érdekében.
  • A dokumentációra mutató hivatkozásokat tartalmazó kattintható URL-ek hozzáadásra kerültek a Journalctl-hez a naplóüzenetek megjelenítésekor.
  • Hozzáadott egy Audit beállítást a journald.conf fájlhoz, amely szabályozza, hogy a rendszerd-journald inicializálása során engedélyezve legyen-e a megfigyelés.
  • A Systemd-coredump mostantól képes a magkiíratások tömörítésére a zstd algoritmus használatával.
  • UUID-beállítás hozzáadva a systemd-reparthoz, hogy UUID-t rendeljen a létrehozott partícióhoz.
  • A hordozható otthoni címtárak kezelését biztosító systemd-homed szolgáltatás lehetőséget adott a saját könyvtárak zárolásának feloldására FIDO2 tokenekkel. A LUKS partíciótitkosítási háttérprogramja támogatja az üres fájlrendszerblokkok automatikus visszaküldését a munkamenet végén. Hozzáadott védelem az adatok kettős titkosítása ellen, ha megállapítást nyer, hogy a rendszer /home partíciója már titkosítva van.
  • Hozzáadott beállítások az /etc/crypttab fájlhoz: "keyfile-erase" a kulcs törléséhez használat után, és "try-empty-password" egy partíció feloldásához üres jelszóval, mielőtt jelszót kérne a felhasználótól (titkosított képek telepítéséhez hasznos az első rendszerindítás után rendelt jelszóval, nem a telepítés során).
  • A systemd-cryptsetup támogatja a Microsoft BitLocker-partíciók rendszerindításkor történő feloldását az /etc/crypttab használatával. Hozzáadtuk az olvasási képességet is
    kulcsok a partíciók automatikus feloldásához az /etc/cryptsetup-keys.d/ fájlból .key és /run/cryptsetup-keys.d/ .kulcs.
  • A systemd-xdg-autostart-generator hozzáadva egységfájlok létrehozásához .desktop automatikusan induló fájlokból.
  • A "bootctl"-hez hozzáadva a "reboot-to-firmware" parancsot.
  • Hozzáadott beállítások a systemd-firstboothoz: "--image" a rendszerindításhoz szükséges lemezkép megadásához, "--kernel-command-line" az /etc/kernel/cmdline fájl inicializálásához, "--root-password-hashed" adjon meg egy root jelszó hash-t, és a "--delete-root-password" elemet a root jelszó törléséhez.

Forrás: opennet.ru