ProHoster > blog > berita internet > rilis manajer sistem systemd 250

rilis manajer sistem systemd 250

Setelah lima bulan pengembangan, rilis manajer sistem systemd 250 disajikan. Rilis baru ini memperkenalkan kemampuan untuk menyimpan kredensial dalam bentuk terenkripsi, menerapkan verifikasi partisi GPT yang terdeteksi secara otomatis menggunakan tanda tangan digital, meningkatkan informasi tentang penyebab penundaan ketika memulai layanan, dan menambahkan opsi untuk membatasi akses layanan ke sistem file dan antarmuka jaringan tertentu, dukungan untuk pemantauan integritas partisi menggunakan modul dm-integrity disediakan, dan dukungan untuk pembaruan otomatis sd-boot ditambahkan.

Perubahan besar:

  • Menambahkan dukungan untuk kredensial terenkripsi dan diautentikasi, yang dapat berguna untuk menyimpan materi sensitif dengan aman seperti kunci SSL dan kata sandi akses. Dekripsi kredensial dilakukan hanya bila diperlukan dan sehubungan dengan instalasi atau peralatan lokal. Data dienkripsi secara otomatis menggunakan algoritma enkripsi simetris, kuncinya dapat ditemukan di sistem file, di chip TPM2, atau menggunakan skema kombinasi. Saat layanan dimulai, kredensial secara otomatis didekripsi dan tersedia untuk layanan dalam bentuk normalnya. Untuk bekerja dengan kredensial terenkripsi, utilitas 'systemd-creds' telah ditambahkan, dan pengaturan LoadCredentialEncrypted dan SetCredentialEncrypted telah diusulkan untuk layanan.
  • sd-stub, executable EFI yang memungkinkan firmware EFI memuat kernel Linux, sekarang mendukung booting kernel menggunakan protokol EFI LINUX_EFI_INITRD_MEDIA_GUID. Juga ditambahkan ke sd-stub adalah kemampuan untuk mengemas kredensial dan file sysext ke dalam arsip cpio dan mentransfer arsip ini ke kernel bersama dengan initrd (file tambahan ditempatkan di direktori /.extra/). Fitur ini memungkinkan Anda untuk menggunakan lingkungan initrd yang tidak dapat diubah dan dapat diverifikasi, dilengkapi dengan sysexts dan data autentikasi terenkripsi.
  • Spesifikasi Discoverable Partitions telah diperluas secara signifikan, menyediakan alat untuk mengidentifikasi, memasang dan mengaktifkan partisi sistem menggunakan GPT (GUID Partition Tables). Dibandingkan dengan rilis sebelumnya, spesifikasinya sekarang mendukung partisi root dan partisi /usr untuk sebagian besar arsitektur, termasuk platform yang tidak menggunakan UEFI.

    Partisi yang Dapat Ditemukan juga menambahkan dukungan untuk partisi yang integritasnya diverifikasi oleh modul dm-verity menggunakan tanda tangan digital PKCS#7, sehingga memudahkan pembuatan image disk yang sepenuhnya diautentikasi. Dukungan verifikasi diintegrasikan ke dalam berbagai utilitas yang memanipulasi image disk, termasuk systemd-nspawn, systemd-sysext, systemd-dissect, layanan RootImage, systemd-tmpfiles, dan systemd-sysusers.

  • Untuk unit yang membutuhkan waktu lama untuk memulai atau berhenti, selain menampilkan bilah kemajuan animasi, informasi status juga dapat ditampilkan yang memungkinkan Anda memahami apa yang sebenarnya terjadi dengan layanan saat ini dan layanan mana yang merupakan manajer sistem. sedang menunggu untuk diselesaikan.
  • Menambahkan parameter DefaultOOMScoreAdjust ke /etc/systemd/system.conf dan /etc/systemd/user.conf, yang memungkinkan Anda menyesuaikan ambang batas pembunuh OOM untuk memori rendah, berlaku untuk proses yang dijalankan systemd untuk sistem dan pengguna. Secara default, bobot layanan sistem lebih tinggi daripada bobot layanan pengguna, mis. Ketika memori tidak mencukupi, kemungkinan penghentian layanan pengguna lebih tinggi daripada layanan sistem.
  • Menambahkan pengaturan RestrictFileSystems, yang memungkinkan Anda membatasi akses layanan ke jenis sistem file tertentu. Untuk melihat jenis sistem file yang tersedia, Anda dapat menggunakan perintah “systemd-analyze filesystems”. Dengan analogi, opsi RestrictNetworkInterfaces telah diterapkan, yang memungkinkan Anda membatasi akses ke antarmuka jaringan tertentu. Implementasinya didasarkan pada modul BPF LSM, yang membatasi akses sekelompok proses ke objek kernel.
  • Menambahkan file konfigurasi /etc/integritytab baru dan utilitas systemd-integritysetup yang mengonfigurasi modul dm-integrity untuk mengontrol integritas data di tingkat sektor, misalnya, untuk menjamin kekekalan data terenkripsi (Enkripsi yang Diotentikasi, memastikan bahwa blok data memiliki belum diubah secara tidak langsung). Format file /etc/integritytab mirip dengan file /etc/crypttab dan /etc/veritytab, hanya saja yang digunakan adalah dm-integrity, bukan dm-crypt dan dm-verity.
  • File unit baru systemd-boot-update.service telah ditambahkan, ketika diaktifkan dan bootloader sd-boot diinstal, systemd akan secara otomatis memperbarui versi bootloader sd-boot, menjaga kode bootloader selalu terbarui. sd-boot sendiri kini dibuat secara default dengan dukungan mekanisme SBAT (UEFI Secure Boot Advanced Targeting), yang memecahkan masalah pencabutan sertifikat untuk UEFI Secure Boot. Selain itu, sd-boot menyediakan kemampuan untuk mengurai pengaturan boot Microsoft Windows untuk menghasilkan nama partisi boot dengan Windows dengan benar dan menampilkan versi Windows.

    sd-boot juga menyediakan kemampuan untuk menentukan skema warna pada waktu pembuatan. Selama proses booting, ditambahkan dukungan untuk mengubah resolusi layar dengan menekan tombol “r”. Menambahkan tombol pintas "f" untuk membuka antarmuka konfigurasi firmware. Menambahkan mode untuk mem-boot sistem secara otomatis sesuai dengan item menu yang dipilih selama boot terakhir. Menambahkan kemampuan untuk memuat driver EFI secara otomatis yang terletak di direktori /EFI/systemd/drivers/ di bagian ESP (EFI System Partition).

  • File unit baru factory-reset.target disertakan, yang diproses di systemd-logind dengan cara yang mirip dengan operasi reboot, poweroff, suspend dan hibernate, dan digunakan untuk membuat penangan untuk melakukan reset pabrik.
  • Proses yang diselesaikan systemd sekarang membuat soket pendengaran tambahan di 127.0.0.54 selain 127.0.0.53. Permintaan yang tiba di 127.0.0.54 selalu dialihkan ke server DNS upstream dan tidak diproses secara lokal.
  • Memberikan kemampuan untuk membangun systemd-importd dan systemd-resolved dengan perpustakaan OpenSSL, bukan libgcrypt.
  • Menambahkan dukungan awal untuk arsitektur LoongArch yang digunakan pada prosesor Loongson.
  • systemd-gpt-auto-generator menyediakan kemampuan untuk secara otomatis mengkonfigurasi partisi swap yang ditentukan sistem yang dienkripsi oleh subsistem LUKS2.
  • Kode penguraian gambar GPT yang digunakan dalam systemd-nspawn, systemd-dissect, dan utilitas serupa mengimplementasikan kemampuan untuk mendekode gambar untuk arsitektur lain, sehingga systemd-nspawn dapat digunakan untuk menjalankan gambar pada emulator arsitektur lain.
  • Saat memeriksa image disk, systemd-dissect sekarang menampilkan informasi tentang tujuan partisi, seperti kesesuaian untuk booting melalui UEFI atau berjalan dalam container.
  • Bidang "SYSEXT_SCOPE" telah ditambahkan ke file system-extension.d/, memungkinkan Anda untuk menunjukkan cakupan gambar sistem - "initrd", "system" atau "portable".
  • Bidang “PORTABLE_PREFIXES” telah ditambahkan ke file rilis os, yang dapat digunakan dalam gambar portabel untuk menentukan awalan file unit yang didukung.
  • systemd-logind memperkenalkan pengaturan baru HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress dan HandleHibernateKeyLongPress, yang dapat digunakan untuk menentukan apa yang terjadi ketika tombol tertentu ditekan selama lebih dari 5 detik (misalnya, menekan tombol Suspend dengan cepat dapat dikonfigurasi untuk masuk ke mode siaga , dan ketika ditekan, ia akan tertidur) .
  • Untuk unit, pengaturan StartupAllowedCPUs dan StartupAllowedMemoryNodes diterapkan, yang berbeda dari pengaturan serupa tanpa awalan Startup karena hanya diterapkan pada tahap boot dan shutdown, yang memungkinkan Anda untuk mengatur batasan sumber daya lainnya selama boot.
  • Menambahkan [Kondisi|Tegaskan][Memori|CPU|IO]Pemeriksaan tekanan yang memungkinkan aktivasi unit dilewati atau gagal jika mekanisme PSI mendeteksi beban berat pada memori, CPU, dan I/O dalam sistem.
  • Batas inode maksimum default telah ditingkatkan untuk partisi /dev dari 64k menjadi 1M, dan untuk partisi /tmp dari 400k menjadi 1M.
  • Pengaturan ExecSearchPath telah diusulkan untuk layanan, yang memungkinkan untuk mengubah jalur pencarian file yang dapat dieksekusi yang diluncurkan melalui pengaturan seperti ExecStart.
  • Menambahkan pengaturan RuntimeRandomizedExtraSec, yang memungkinkan Anda memasukkan deviasi acak ke dalam batas waktu RuntimeMaxSec, yang membatasi waktu eksekusi suatu unit.
  • Sintaks pengaturan RuntimeDirectory, StateDirectory, CacheDirectory, dan LogsDirectory telah diperluas, di mana dengan menentukan nilai tambahan yang dipisahkan oleh titik dua, Anda kini dapat mengatur pembuatan tautan simbolis ke direktori tertentu untuk mengatur akses di sepanjang beberapa jalur.
  • Untuk layanan, pengaturan TTYRows dan TTYColumns ditawarkan untuk mengatur jumlah baris dan kolom di perangkat TTY.
  • Menambahkan pengaturan ExitType, yang memungkinkan Anda mengubah logika untuk menentukan akhir layanan. Secara default, systemd hanya memantau matinya proses utama, tetapi jika ExitType=cgroup disetel, manajer sistem akan menunggu hingga proses terakhir di cgroup selesai.
  • Implementasi systemd-cryptsetup atas dukungan TPM2/FIDO2/PKCS11 kini juga dibangun sebagai plugin cryptsetup, memungkinkan perintah cryptsetup normal digunakan untuk membuka kunci partisi terenkripsi.
  • Pengendali TPM2 di systemd-cryptsetup/systemd-cryptsetup menambahkan dukungan untuk kunci primer RSA selain kunci ECC untuk meningkatkan kompatibilitas dengan chip non-ECC.
  • Opsi token-timeout telah ditambahkan ke /etc/crypttab, yang memungkinkan Anda menentukan waktu maksimum untuk menunggu koneksi token PKCS#11/FIDO2, setelah itu Anda akan diminta memasukkan kata sandi atau kunci pemulihan.
  • systemd-timesyncd mengimplementasikan pengaturan SaveIntervalSec, yang memungkinkan Anda menyimpan waktu sistem saat ini ke disk secara berkala, misalnya, untuk menerapkan jam monoton pada sistem tanpa RTC.
  • Opsi telah ditambahkan ke utilitas analisis sistem: “--image” dan “--root” untuk memeriksa file unit di dalam gambar atau direktori root tertentu, “--recursive-errors” untuk memperhitungkan unit dependen ketika terjadi kesalahan terdeteksi, “--offline” untuk memeriksa file unit terpisah yang disimpan ke disk, “—json” untuk output dalam format JSON, “—quiet” untuk menonaktifkan pesan yang tidak penting, “—profile” untuk mengikat ke profil portabel. Juga ditambahkan perintah inspeksi-elf untuk mengurai file inti dalam format ELF dan kemampuan untuk memeriksa file unit dengan nama unit tertentu, terlepas dari apakah nama ini cocok dengan nama file.
  • systemd-networkd telah memperluas dukungan untuk bus Controller Area Network (CAN). Pengaturan tambahan untuk mengontrol mode CAN: Loopback, OneShot, PresumeAck, dan ClassicDataLengthCode. Menambahkan opsi TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 dan DataSyncJumpWidth ke bagian [CAN] pada file .network untuk mengontrol sinkronisasi bit antarmuka CAN.
  • Systemd-networkd telah menambahkan opsi Label untuk klien DHCPv4, yang memungkinkan Anda mengonfigurasi label alamat yang digunakan saat mengonfigurasi alamat IPv4.
  • systemd-udevd untuk "ethtool" mengimplementasikan dukungan untuk nilai "maks" khusus yang menyetel ukuran buffer ke nilai maksimum yang didukung oleh perangkat keras.
  • Dalam file .link untuk systemd-udevd Anda sekarang dapat mengonfigurasi berbagai parameter untuk menggabungkan adaptor jaringan dan menghubungkan penangan perangkat keras (offload).
  • systemd-networkd menawarkan file .network baru secara default: 80-container-vb.network untuk menentukan jembatan jaringan yang dibuat saat menjalankan systemd-nspawn dengan opsi “--network-bridge” atau “--network-zone”; 80-6rd-tunnel.network untuk menentukan terowongan yang dibuat secara otomatis saat menerima respons DHCP dengan opsi 6RD.
  • Systemd-networkd dan systemd-udevd telah menambahkan dukungan untuk penerusan IP melalui antarmuka InfiniBand, di mana bagian “[IPoIB]” telah ditambahkan ke file systemd.netdev, dan pemrosesan nilai “ipoib” telah diimplementasikan dalam Jenis pengaturan.
  • systemd-networkd menyediakan konfigurasi rute otomatis untuk alamat yang ditentukan dalam parameter AllowedIPs, yang dapat dikonfigurasi melalui parameter RouteTable dan RouteMetric di bagian [WireGuard] dan [WireGuardPeer].
  • systemd-networkd menyediakan pembuatan alamat MAC yang tidak berubah secara otomatis untuk antarmuka batadv dan bridge. Untuk menonaktifkan perilaku ini, Anda dapat menentukan MACAddress=none di file .netdev.
  • Pengaturan WakeOnLanPassword telah ditambahkan ke file .link di bagian “[Link]” untuk menentukan kata sandi ketika WoL berjalan dalam mode “SecureOn”.
  • Menambahkan pengaturan AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO dan UseRawPacketSize ke bagian “[CAKE]” pada file .network untuk menentukan parameter mekanisme manajemen antrian jaringan CAKE (Common Applications Kept Enhanced) .
  • Menambahkan pengaturan IgnoreCarrierLoss ke bagian "[Jaringan]" pada file .network, memungkinkan Anda menentukan berapa lama harus menunggu sebelum bereaksi terhadap hilangnya sinyal operator.
  • Systemd-nspawn, homectl, machinectl dan systemd-run telah memperluas sintaks parameter "--setenv" - jika hanya nama variabel yang ditentukan (tanpa "="), nilainya akan diambil dari variabel lingkungan yang sesuai (untuk Misalnya, ketika menentukan "--setenv=FOO" nilai akan diambil dari variabel lingkungan $FOO dan digunakan dalam variabel lingkungan dengan nama yang sama yang ditetapkan dalam wadah).
  • systemd-nspawn telah menambahkan opsi "--suppress-sync" untuk menonaktifkan panggilan sistem sync()/fsync()/fdatasync() saat membuat container (berguna ketika kecepatan adalah prioritas dan menjaga artefak build jika terjadi kegagalan tidak penting, karena dapat dibuat ulang kapan saja).
  • Basis data hwdb baru telah ditambahkan, yang mencakup berbagai jenis penganalisis sinyal (multimeter, penganalisis protokol, osiloskop, dll.). Informasi tentang kamera di hwdb telah diperluas dengan bidang informasi tentang jenis kamera (reguler atau inframerah) dan penempatan lensa (depan atau belakang).
  • Mengaktifkan pembuatan nama antarmuka jaringan yang tidak berubah untuk perangkat netfront yang digunakan di Xen.
  • Analisis file inti oleh utilitas systemd-coredump berdasarkan perpustakaan libdw/libelf sekarang dilakukan dalam proses terpisah, diisolasi di lingkungan sandbox.
  • systemd-importd telah menambahkan dukungan untuk variabel lingkungan $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, yang dengannya Anda dapat menonaktifkan pembuatan subpartisi Btrfs, serta mengonfigurasi kuota dan sinkronisasi disk.
  • Dalam jurnal systemd, pada sistem file yang mendukung mode copy-on-write, mode COW diaktifkan kembali untuk jurnal yang diarsipkan, memungkinkan jurnal tersebut dikompresi menggunakan Btrfs.
  • systemd-journald mengimplementasikan deduplikasi bidang yang identik dalam satu pesan, yang dilakukan pada tahap sebelum menempatkan pesan di jurnal.
  • Menambahkan opsi "--show" ke perintah shutdown untuk menampilkan jadwal shutdown.

Sumber: opennet.ru

Tambah komentar