ProHoster > blog > berita internet > rilis manajer sistem systemd 246

rilis manajer sistem systemd 246

Setelah lima bulan pengembangan disajikan rilis manajer sistem systemd 246. Rilis baru ini mencakup dukungan untuk pembekuan unit, kemampuan untuk memverifikasi gambar root disk menggunakan tanda tangan digital, dukungan untuk kompresi log dan dump inti menggunakan algoritma ZSTD, kemampuan untuk membuka kunci direktori home portabel menggunakan token FIDO2, dukungan untuk membuka kunci Microsoft BitLocker partisi melalui /etc/ crypttab, BlackList telah diubah namanya menjadi DenyList.

Utama perubahan:

  • Menambahkan dukungan untuk pengontrol sumber daya freezer berdasarkan cgroups v2, yang dengannya Anda dapat menghentikan proses dan mengosongkan sementara beberapa sumber daya (CPU, I/O, dan bahkan mungkin memori) untuk melakukan tugas lain. Pembekuan dan pencairan es unit dikontrol menggunakan perintah “systemctl freeze” yang baru atau melalui D-Bus.
  • Menambahkan dukungan untuk memverifikasi image root disk menggunakan tanda tangan digital. Verifikasi dilakukan menggunakan pengaturan baru di unit layanan: RootHash (hash root untuk memverifikasi image disk yang ditentukan melalui opsi RootImage) dan RootHashSignature (tanda tangan digital dalam format PKCS#7 untuk hash root).
  • Pengendali PID 1 mengimplementasikan kemampuan untuk secara otomatis memuat aturan AppArmor yang telah dikompilasi (/etc/apparmor/earlypolicy) pada tahap boot awal.
  • Pengaturan file unit baru telah ditambahkan: ConditionPathIsEncrypted dan AssertPathIsEncrypted untuk memeriksa penempatan jalur yang ditentukan pada perangkat blok yang menggunakan enkripsi (dm-crypt/LUKS), ConditionEnvironment dan AssertEnvironment untuk memeriksa variabel lingkungan (misalnya, yang ditetapkan oleh PAM atau saat menyiapkan kontainer).
  • Untuk unit *.mount, pengaturan ReadWriteOnly telah diterapkan, yang melarang pemasangan partisi dalam mode baca-saja jika tidak memungkinkan untuk memasangnya untuk membaca dan menulis. Di /etc/fstab mode ini dikonfigurasi menggunakan opsi “x-systemd.rw-only”.
  • Untuk unit *.socket, pengaturan PassPacketInfo telah ditambahkan, yang memungkinkan kernel menambahkan metadata tambahan untuk setiap paket yang dibaca dari soket (mengaktifkan mode IP_PKTINFO, IPV6_RECVPKTINFO dan NETLINK_PKTINFO untuk soket).
  • Untuk layanan (*.unit layanan), pengaturan CoredumpFilter diusulkan (mendefinisikan bagian memori yang harus disertakan dalam core dumps) dan
    TimeoutStartFailureMode/TimeoutStopFailureMode (mendefinisikan perilaku (SIGTERM, SIGABRT atau SIGKILL) ketika batas waktu terjadi saat memulai atau menghentikan layanan).

  • Sebagian besar opsi sekarang mendukung nilai heksadesimal yang ditentukan menggunakan awalan “0x”.
  • Dalam berbagai parameter baris perintah dan file konfigurasi yang terkait dengan pengaturan kunci atau sertifikat, dimungkinkan untuk menentukan jalur ke soket unix (AF_UNIX) untuk mentransfer kunci dan sertifikat melalui panggilan ke layanan IPC ketika tidak diinginkan untuk menempatkan sertifikat pada disk yang tidak terenkripsi penyimpanan.
  • Menambahkan dukungan untuk enam penentu baru yang dapat digunakan dalam unit, tmpfiles.d/, sysusers.d/ dan file konfigurasi lainnya: %a untuk mengganti arsitektur saat ini, %o/%w/%B/%W untuk mengganti bidang dengan pengidentifikasi dari /etc/os-release dan %l untuk substitusi nama host pendek.
  • File unit tidak lagi mendukung sintaks “.include”, yang tidak digunakan lagi 6 tahun lalu.
  • Pengaturan StandardError dan StandardOutput tidak lagi mendukung nilai “syslog” dan “syslog-console”, yang akan secara otomatis dikonversi menjadi “journal” dan “journal+console”.
  • Untuk titik mount berbasis tmpfs yang dibuat secara otomatis (/tmp, /run, /dev/shm, dll.), batasan ukuran dan jumlah inode disediakan, sesuai dengan 50% ukuran RAM untuk /tmp dan /dev/ shm, dan 10% RAM untuk orang lain.
  • Menambahkan opsi baris perintah kernel baru: systemd.hostname untuk mengatur nama host pada tahap boot awal, udev.blockdev_read_only untuk membatasi semua perangkat blok yang terkait dengan drive fisik ke mode read-only (Anda dapat menggunakan perintah "blockdev --setrw" untuk membatalkan secara selektif), systemd .swap untuk menonaktifkan aktivasi otomatis partisi swap, systemd.clock-usec untuk mengatur jam sistem dalam mikrodetik, systemd.condition-needs-update dan systemd.condition-first-boot untuk mengganti ConditionNeedsUpdate dan ConditionFirstBoot pemeriksaan.
  • Secara default, sysctl fs.suid_dumpable diatur ke 2 (“suidsafe”), yang memungkinkan penyimpanan core dump untuk proses dengan flag suid.
  • File /usr/lib/udev/hwdb.d/60-autosuspend.hwdb dipinjam ke database perangkat keras dari ChromiumOS, yang mencakup informasi tentang perangkat PCI dan USB yang mendukung mode tidur otomatis.
  • Pengaturan ManageForeignRoutes telah ditambahkan ke networkd.conf, ketika diaktifkan, systemd-networkd akan mulai mengelola semua rute yang dikonfigurasi oleh utilitas lain.
  • Bagian “[SR-IOV]” telah ditambahkan ke file .network untuk mengonfigurasi perangkat jaringan yang mendukung SR-IOV (Virtualisasi I/O Root Tunggal).
  • Di systemd-networkd, pengaturan IPv4AcceptLocal telah ditambahkan ke bagian “[Jaringan]” untuk memungkinkan paket yang datang dengan alamat sumber lokal diterima di antarmuka jaringan.
  • systemd-networkd telah menambahkan kemampuan untuk mengonfigurasi disiplin prioritas lalu lintas HTB melalui [HierarchyTokenBucket] dan
    [HierarchyTokenBucketClass], "pfifo" melalui [PFIFO], "GRED" melalui [GenericRandomEarlyDetection], "SFB" melalui [StochasticFairBlue], "cake"
    melalui [CAKE], "PIE" melalui [PIE], "DRR" melalui [DeficitRoundRobinScheduler] dan
    [DeficitRoundRobinSchedulerClass], "BFIFO" melalui [BFIFO],
    "PFIFOHeadDrop" melalui [PFIFOHeadDrop], "PFIFOFast" melalui [PFIFOFast], "HHF"
    melalui [HeavyHitterFilter], "ETS" melalui [EnhancedTransmissionSelection],
    "QFQ" melalui [QuickFairQueueing] dan [QuickFairQueueingClass].

  • Di systemd-networkd, pengaturan UseGateway telah ditambahkan ke bagian [DHCPv4] untuk menonaktifkan penggunaan informasi gateway yang diperoleh melalui DHCP.
  • Di systemd-networkd, di bagian [DHCPv4] dan [DHCPServer], pengaturan SendVendorOption telah ditambahkan untuk menginstal dan memproses opsi vendor tambahan.
  • systemd-networkd mengimplementasikan serangkaian opsi EmitPOP3/POP3, EmitSMTP/SMTP dan EmitLPR/LPR baru di bagian [DHCPServer] untuk menambahkan informasi tentang server POP3, SMTP dan LPR.
  • Di systemd-networkd, di file .netdev di bagian [Bridge], pengaturan VLANProtocol telah ditambahkan untuk memilih protokol VLAN yang akan digunakan.
  • Di systemd-networkd, dalam file .network di bagian [Tautan], pengaturan Grup diterapkan untuk mengelola sekelompok tautan.
  • Pengaturan BlackList telah diubah namanya menjadi DenyList (mempertahankan penanganan nama lama untuk kompatibilitas ke belakang).
  • Systemd-networkd telah menambahkan sebagian besar pengaturan terkait IPv6 dan DHCPv6.
  • Menambahkan perintah "forcerenew" ke networkctl untuk memaksa semua pengikatan alamat diperbarui (sewa).
  • Dalam penyelesaian sistemd, dalam konfigurasi DNS, dimungkinkan untuk menentukan nomor port dan nama host untuk verifikasi sertifikat DNS-over-TLS. Implementasi DNS-over-TLS telah menambahkan dukungan untuk pengecekan SNI.
  • Systemd-resolved sekarang memiliki kemampuan untuk mengkonfigurasi pengalihan nama DNS label tunggal (single-label, dari satu nama host).
  • systemd-journald menyediakan dukungan untuk menggunakan algoritma zstd untuk mengompresi bidang besar di jurnal. Pekerjaan telah dilakukan untuk melindungi terhadap tabrakan dalam tabel hash yang digunakan dalam jurnal.
  • URL yang dapat diklik dengan link ke dokumentasi telah ditambahkan ke journalctl saat menampilkan pesan log.
  • Menambahkan pengaturan Audit ke journald.conf untuk mengontrol apakah audit diaktifkan selama inisialisasi jurnal sistem.
  • Systemd-coredump sekarang memiliki kemampuan untuk mengompresi core dump menggunakan algoritma zstd.
  • Menambahkan pengaturan UUID ke systemd-repart untuk menetapkan UUID ke partisi yang dibuat.
  • Layanan systemd-homed, yang menyediakan pengelolaan direktori home portabel, telah menambahkan kemampuan untuk membuka kunci direktori home menggunakan token FIDO2. Backend enkripsi partisi LUKS telah menambahkan dukungan untuk secara otomatis mengembalikan blok sistem file kosong ketika sesi berakhir. Menambahkan perlindungan terhadap enkripsi ganda data jika ditentukan bahwa partisi /home pada sistem sudah dienkripsi.
  • Menambahkan pengaturan ke /etc/crypttab: “keyfile-erase” untuk menghapus kunci setelah digunakan dan “try-empty-password” untuk mencoba membuka kunci partisi dengan kata sandi kosong sebelum meminta kata sandi kepada pengguna (berguna untuk memasang gambar terenkripsi dengan kata sandi yang ditetapkan setelah boot pertama, bukan saat instalasi).
  • systemd-cryptsetup menambahkan dukungan untuk membuka kunci partisi Microsoft BitLocker saat boot menggunakan /etc/crypttab. Ditambah pula kemampuan membaca
    kunci untuk membuka kunci partisi secara otomatis dari file /etc/cryptsetup-keys.d/ .key dan /run/cryptsetup-keys.d/ .kunci.

  • Menambahkan systemd-xdg-autostart-generator untuk membuat file unit dari file autostart .desktop.
  • Menambahkan perintah "reboot-to-firmware" ke "bootctl".
  • Menambahkan opsi ke systemd-firstboot: "--image" untuk menentukan image disk yang akan di-boot, "--kernel-command-line" untuk menginisialisasi file /etc/kernel/cmdline, "--root-password-hashed" untuk tentukan hash kata sandi root, dan "--delete-root-password" untuk menghapus kata sandi root.

Sumber: opennet.ru

Tambah komentar