ProHoster > Блог > ozi ịntanetị > Sistemụ njikwa sistemụ 243

Sistemụ njikwa sistemụ 243

Mgbe ọnwa ise nke mmepe ọkọnọ mwepụta njikwa njikwa Ezi 243. N'ime ihe ọhụrụ a, anyị nwere ike ịhụ ntinye n'ime PID 1 nke onye na-ahụ maka ebe nchekwa dị ala na sistemụ, nkwado maka itinye mmemme BPF nke gị maka nzacha okporo ụzọ, ọtụtụ nhọrọ ọhụrụ maka sistemụ netwọkụ, ọnọdụ maka nyochaa bandwidth nke netwọkụ. interfaces, na-enyere ya aka na ndabara na sistemụ 64-bit 22-bit PID nọmba kama ịbụ 16-bit, mgbanwe gaa na otu ndị otu jikọtara ọnụ, ntinye na sistemụ netwọk-netwọk.

Isi mgbanwe:

  • Nkwenye nke akara kernel sitere na ebe nchekwa adịghị (Out-Of-Memory, OOM) agbakwunyere na onye na-ahụ maka PID 1 iji nyefee nkeji ndị ruru oke oriri ebe nchekwa gaa na steeti pụrụ iche nwere ikike nhọrọ ịmanye ha ịkwụsị. ma ọ bụ kwụsị;
  • Maka faịlụ otu, paramita ọhụrụ IPIngressFilterPath na
    IPEgressFilterPath, nke na-enye gị ohere ijikọ mmemme BPF na ndị na-ahụ maka aka ike iji nyochaa ngwugwu IP na-abata na nke na-apụ apụ sitere na usoro ejikọtara na ngalaba a. Atụmatụ ndị a tụrụ aro na-enye gị ohere ịmepụta ụdị firewall maka ọrụ sistemu. Ịde ihe atụ ntanetị netwọk dị mfe dabere na BPF;

  • Agbakwunyere iwu "dị ọcha" na sistemu sistemu iji hichapụ cache, faịlụ oge ịgba ọsọ, ozi ọkwa na akwụkwọ ndekọ aha;
  • systemd-networkd na-agbakwụnye nkwado maka MACsec, nlmon, IPVTAP na Xfrm netwọk netwọk;
  • systemd-networkd na-arụ ọrụ nhazi dị iche iche nke DHCPv4 na DHCPv6 stacks site na ngalaba "[DHCPv4]" na "[DHCPv6]" na faịlụ nhazi. Agbakwunyere nhọrọ RoutesToDNS ka ịgbakwunye ụzọ dị iche na sava DNS akọwapụtara na paramita enwetara site na sava DHCP (ka e wee ziga okporo ụzọ na DNS site na otu njikọ ahụ dị ka ụzọ isi enweta site na DHCP). Agbakwunyela nhọrọ ọhụrụ maka DHCPv4: MaxAttempts - ọnụ ọgụgụ kachasị nke arịrịọ iji nweta adreesị, BlackList - ndepụta ojii nke sava DHCP, SendRelease - mee ka izipu ozi DHCP KWESỊRỊ mgbe nnọkọ ahụ kwụsịrị;
  • Agbakwunyela iwu ọhụrụ na akụrụngwa nyocha-systemd:
    • "Sistemụ-nyochaa timestamp" - ntule oge na ntụgharị;
    • "usoro-nyochaa oge" - nyocha na ịtụgharị oge;
    • “System-nyocha ọnọdụ” - ntule na ịnwale okwu ConditionXYZ;
    • “systemd-analyze exit-status” - nyocha na ịtụgharị koodu ọpụpụ site na ọnụọgụ gaa na aha na ọzọ;
    • "systemd-analyze unit-files" - Depụtara ụzọ faịlụ niile maka nkeji na utu aha otu.
  • Nhọrọ SuccessExitStatus, Malitegharịa PreventExitStatus na
    RestartForceExitStatus na-akwado ọ bụghị naanị koodu nloghachi, kamakwa ihe nchọpụta ederede ha (dịka ọmụmaatụ, "DATAERR"). Ị nwere ike ịlele ndepụta koodu ekenyere ihe nchọpụta site na iji iwu "sytemd-analyze exit-status";

  • Agbakwunyela iwu "ehichapụ" na netwọkctl iji ihichapụ ngwaọrụ netwọk mebere, yana nhọrọ "-stats" iji gosipụta ọnụ ọgụgụ ngwaọrụ;
  • Agbakwunyela ntọala SpeedMeter na SpeedMeterIntervalSec na networkd.conf maka ịlele ntinye nke ntanetị netwọkụ kwa oge. Enwere ike ịlele ọnụọgụ enwetara site na nsonaazụ nha na mmepụta nke iwu 'networkctl status';
  • Agbakwunyere akụrụngwa sistemụd-netwọk-generator maka imepụta faịlụ
    netwọkụ, .netdev na .njikọ dabere na ntọala IP gafere mgbe ewepụtara ya site na ahịrị iwu Linux kernel na usoro ntọala Dracut;

  • A na-edozi uru sysctl "kernel.pid_max" na sistemụ 64-bit na ndabara na 4194304 (22-bit PID kama 16-bits), nke na-ebelata ohere nke esemokwu mgbe ị na-ekenye PID, na-abawanye njedebe na ọnụ ọgụgụ nke n'out oge. usoro na-agba ọsọ, ma nwee mmetụta dị mma na nchekwa. Mgbanwe ahụ nwere ike ịkpata nsogbu ndakọrịta, mana ekwupụtabeghị okwu ndị dị otú ahụ na omume;
  • Site na ndabara, usoro ihe nrụpụta na-agbanwe gaa na cgroups-v2 jikọtara ọnụ ("-Ddefault-hierarchy=unified"). Na mbụ, ndabara bụ ụdị ngwakọ (“-Ddefault-hierarchy=ngwakọ”);
  • Agbanwewo omume nke nzacha oku nke sistemu (SystemCallFilter), nke, n'ihe gbasara oku usoro amachibidoro, na-akwụsị usoro ahụ dum, karịa eriri nke ọ bụla, ebe ọ bụ na ịkwụsị eri nke ọ bụla nwere ike ibute nsogbu na-enweghị atụ. Mgbanwe a na-emetụta naanị ma ọ bụrụ na ị nwere Linux kernel 4.14+ na libseccomp 2.4.0+;
  • A na-enye mmemme ndị na-enweghị ihe ọ bụla ikike izipu ngwugwu ICMP Echo (ping) site na ịtọ sysctl "net.ipv4.ping_group_range" maka ụdị dị iche iche (maka usoro niile);
  • Iji mee ka usoro iwu dị ngwa ngwa, a kwụsịrị na ndabara ọgbọ nke akwụkwọ ntuziaka mmadụ (iji wuo akwụkwọ zuru ezu, ịkwesịrị iji nhọrọ "-Dman = ezi" ma ọ bụ "-Dhtml = eziokwu" maka akwụkwọ ntuziaka na usoro html). Iji mee ka ọ dịkwuo mfe ilele akwụkwọ ahụ, a na-agụnye edemede abụọ: wuo / nwoke / nwoke na wuo / nwoke / html maka ịmepụta na ịhụchalụ akwụkwọ ntuziaka nke mmasị;
  • Iji hazie ngalaba aha na mkpụrụedemede sitere na mkpụrụedemede mba, a na-eji ọbá akwụkwọ libidn2 na ndabara (iji weghachi libidn, jiri nhọrọ “-Dlibidn=ezigbo”);
  • Nkwado maka /usr/sbin/halt.local executable faịlụ, nke nyere ọrụ nke na-ekesachaghị na nkesa, akwụsịla. Iji hazie mmalite nke iwu mgbe emechibidoro, a na-atụ aro ka iji scripts na /usr/lib/systemd/system-shutdown/ ma ọ bụ kọwaa otu ọhụrụ nke dabere na final.target;
  • N'oge ikpeazụ nke mmechi, systemd ugbu a na-abawanye ọkwa log na sysctl "kernel.printk", nke na-edozi nsogbu ahụ site na igosipụta na ihe omume ndekọ nke mere na njedebe ikpeazụ nke mmechi, mgbe deemons ndekọ oge niile emechaala. ;
  • Na journalctl na ụlọ ọrụ ndị ọzọ na-egosipụta ndekọ, ịdọ aka ná ntị na-apụta ìhè na edo edo, na ndekọ ndekọ nyocha na-apụta ìhè na-acha anụnụ anụnụ iji gosipụta ha anya site na igwe mmadụ;
  • Na mgbanwe gburugburu $PATH, ụzọ bin / ugbu a na-abịa n'ihu ụzọ sbin/, i.e. ọ bụrụ na enwere aha faịlụ ndị nwere ike ime na akwụkwọ ndekọ aha abụọ ahụ, a ga-egbu faịlụ sitere na bin/;
  • systemd-logind na-enye oku SetBrightness() iji gbanwee nchapụta ihuenyo n'enweghị nsogbu na oge ọ bụla;
  • Agbakwunyela ọkọlọtọ "-wait-for-initialization" na iwu "udevadm info" ka chere ka ngwaọrụ ahụ malite;
  • N'oge buut sistemu, onye na-ahụ maka PID 1 na-egosiputa aha nkeji karịa ahịrị nwere nkọwa ha. Ka ịlaghachi na omume gara aga, ị nwere ike iji nhọrọ StatusUnitFormat na /etc/systemd/system.conf ma ọ bụ systemd.status_unit_format kernel nhọrọ;
  • agbakwunyere nhọrọ KExecWatchdogSec na /etc/systemd/system.conf maka nchedog PID 1, nke na-akọwapụta oge agwụla maka ịmalitegharịa iji kexec. Ntọala ochie
    ShutdownWatchdogSec ka akpọgharịrị aha ka ọ bụrụ RebootWatchdogSec ma kọwaa oge ezumike maka ọrụ n'oge mmechi ma ọ bụ ịmalitegharị nkịtị;

  • Agbakwunyela nhọrọ ọhụrụ maka ọrụ Ọnọdụ, nke na-enye gị ohere ịkọwapụta iwu nke a ga-eme tupu ExecStartPre. Dabere na koodu njehie ahụ nke iwu ahụ weghachiri, a na-eme mkpebi na mmezu nke ngalaba ahụ - ọ bụrụ na eweghachite koodu 0, mwepụta nke otu ahụ na-aga n'ihu, ma ọ bụrụ na site na 1 ruo 254 ọ na-akwụsị nwayọ na-enweghị ọkọlọtọ ọdịda, ma ọ bụrụ na 255 ọ kwụsịrị na ọkọlọtọ ọdịda;
  • Agbakwunyere ọrụ ọhụrụ systemd-pstore.service iji wepụ data sitere na sys/fs/pstore/ na site na ịchekwa na /var/lib/pstore maka nyocha ọzọ;
  • agbakwunyere iwu ọhụrụ na timedatectl maka ịhazi NTP paramita maka systemd-timesyncd n'ihe metụtara oghere netwọk;
  • Iwu "localectl list-locales" anaghị egosipụtakwa mpaghara ndị ọzọ karịa UTF-8;
  • Gbaa mbọ hụ na a na-eleghara mperi ọrụ mgbanwe na sysctl.d/ faịlụ ma ọ bụrụ na aha agbanwe agbanwe na-amalite na agwa “-“;
  • ọrụ systemd-random-seed.ọrụ ugbu a bụ ọrụ zuru oke maka ịmalite ọdọ mmiri entropy nke Linux kernel pseudorandom number generator. Ekwesịrị ịmalite ọrụ ndị chọrọ mmalite nke ọma /dev/urandom mgbe systemd-random-seed.service;
  • Sistemu-boot bootloader na-enye ikike nhọrọ ịkwado faịlụ mkpụrụ na usoro enweghị usoro na EFI System Partition (ESP);
  • Agbakwunyela iwu ọhụrụ na bootctl utility: "bootctl random-seed" iji mepụta faịlụ mkpụrụ na ESP na "bootctl is-installed" iji lelee ntinye nke bootloader boot-boot. Agbanwekwara bootctl iji gosipụta ịdọ aka ná ntị gbasara ndenye buut ahaziri ezighi ezi (dịka ọmụmaatụ, mgbe ehichapụrụ ihe oyiyi kernel, mana a hapụrụ ntinye maka nbudata ya);
  • Na-enye nhọrọ akpaka nke nkebi swap mgbe sistemụ na-abanye n'ọnọdụ ụra. A na-ahọrọ nkebi ahụ dabere na mkpa ahaziri maka ya, na n'ihe gbasara ihe ndị dị mkpa, ọnụ ọgụgụ nke ohere efu;
  • Nhọrọ igodo-oge agbakwunyere na /etc/crypttab ka ịtọ oge ole ngwaọrụ nwere igodo ezoro ezo ga-echere tupu ịkpalite paswọọdụ ịbanye na nkebi ezoro ezo;
  • agbakwunyere nhọrọ IOWeight iji tọọ ịdị arọ I/O maka onye nhazi BFQ;
  • systemd-resolved agbakwunyere ọnọdụ 'siri ike' maka DNS-over-TLS wee mejuputa ikike nke cache naanị nzaghachi DNS dị mma ("Cache no-negative" na resolved.conf);
  • Maka VXLAN, systemd-networkd agbakwunyela nhọrọ GenericProtocolExtension iji mee ka ndọtị protocol VXLAN dị. Maka VXLAN na GENEVE, agbakwunyere nhọrọ IPDoNotFragment iji tọọ ọkọlọtọ mmachi nkewa maka ngwugwu ọpụpụ;
  • Na systemd-networkd, na ngalaba “[Ụzọ]”, nhọrọ FastOpenNoCookie apụtala iji mee ka usoro maka imepe njikọ TCP ngwa ngwa (TFO - TCP Fast Open, RFC 7413) n'ihe metụtara ụzọ onye ọ bụla, yana nhọrọ TTLPropagate. iji hazie TTL LSP (Label Switched Path). Nhọrọ "Ụdị" na-enye nkwado maka mpaghara, mgbasa ozi, ihe nkedo ọ bụla, multicast, nke ọ bụla na xresolve routing modes;
  • Systemd-networkd na-enye nhọrọ DefaultRouteOnDevice na ngalaba "[Network]" iji hazie ụzọ ndabara na-akpaghị aka maka ngwaọrụ netwọk enyere;
  • Systemd-networkd agbakwunyela ProxyARP na
    ProxyARPWifi maka ịtọ omume proxy ARP, MulticastRouter maka ịtọ ntọala ntụgharị na ọnọdụ multicast, MulticastIGMPVersion maka ịgbanwe ụdị IGMP (Internet Group Management Protocol) maka multicast;

  • Systemd-networkd agbakwunyela nhọrọ Mpaghara, Peer na PeerPort maka ọwara FooOverUDP iji hazie adreesị IP mpaghara na nke dịpụrụ adịpụ, yana nọmba ọdụ ụgbọ mmiri netwọk. Maka tunnels TUN, agbakwunyere nhọrọ VnetHeader iji hazie nkwado GSO (Generic Segment Offload);
  • Na systemd-networkd, na .network na .link faịlụ na ngalaba [Match], apụtala nhọrọ Ngwongwo, nke na-enye gị ohere ịchọpụta ngwaọrụ site na njirimara ha kpọmkwem na udev;
  • Na sistemu-netwọk, etinyela nhọrọ AssignToLoopback maka tunnels, nke na-achịkwa ma e kenyere njedebe nke ọwara na ngwaọrụ loopback “lo”;
  • systemd-networkd na-arụ ọrụ na-akpaghị aka na ngwugwu IPv6 ma ọ bụrụ na egbochiri ya site na sysctl disable_ipv6 - IPv6 na-arụ ọrụ ma ọ bụrụ na akọwapụtara ntọala IPv6 (static ma ọ bụ DHCPv6) maka netwọk netwọk, ma ọ bụghị ya, uru sysctl edobere adịghị agbanwe;
  • Na faịlụ netwọkụ .net, nhọrọ KeepConfiguration edochila ntọala CriticalConnection, nke na-enye ọtụtụ ụzọ maka ịkọwapụta ọnọdụ (“ee”, “static”, “dhcp-on-stop”, “dhcp”) nke sistemụ netwọkụ kwesịrị. emetụla njikọ dị adị mgbe mmalite;
  • Edoziri adịghị ike CVE-2019-15718, kpatara site na enweghị njikwa ohere na interface D-Bus nke edozichara. Okwu a na-enye onye ọrụ na-enweghị ohere ịrụ ọrụ nke dị naanị ndị nchịkwa, dị ka ịgbanwee ntọala DNS na iduzi ajụjụ DNS na ihe nkesa rogue;
  • Edoziri adịghị ike CVE-2019-9619metụtara enweghị ike pam_systemd maka nnọkọ anaghị emekọrịta ihe, nke na-enye ohere ịmegharị nnọkọ nọ n'ọrụ.

isi: opennet.ru

Tinye a comment