ProHoster > Blog > netfréttir > systemd kerfisstjóri útgáfa 243

systemd kerfisstjóri útgáfa 243

Eftir fimm mánaða þróun fram útgáfu kerfisstjóra kerfi 243. Meðal nýjunga getum við tekið eftir samþættingu í PID 1 meðhöndlunar fyrir lítið minni í kerfinu, stuðning við að tengja við eigin BPF forrit til að sía einingaumferð, fjölmarga nýja valkosti fyrir systemd-networkd, háttur til að fylgjast með bandbreidd netkerfisins. viðmót, sem gerir sjálfgefið kleift á 64-bita kerfum 22-bita PID-númer í stað 16-bita, umskipti yfir í sameinað cgroups stigveldi, innlimun í systemd-network-generator.

Helstu breytingar:

  • Viðurkenningu kjarnamyndaðra merkja um að það sé ekki minni (Out-Of-Memory, OOM) hefur verið bætt við PID 1 meðhöndlunina til að flytja einingar sem hafa náð minnisnotkunarmörkum í sérstakt ástand með valfrjálsu getu til að þvinga þær til að hætta eða hætta;
  • Fyrir einingaskrár, nýjar breytur IPIngressFilterPath og
    IPEgressFilterPath, sem gerir þér kleift að tengja BPF forrit við handahófskennda meðhöndlun til að sía komandi og útleiðandi IP pakka sem myndast af ferlum sem tengjast þessari einingu. Fyrirhugaðir eiginleikar gera þér kleift að búa til eins konar eldvegg fyrir kerfisþjónustu. Ritunardæmi einföld netsía byggð á BPF;

  • „Clean“ skipuninni hefur verið bætt við systemctl tólið til að eyða skyndiminni, keyrsluskrám, stöðuupplýsingum og annálaskrám;
  • systemd-networkd bætir við stuðningi við MACsec, nlmon, IPVTAP og Xfrm netviðmót;
  • systemd-networkd útfærir aðskilda uppsetningu á DHCPv4 og DHCPv6 stafla í gegnum „[DHCPv4]“ og „[DHCPv6]“ hlutana í stillingarskránni. Bætti við valkostinum RoutesToDNS til að bæta við sérstakri leið við DNS-þjóninn sem tilgreindur er í breytunum sem berast frá DHCP-þjóninum (svo að umferð á DNS-netið sé send í gegnum sama tengil og aðalleiðin sem berast frá DHCP). Nýjum valkostum hefur verið bætt við fyrir DHCPv4: MaxAttempts - hámarksfjöldi beiðna um að fá heimilisfang, BlackList - svartur listi yfir DHCP netþjóna, SendRelease - gerir kleift að senda DHCP RELEASE skilaboð þegar lotunni lýkur;
  • Nýjum skipunum hefur verið bætt við systemd-analyze tólið:
    • "systemd-analyze timestamp" - tímagreining og umbreyting;
    • "systemd-analyze timespan" - greining og umbreyting á tímabilum;
    • "systemd-analyze condition" - þáttun og prófun ConditionXYZ tjáningar;
    • "systemd-analyze exit-status" - þátta og umbreyta útgöngukóðum úr tölum í nöfn og öfugt;
    • "systemd-analyze unit-files" - Listar allar skráarslóðir fyrir einingar og einingasamnefni.
  • Valkostir SuccessExitStatus, RestartPreventExitStatus og
    RestartForceExitStatus styður nú ekki aðeins tölulega skilkóða, heldur einnig textaauðkenni þeirra (til dæmis „DATAERR“). Þú getur skoðað lista yfir kóða sem úthlutað er auðkennum með því að nota "sytemd-analyze exit-status" skipunina;

  • „Delete“ skipuninni hefur verið bætt við networkctl tólinu til að eyða sýndarnetstækjum, sem og „—stats“ valmöguleikanum til að birta tölfræði tækja;
  • SpeedMeter og SpeedMeterIntervalSec stillingum hefur verið bætt við networkd.conf til að mæla afköst netviðmóta reglulega. Tölfræði sem fæst úr mæliniðurstöðum er hægt að skoða í úttakinu á 'networkctl status' skipuninni;
  • Bætt við nýju tóli systemd-network-generator til að búa til skrár
    .network, .netdev og .link byggt á IP stillingum sem sendar eru þegar þær eru ræstar í gegnum Linux kjarna skipanalínuna á Dracut stillingarsniði;

  • Sysctl "kernel.pid_max" gildið á 64 bita kerfum er nú sjálfgefið stillt á 4194304 (22 bita PID í stað 16 bita), sem dregur úr líkum á árekstrum þegar PID er úthlutað, eykur takmörk á fjölda samtímis ferla í gangi og hefur jákvæð áhrif á öryggi. Breytingin gæti hugsanlega leitt til samhæfnisvandamála, en ekki hefur enn verið greint frá slíkum vandamálum í reynd;
  • Sjálfgefið er að byggingarstigið skiptir yfir í sameinað stigveldið cgroups-v2 ("-Ddefault-hierarchy=unified"). Áður var sjálfgefið blendingur (“-Ddefault-hierarchy=hybrid”);
  • Hegðun kerfiskallasíunnar (SystemCallFilter) hefur verið breytt, sem, ef um er að ræða bönnuð kerfiskall, stöðvar nú allt ferlið, frekar en einstaka þræði, þar sem að slíta einstaka þræði gæti leitt til ófyrirsjáanlegra vandamála. Breytingarnar eiga aðeins við ef þú ert með Linux kjarna 4.14+ og libsecomp 2.4.0+;
  • Forrit án forréttinda fá möguleika á að senda ICMP Echo (ping) pakka með því að stilla sysctl "net.ipv4.ping_group_range" fyrir allt svið hópa (fyrir alla ferla);
  • Til að flýta fyrir smíðaferlinu hefur sjálfgefið verið að stöðva gerð handbóka fyrir mann (til að búa til öll skjöl þarftu að nota valkostinn “-Dman=true” eða “-Dhtml=true” fyrir handbækur á html sniði). Til að gera það auðveldara að skoða skjölin eru tvö forskrift innifalin: build/man/man og build/man/html til að búa til og forskoða áhugaverðar handbækur;
  • Til að vinna úr lénsnöfnum með stöfum úr innlendum stafrófum er libidn2 bókasafnið sjálfgefið notað (til að skila libidn, notaðu "-Dlibidn=true" valkostinn);
  • Stuðningur við /usr/sbin/halt.local keyrsluskrána, sem gaf virkni sem var ekki dreift almennt í dreifingum, hefur verið hætt. Til að skipuleggja ræsingu skipana þegar slökkt er á, er mælt með því að nota forskriftir í /usr/lib/systemd/system-shutdown/ eða skilgreina nýja einingu sem fer eftir final.target;
  • Á síðasta stigi lokunarinnar eykur systemd nú sjálfkrafa skráningarstigið í sysctl „kernel.printk“, sem leysir vandamálið við að birta atburði í skránni sem áttu sér stað á síðari stigum lokunar, þegar venjulegu skráningarpúkarnir hafa þegar lokið ;
  • Í journalctl og öðrum tólum sem sýna logs eru viðvaranir auðkenndar með gulu og endurskoðunarfærslur eru auðkenndar með bláu til að auðkenna þær sjónrænt úr hópnum;
  • Í $PATH umhverfisbreytunni kemur slóðin að bin/ nú á undan sbin/, þ.e. ef það eru eins nöfn á keyranlegum skrám í báðum möppum, verður skráin frá bin/ keyrð;
  • systemd-login veitir SetBrightness() kall til að breyta birtustigi skjásins á öruggan hátt á hverri lotu;
  • „--bíða eftir frumstillingu“ fánanum hefur verið bætt við „udevadm info“ skipunina til að bíða eftir að tækið frumstilli;
  • Við ræsingu kerfisins sýnir PID 1 stjórnandi nú nöfn eininga í stað línu með lýsingu þeirra. Til að snúa aftur til fyrri hegðunar geturðu notað StatusUnitFormat valkostinn í /etc/systemd/system.conf eða systemd.status_unit_format kjarnavalkostinn;
  • Bætti KExecWatchdogSec valkostinum við /etc/systemd/system.conf fyrir varðhundur PID 1, sem tilgreinir tímamörk fyrir endurræsingu með kexec. Gömul umgjörð
    ShutdownWatchdogSec hefur verið endurnefnt í RebootWatchdogSec og skilgreinir tímamörk fyrir störf við lokun eða venjulega endurræsingu;

  • Nýr valkostur hefur verið bætt við fyrir þjónustu ExecCondition, sem gerir þér kleift að tilgreina skipanir sem verða keyrðar á undan ExecStartPre. Á grundvelli villukóðans sem skipunin skilar er tekin ákvörðun um frekari framkvæmd einingarinnar - ef kóða 0 er skilað heldur ræsing einingarinnar áfram, ef frá 1 til 254 lýkur það hljóðlaust án bilunarfána, ef 255 endar það með bilunarfáni;
  • Bætti við nýrri þjónustu systemd-pstore.service til að draga gögn úr sys/fs/pstore/ og frá vistun í /var/lib/pstore til frekari greiningar;
  • Nýjum skipunum hefur verið bætt við timedatectl tólið til að stilla NTP færibreytur fyrir systemd-timesyncd í tengslum við netviðmót;
  • "localectl list-locales" skipunin sýnir ekki lengur staðsetningar aðrar en UTF-8;
  • Tryggir að breytuúthlutunarvillur í sysctl.d/ skrám séu hunsaðar ef breytuheitið byrjar á stafnum „-“;
  • Service systemd-random-seed.service er nú alfarið ábyrgur fyrir því að frumstilla óreiðupottinn í Linux kjarna gervi-slembitölugjafa. Þjónusta sem krefst rétt frumstillts /dev/urandom ætti að vera ræst eftir systemd-random-seed.service;
  • Systemd-boot ræsiforritið veitir valfrjálsan möguleika til að styðja fræ skrá með handahófskenndri röð í EFI System Partition (ESP);
  • Nýjum skipunum hefur verið bætt við bootctl tólið: „bootctl random-seed“ til að búa til fræskrá í ESP og „bootctl is-installed“ til að athuga uppsetningu systemd-boot ræsiforritsins. bootctl hefur einnig verið stillt til að sýna viðvaranir um rangar stillingar á ræsifærslum (til dæmis þegar kjarnamyndinni er eytt, en færslan til að hlaða henni er eftir);
  • Veitir sjálfvirkt val á skiptingunni þegar kerfið fer í svefnham. Skiptingin er valin eftir forganginum sem er stillt fyrir hana, og ef um er að ræða eins forgangsröðun, magn laust pláss;
  • Bætti við valmöguleika fyrir tímamörk lykilskrár við /etc/crypttab til að stilla hversu lengi tækið með dulkóðunarlyklinum bíður áður en beðið er um lykilorð til að fá aðgang að dulkóðuðu skiptingunni;
  • Bætti við IOWeight valkostinum til að stilla I/O þyngd fyrir BFQ tímaáætlunina;
  • systemd-resolved bætti við „stöngum“ ham fyrir DNS-yfir-TLS og útfærði möguleikann á að vista aðeins jákvæð DNS-svörun í skyndiminni ("Cache no-neikative" í resolved.conf);
  • Fyrir VXLAN hefur systemd-networkd bætt við GenericProtocolExtension valmöguleika til að virkja VXLAN samskiptareglur viðbætur. Fyrir VXLAN og GENEVE hefur IPDoNotFragment valmöguleikanum verið bætt við til að stilla bannfánann fyrir sundrungu fyrir sendandi pakka;
  • Í systemd-networkd, í hlutanum „[Route]“, hefur FastOpenNoCookie valmöguleikinn birst til að virkja vélbúnaðinn til að opna TCP tengingar fljótt (TFO - TCP Fast Open, RFC 7413) í tengslum við einstakar leiðir, sem og TTLPropagate valkostinn til að stilla TTL LSP (Label Switched Path ). Valmöguleikinn „Type“ veitir stuðning fyrir staðbundnar, útvarps-, anycast-, multicast-, hvaða og xresolve-leiðarstillingar;
  • Systemd-networkd býður upp á DefaultRouteOnDevice valmöguleika í „[Network]“ hlutanum til að stilla sjálfkrafa sjálfgefna leið fyrir tiltekið nettæki;
  • Systemd-networkd hefur bætt við ProxyARP og
    ProxyARPWifi til að stilla proxy ARP hegðun, MulticastRouter til að stilla leiðarfæribreytur í multicast ham, MulticastIGMPVersion til að breyta IGMP (Internet Group Management Protocol) útgáfunni fyrir multicast;

  • Systemd-networkd hefur bætt við Local, Peer og PeerPort valkostum fyrir FooOverUDP göng til að stilla staðbundin og ytri IP vistföng, svo og netgáttarnúmerið. Fyrir TUN göng hefur VnetHeader valkostinum verið bætt við til að stilla GSO (Generic Segment Offload) stuðning;
  • Í systemd-networkd, í .network og .link skrám í [Match] hlutanum, hefur eiginleika valkostur birst, sem gerir þér kleift að bera kennsl á tæki með sérstökum eiginleikum þeirra í udev;
  • Í systemd-networkd hefur AssignToLoopback valmöguleika verið bætt við fyrir göng, sem stjórnar því hvort enda ganganna sé úthlutað til loopback tækisins “lo”;
  • systemd-networkd virkjar IPv6 stafla sjálfkrafa ef hann er lokaður í gegnum sysctl disable_ipv6 - IPv6 er virkjuð ef IPv6 stillingar (statískar eða DHCPv6) eru skilgreindar fyrir netviðmótið, annars breytist þegar stillt sysctl gildi ekki;
  • Í .network skrám hefur CriticalConnection stillingunni verið skipt út fyrir KeepConfiguration valmöguleikann, sem veitir fleiri leiðir til að skilgreina aðstæður („já“, „static“, „dhcp-on-stop“, „dhcp“) þar sem systemd-networkd ætti að ekki snerta núverandi tengingar við ræsingu;
  • Varnarleysi lagað CVE-2019-15718, af völdum skorts á aðgangsstýringu að D-Bus viðmótinu systemd-leyst. Vandamálið gerir notanda án forréttinda að framkvæma aðgerðir sem eru aðeins í boði fyrir stjórnendur, svo sem að breyta DNS stillingum og beina DNS fyrirspurnum til fantur netþjóns;
  • Varnarleysi lagað CVE-2019-9619tengt því að virkja ekki pam_systemd fyrir ekki gagnvirkar lotur, sem leyfir skopstælingu virku lotunnar.

Heimild: opennet.ru

Bæta við athugasemd