ProHoster > Blog > netfréttir > Gefa út kerfisstjóra 252 með UKI (Unified Kernel Image) stuðningi

Gefa út kerfisstjóra 252 með UKI (Unified Kernel Image) stuðningi

Eftir fimm mánaða þróun var kynnt útgáfa kerfisstjórans systemd 252. Lykilbreytingin í nýju útgáfunni var samþætting stuðnings við nútímavæddu ræsiferli, sem gerir þér kleift að sannreyna ekki aðeins kjarnann og ræsiforritið, heldur einnig íhluti grunnkerfisumhverfisins með því að nota stafrænar undirskriftir.

Fyrirhuguð aðferð felur í sér notkun á sameinuðu kjarnamynd UKI (Unified Kernel Image) við hleðslu, sem sameinar meðhöndlun til að hlaða kjarnanum frá UEFI (UEFI boot stub), Linux kjarnamynd og initrd kerfisumhverfið hlaðið inn í minni, notað fyrir frumstillingu á stigi áður en rót FS er sett upp. UKI myndinni er pakkað sem einni keyrsluskrá á PE sniði, sem hægt er að hlaða með hefðbundnum ræsiforritum eða hringt beint úr UEFI vélbúnaðinum. Þegar hringt er frá UEFI er hægt að sannreyna heilleika og áreiðanleika stafrænu undirskriftarinnar, ekki aðeins kjarnans, heldur einnig innihalds initrd.

Til að reikna út færibreytur TPM PCR (Trusted Platform Module Platform Configuration Register) skrárnar sem notaðar eru til að fylgjast með heilleika og búa til stafræna undirskrift UKI myndarinnar, er ný kerfismæling. Opinbera lykilinn og meðfylgjandi PCR upplýsingar sem notaðar eru í undirskriftinni er hægt að fella beint inn í UKI ræsimyndina (lykillinn og undirskriftin eru vistuð í PE skrá í '.pcrsig' og '.pcrkey' reitunum) og dregið úr henni með utanaðkomandi eða innri veitur.

Sérstaklega hafa systemd-cryptsetup, systemd-cryptenroll og systemd-creds tólin verið aðlöguð til að nota þessar upplýsingar, sem þú getur tryggt að dulkóðuð disksneið sé bundin við stafrænt undirritaðan kjarna (í þessu tilviki aðgangur að dulkóðuðu skiptingunni er aðeins veitt ef UKI myndin hefur staðist staðfestingu með stafrænni undirskrift byggt á breytum sem staðsettar eru í TPM).

Að auki er systemd-pcrphase tólið innifalið, sem gerir þér kleift að stjórna bindingu ýmissa ræsistiga við færibreytur sem eru staðsettar í minni dulritunargjörva sem styðja TPM 2.0 forskriftina (td geturðu gert LUKS2 skiptingarlykil aðgengilegan aðeins í initrd myndina og loka fyrir aðgang að henni á síðari stigum niðurhals).

Nokkrar aðrar breytingar:

  • Tryggir að sjálfgefið svæði sé C.UTF-8 nema annað svæði sé tilgreint í stillingunum.
  • Það er nú hægt að framkvæma fullkomna þjónustuforstillingaraðgerð ("systemctl forstilling") við fyrstu ræsingu. Til að virkja forstillingar við ræsingu þarf að byggja með "-Dfirst-boot-full-preset" valkostinum, en áætlað er að það verði sjálfgefið virkt í framtíðarútgáfum.
  • Notendastjórnunareiningarnar fela í sér CPU auðlindastýringu, sem gerði það mögulegt að tryggja að CPUWeight stillingum sé beitt á allar sneiðeiningar sem notaðar eru til að skipta kerfinu í hluta (app.slice, background.slice, session.slice) til að einangra auðlindir á milli mismunandi notendaþjónustu, sem keppa um örgjörvaauðlindir. CPUWeight styður einnig „aðgerðalaus“ gildi til að virkja viðeigandi úthlutunarham.
  • Í tímabundnum („tímabundnum“) einingum og í systemd-repart tólinu er hnekkingar á stillingum leyfðar með því að búa til innfallsskrár í /etc/systemd/system/name.d/ möppunni.
  • Fyrir kerfismyndir er fáninn með stuðningi stilltur, sem ákvarðar þessa staðreynd út frá gildi nýju færibreytunnar „SUPPORT_END=“ í /etc/os-release skránni.
  • Bætt við stillingum „ConditionCredential=“ og „AssertCredential=“, sem hægt er að nota til að hunsa eða hrynja einingar ef tiltekin skilríki eru ekki til staðar í kerfinu.
  • Bætti “DefaultSmackProcessLabel=” og “DefaultDeviceTimeoutSec=” stillingum við system.conf og user.conf til að skilgreina sjálfgefið SMACK öryggisstig og einingavirkjunartíma.
  • Í stillingunum „ConditionFirmware=“ og „AssertFirmware=“ hefur möguleikanum til að tilgreina einstaka SMBIOS reiti verið bætt við, til dæmis til að ræsa einingu aðeins ef /sys/class/dmi/id/board_name reiturinn inniheldur gildið „Custom Board", geturðu tilgreint "ConditionFirmware=smbios" -field(board_name = "Custom Board")".
  • Meðan á frumstillingarferlinu stendur (PID 1) hefur getu til að flytja inn skilríki frá SMBIOS sviðum (Type 11, „OEM seljanda strengir“) verið bætt við til viðbótar við skilgreiningu þeirra í gegnum qemu_fwcfg, sem einfaldar útvegun skilríkja til sýndarvéla og útilokar þörf fyrir verkfæri frá þriðja aðila eins og cloud -init og ignition.
  • Við lokun hefur rökfræðinni fyrir aftengingu sýndarskráakerfa (proc, sys) verið breytt og upplýsingar um ferla sem hindra aftengingu skráarkerfa eru vistaðar í annálnum.
  • Kerfiskallasían (SystemCallFilter) leyfir sjálfgefið aðgang að riscv_flush_icache kerfiskallinu.
  • sd-boot ræsiforritið bætir við möguleikanum á að ræsa í blönduðum ham, þar sem 64-bita Linux kjarninn keyrir frá 32-bita UEFI fastbúnaði. Bætti við tilraunagetu til að beita SecureBoot lyklum sjálfkrafa úr skrám sem finnast í ESP (EFI system partition).
  • Nýjum valkostum hefur verið bætt við bootctl tólið: „—all-arkitektúr“ til að setja upp tvöfalda skrá fyrir alla studda EFI arkitektúra, „—root=“ og „—image=“ til að vinna með möppu eða diskamynd, „—install-source =” til að skilgreina uppruna fyrir uppsetningu, "-efi-boot-option-description=" til að stjórna nöfnum ræsifærslu.
  • 'list-automounts' skipuninni hefur verið bætt við systemctl tólið til að sýna lista yfir sjálfvirkt uppsettar möppur og "--image=" valmöguleikann til að framkvæma skipanir í tengslum við tilgreinda diskamynd. Bætti "--state=" og "--type=" valkostinum við 'show' og 'status' skipanirnar.
  • systemd-networkd bætti við valmöguleikum “TCPCongestionControlAlgorithm=” til að velja TCP þrengslustýringaralgrímið, “KeepFileDescriptor=” til að vista skráarlýsingu TUN/TAP viðmóta, “NetLabel=” til að stilla NetLabels, “RapidCommit=” til að flýta fyrir stillingum í gegnum DHCPv6 (RFC 3315). „RouteTable=“ færibreytan gerir kleift að tilgreina nöfn leiðartöflur.
  • systemd-nspawn leyfir notkun hlutfallslegra skráarslóða í "--bind=" og "--overlay=" valkostinum. Bætti við stuðningi fyrir 'rootidmap' færibreytuna við "--bind=" valmöguleikann til að binda rót notandaauðkenni í gámnum við eiganda uppsettrar skráar á hýsilhliðinni.
  • systemd-resolved notar OpenSSL sem dulkóðunarbakendi sjálfgefið (gnutls stuðningur er geymdur sem valkostur). Óstudd DNSSEC reiknirit eru nú meðhöndluð sem óörugg í stað þess að skila villu (SERVFAIL).
  • systemd-sysusers, systemd-tmpfiles og systemd-sysctl innleiða getu til að flytja stillingar í gegnum skilríkisgeymslukerfi.
  • Bætti við 'compare-versions' skipuninni við systemd-analyze til að bera saman strengi við útgáfunúmer (svipað og 'rpmdev-vercmp' og 'dpkg --compare-versions'). Bætti við möguleikanum á að sía einingar eftir grímu við 'systemd-analyze dump' skipunina.
  • Þegar fjölþrepa svefnstilling er valin (stöðva-síðan dvala) er tíminn í biðham nú valinn miðað við spá um endingu rafhlöðunnar sem eftir er. Umskipti yfir í svefnstillingu eiga sér stað þegar minna en 5% hleðsla er eftir.
  • Nýr úttakshamur "-o short-delta" hefur verið bætt við 'journalctl', sem sýnir tímamismun á milli mismunandi skilaboða í skránni.
  • systemd-repart bætir við stuðningi við að búa til skipting með Squashfs skráarkerfinu og skiptingum fyrir dm-verity, þar á meðal með stafrænum undirskriftum.
  • Bætt við "StopIdleSessionSec=" stillingu við systemd-login til að binda enda á óvirka lotu eftir tiltekinn tíma.
  • Systemd-cryptenroll hefur bætt við "--unlock-key-file=" valmöguleika til að draga afkóðunarlykilinn úr skrá frekar en að biðja notandann um.
  • Það er nú hægt að keyra systemd-growfs tólið í umhverfi án udev.
  • systemd-baklýsing hefur bættan stuðning fyrir kerfi með mörgum skjákortum.
  • Leyfinu fyrir kóðadæmin sem gefin eru upp í skjölunum hefur verið breytt úr CC0 í MIT-0.

Breytingar sem brjóta eindrægni:

  • Þegar kjarnaútgáfunúmerið er athugað með ConditionKernelVersion tilskipuninni, er nú notaður einfaldur strengjasamanburður í '=' og '!=' rekstraraðilanum, og ef samanburðaraðgerðin er alls ekki tilgreind er hægt að nota glob-mask samsvörun með því að nota stafir '*', '?' Og '[', ']'. Til að bera saman stverscmp() stílútgáfur, notaðu '<', '>', '<=' og '>=' rekstraraðila.
  • SELinux merkið sem notað er til að athuga aðgang úr einingaskrá er nú lesið á þeim tíma sem skráin er hlaðin, frekar en við aðgangsskoðun.
  • „ConditionFirstBoot“ ástandið er nú ræst við fyrstu ræsingu kerfisins aðeins beint á ræsingarstigi og skilar „false“ þegar hringt er í einingar eftir að ræsingu er lokið.
  • Árið 2024 ætlar systemd að hætta að styðja cgroup v1 auðlindatakmörkunarkerfi, sem var úrelt í kerfisútgáfu 248. Stjórnendum er bent á að gæta þess fyrirfram að flytja cgroup v2-undirstaða þjónustu yfir í cgroup v1. Lykilmunurinn á cgroups v2 og v1 er notkun á sameiginlegu cgroups stigveldi fyrir allar tegundir auðlinda, í stað aðskildra stigvelda til að úthluta CPU auðlindum, til að stjórna minnisnotkun og fyrir I/O. Aðskilin stigveldi leiða til erfiðleika við að skipuleggja samskipti milli meðhöndlunaraðila og til viðbótar kjarnakostnaðar þegar reglum er beitt fyrir ferli sem vísað er til í mismunandi stigveldum.
  • Á seinni hluta ársins 2023 ætlum við að hætta stuðningi við skipt möppustigveldi, þar sem /usr er sett upp aðskilið frá rótinni, eða /bin og /usr/bin, /lib og /usr/lib eru aðskilin.

Heimild: opennet.ru

Bæta við athugasemd