🥇שחרור של מנהל מערכת מערכת 250

לאחר חמישה חודשים של פיתוח, הוצגה המהדורה של מערכת מנהל המערכת systemd 250. המהדורה החדשה הציגה את היכולת לאחסן אישורים בצורה מוצפנת, הטמעת אימות של מחיצות GPT שזוהו אוטומטית באמצעות חתימה דיגיטלית, מידע משופר על הגורמים לעיכובים כאשר. התחלת שירותים, ונוספו אפשרויות להגבלת גישה לשירותים למערכות קבצים וממשקי רשת מסוימות, ניתנת תמיכה בניטור שלמות המחיצות באמצעות מודול dm-integrity ותמיכה בעדכון אוטומטי של sd-boot.

שינויים עיקריים:

נוספה תמיכה באישורים מוצפנים ומאומתים, שיכולה להיות שימושית לאחסון מאובטח של חומרים רגישים כגון מפתחות SSL וסיסמאות גישה. פענוח האישורים מתבצע רק בעת הצורך ובקשר להתקנה או לציוד המקומי. הנתונים מוצפנים אוטומטית באמצעות אלגוריתמי הצפנה סימטריים, שהמפתח עבורם יכול להיות ממוקם במערכת הקבצים, בשבב TPM2, או באמצעות ערכת שילוב. כאשר השירות מתחיל, האישורים מפוענחים אוטומטית והופכים לזמינים לשירות בצורתו הרגילה. כדי לעבוד עם אישורים מוצפנים, נוספה כלי השירות 'systemd-creds', וההגדרות LoadCredentialEncrypted ו-SetCredentialEncrypted הוצעו לשירותים.
sd-stub, קובץ ההפעלה של EFI המאפשר לקושחה EFI לטעון את ליבת לינוקס, תומך כעת באתחול הליבה באמצעות פרוטוקול LINUX_EFI_INITRD_MEDIA_GUID EFI. כמו כן, נוספה ל-sd-stub היכולת לארוז אישורים וקבצי sysext לתוך ארכיון cpio ולהעביר את הארכיון הזה לקרנל יחד עם ה-initrd (קבצים נוספים ממוקמים בספריית /.extra/). תכונה זו מאפשרת לך להשתמש בסביבת initrd בלתי ניתנת לאימות, משלימה על ידי sysexts ונתוני אימות מוצפנים.
מפרט המחיצות הניתנות לגילוי הורחב משמעותית, ומספק כלים לזיהוי, הרכבה והפעלה של מחיצות מערכת באמצעות GPT (GUID Partition Tables). בהשוואה למהדורות קודמות, המפרט תומך כעת במחיצת השורש ובמחיצת /usr עבור רוב הארכיטקטורות, כולל פלטפורמות שאינן משתמשות ב-UEFI.
Discoverable Partitions מוסיפה גם תמיכה עבור מחיצות ששלמותן מאומתת על ידי מודול dm-verity באמצעות חתימות דיגיטליות PKCS#7, מה שמקל על יצירת תמונות דיסק מאומתות במלואן. תמיכת אימות משולבת בכלי שירות שונים המטפלים בתמונות דיסק, כולל systemd-nspawn, systemd-sysext, systemd-dissect, שירותי RootImage, systemd-tmpfiles ו-systemd-sysusers.
ליחידות שלוקח הרבה זמן להתחיל או להפסיק, בנוסף להצגת סרגל התקדמות מונפש, ניתן להציג מידע סטטוס המאפשר להבין מה בדיוק קורה בשירות כרגע ואיזה שירות הוא מנהל המערכת כרגע מחכה להשלמה.
הוסיף את הפרמטר DefaultOOMScoreAdjust ל-/etc/systemd/system.conf ו-/etc/systemd/user.conf, המאפשר לך להתאים את סף OOM-killer עבור זיכרון נמוך, החל על תהליכים שהמערכת מתחילה עבור המערכת והמשתמשים. כברירת מחדל, משקל שירותי המערכת גבוה מזה של שירותי המשתמש, כלומר. כאשר אין מספיק זיכרון, ההסתברות להפסקת שירותי המשתמש גבוהה מזו של שירותי המערכת.
נוספה ההגדרה RestrictFileSystems, המאפשרת לך להגביל את הגישה של שירותים לסוגים מסוימים של מערכות קבצים. כדי להציג את סוגי מערכות הקבצים הזמינים, אתה יכול להשתמש בפקודה "systemd-analyze filesystems". באנלוגיה, הוטמעה אפשרות RestrictNetworkInterfaces, המאפשרת להגביל את הגישה לממשקי רשת מסוימים. ההטמעה מבוססת על מודול BPF LSM, המגביל את הגישה של קבוצת תהליכים לאובייקטי ליבה.
נוספו קובץ תצורה חדש /etc/integritytab וכלי שירות systemd-integritysetup שמגדירים את מודול dm-integrity לשלוט בשלמות הנתונים ברמת הסקטור, למשל, כדי להבטיח את הבלתי ניתנות לשינוי של נתונים מוצפנים (הצפנה מאומתת, מבטיחה שבלוק נתונים יש לא שונתה בסיבוב). הפורמט של הקובץ /etc/integritytab דומה לקבצי /etc/crypttab ו-/etc/veritytab, אלא שהשימוש ב-dm-integrity במקום dm-crypt ו-dm-verity.
התווסף קובץ יחידה חדש systemd-boot-update.service, כאשר הוא מופעל ו-sd-bootloader מותקן, systemd יעדכן אוטומטית את הגרסה של sd-bootloader, תוך שמירה על קוד טוען האתחול מעודכן תמיד. sd-boot עצמו נבנה כעת כברירת מחדל עם תמיכה במנגנון SBAT (UEFI Secure Boot Advanced Targeting), הפותר בעיות עם שלילת אישורים עבור UEFI Secure Boot. בנוסף, sd-boot מספק את היכולת לנתח את הגדרות האתחול של Microsoft Windows כדי ליצור בצורה נכונה את השמות של מחיצות האתחול עם Windows ולהציג את גרסת Windows.
sd-boot מספק גם את היכולת להגדיר ערכת צבעים בזמן הבנייה. במהלך תהליך האתחול, הוספה תמיכה לשינוי רזולוציית המסך על ידי לחיצה על מקש "r". נוסף מקש קיצור "f" כדי לעבור לממשק תצורת הקושחה. נוסף מצב לאתחול אוטומטי של המערכת התואם לפריט התפריט שנבחר במהלך האתחול האחרון. נוספה את היכולת לטעון אוטומטית מנהלי התקנים של EFI הממוקמים בספריית /EFI/systemd/drivers/ בסעיף ESP (מחיצת מערכת EFI).
כלול קובץ יחידה חדש factory-reset.target, אשר מעובד ב-systemd-login באופן דומה לפעולות אתחול, כיבוי, השעיה ו-hibernate, ומשמש ליצירת מטפלים לביצוע איפוס להגדרות היצרן.
התהליך שנפתר במערכת יוצר כעת שקע האזנה נוסף ב-127.0.0.54 בנוסף ל-127.0.0.53. בקשות המגיעות ל-127.0.0.54 מופנות תמיד לשרת DNS במעלה הזרם ואינן מעובדות באופן מקומי.
סיפק את היכולת לבנות systemd-importd ו-systemd-resolved עם ספריית OpenSSL במקום libgcrypt.
נוספה תמיכה ראשונית בארכיטקטורת LoongArch המשמשת במעבדי Loongson.
systemd-gpt-auto-generator מספק את היכולת להגדיר באופן אוטומטי מחיצות החלפה המוגדרות על ידי המערכת המוצפנות על ידי תת-המערכת LUKS2.
קוד ניתוח התמונות של GPT המשמש בכלי עזר systemd-nspawn, systemd-dissect ודומיו מיישם את היכולת לפענח תמונות עבור ארכיטקטורות אחרות, ומאפשר להשתמש ב-systemd-nspawn להפעלת תמונות על אמולטורים של ארכיטקטורות אחרות.
בעת בדיקת תמונות דיסק, systemd-dissect מציג כעת מידע על מטרת המחיצה, כגון התאמה לאתחול דרך UEFI או ריצה בקונטיינר.
השדה "SYSEXT_SCOPE" נוסף לקבצי system-extension.d/, המאפשר לך לציין את היקף תמונת המערכת - "initrd", "system" או "נייד".
שדה "PORTABLE_PREFIXES" נוסף לקובץ OS-release, שניתן להשתמש בו בתמונות ניידות כדי לקבוע קידומות נתמכות של קבצי יחידה.
systemd-logind מציג הגדרות חדשות HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress ו-HandleHibernateKeyLongPress, שניתן להשתמש בהן כדי לקבוע מה קורה כאשר מקשים מסוימים מוחזקים למשך יותר מ-5 שניות (לדוגמה, לחיצה על מקש ההשעיה כדי לעבור למצב המתנה במהירות יכולה להיות מוגדרת , וכאשר מחזיקים אותו, הוא ילך לישון).
עבור יחידות, ההגדרות StartupAllowedCPUs ו-StartupAllowedMemoryNodes מיושמות, אשר שונות מהגדרות דומות ללא קידומת ה-Start-up בכך שהן מיושמות רק בשלב האתחול והכיבוי, מה שמאפשר לך להגדיר מגבלות משאבים אחרות במהלך האתחול.
נוסף [מצב|הצהרה][זיכרון|CPU|IO]בדיקות לחץ המאפשרות לדלג על הפעלת יחידה או להיכשל אם מנגנון ה-PSI מזהה עומס רב על הזיכרון, המעבד וה-I/O במערכת.
מגבלת ה-inode המקסימלית שהוגדרה כברירת מחדל הוגדלה עבור מחיצת /dev מ-64k ל-1M, ועבור מחיצת /tmp מ-400k ל-1M.
הוצעה הגדרה של ExecSearchPath לשירותים, המאפשרת לשנות את הנתיב לחיפוש קבצי הפעלה המופעלים באמצעות הגדרות כמו ExecStart.
נוספה ההגדרה RuntimeRandomizedExtraSec, המאפשרת לך להכניס סטיות אקראיות לפסק הזמן של RuntimeMaxSec, המגביל את זמן הביצוע של יחידה.
התחביר של ההגדרות RuntimeDirectory, StateDirectory, CacheDirectory ו-LogsDirectory הורחב, שבהן על ידי ציון ערך נוסף מופרד בנקודתיים, כעת ניתן לארגן יצירת קישור סמלי לספרייה נתונה לארגון גישה לאורך מספר נתיבים.
עבור שירותים, הגדרות TTYRows ו-TTYColumns מוצעות כדי להגדיר את מספר השורות והעמודות במכשיר ה-TTY.
נוספה ההגדרה ExitType, המאפשרת לך לשנות את ההיגיון לקביעת סוף שירות. כברירת מחדל, systemd עוקבת רק אחר המוות של התהליך הראשי, אך אם מוגדר ExitType=cgroup, מנהל המערכת ימתין לסיום התהליך האחרון ב-cgroup.
ההטמעה של systemd-cryptsetup של תמיכת TPM2/FIDO2/PKCS11 בנויה כעת גם כתוסף cryptsetup, המאפשר להשתמש בפקודת cryptsetup הרגילה כדי לפתוח מחיצה מוצפנת.
המטפל TPM2 ב-systemd-cryptsetup/systemd-cryptsetup מוסיף תמיכה במפתחות RSA ראשיים בנוסף למפתחות ECC כדי לשפר את התאימות עם שבבים שאינם ECC.
אפשרות פסק הזמן של האסימון נוספה ל-/etc/crypttab, המאפשרת לך להגדיר את הזמן המקסימלי להמתנה לחיבור אסימון PKCS#11/FIDO2, ולאחר מכן תתבקש להזין סיסמה או מפתח שחזור.
systemd-timesyncd מיישמת את ההגדרה SaveIntervalSec, המאפשרת לשמור מעת לעת את זמן המערכת הנוכחי לדיסק, למשל, כדי ליישם שעון מונוטוני במערכות ללא RTC.
נוספו אפשרויות לכלי השירות systemd-analyze: "--image" ו-"--root" לבדיקת קבצי יחידה בתוך תמונה או ספריית שורש נתונה, "--recursive-errors" לצורך התחשבות ביחידות תלויות בעת שגיאה זוהה, "--offline" לבדיקת קבצי יחידה שנשמרו בדיסק בנפרד, "-json" לפלט בפורמט JSON, "-quiet" כדי להשבית הודעות לא חשובות, "-profile" כדי לאגד לפרופיל נייד. כמו כן נוספה הפקודה inspect-elf לניתוח קבצי ליבה בפורמט ELF והיכולת לבדוק קבצי יחידה עם שם יחידה נתון, ללא קשר אם שם זה תואם לשם הקובץ.
systemd-networkd הרחיבה את התמיכה באפיק Controller Area Network (CAN). נוספו הגדרות לשליטה במצבי CAN: Loopback, OneShot, PresumeAck ו-ClassicDataLengthCode. נוספו TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 ו-DataSyncJumpWidth לאפשרויות השליטה ב-[CAN] של קבצי סינכרון של קבצי [CAN].
Systemd-networkd הוסיפה אפשרות תווית עבור לקוח DHCPv4, המאפשרת לך להגדיר את תווית הכתובת המשמשת בעת הגדרת כתובות IPv4.
systemd-udevd עבור "ethtool" מיישמת תמיכה בערכי "מקסימום" מיוחדים שמגדירים את גודל המאגר לערך המרבי שנתמך על ידי החומרה.
בקבצי .link עבור systemd-udevd אתה יכול כעת להגדיר פרמטרים שונים לשילוב מתאמי רשת וחיבור מטפלי חומרה (offload).
systemd-networkd מציע קבצי .network חדשים כברירת מחדל: 80-container-vb.network להגדרת גשרי רשת שנוצרו בעת הפעלת systemd-nspawn עם האפשרויות "--network-bridge" או "--network-zone"; 80-6rd-tunnel.network להגדרת מנהרות שנוצרות אוטומטית בעת קבלת תגובת DHCP עם אפשרות 6RD.
Systemd-networkd ו-systemd-udevd הוסיפו תמיכה בהעברת IP על ממשקי InfiniBand, שעבורם הסעיף "[IPoIB]" נוסף לקבצי systemd.netdev, ועיבוד של ערך "ipoib" יושם ב-Kind הגדרה.
systemd-networkd מספקת תצורת מסלול אוטומטית עבור כתובות שצוינו בפרמטר AllowedIPs, שניתן להגדיר באמצעות הפרמטרים RouteTable ו-RouteMetric בסעיפים [WireGuard] ו-[WireGuardPeer].
systemd-networkd מספקת יצירה אוטומטית של כתובות MAC שאינן משתנות עבור ממשקי batadv ו-bridge. כדי להשבית התנהגות זו, תוכל לציין MACAddress=none בקבצי .netdev.
הגדרת WakeOnLanPassword נוספה לקבצי .link בסעיף "[קישור]" כדי לקבוע את הסיסמה כאשר WoL פועל במצב "SecureOn".
הוספת הגדרות AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO ו-UseRawPacketSize לקטע "[CAKE]" של קבצי .network כדי להגדיר את הפרמטרים של CAKE (Common Applications Kept Enhanced) .
הוספה הגדרה של IgnoreCarrierLoss לקטע "[רשת]" של קבצי .network, המאפשרת לך לקבוע כמה זמן לחכות לפני שתגיב לאובדן אות הספק.
Systemd-nspawn, homectl, machinectl ו-systemd-run הרחיבו את התחביר של הפרמטר "--setenv" - אם רק שם המשתנה צוין (ללא "="), הערך יילקח ממשתנה הסביבה המתאים (עבור לדוגמה, כאשר מציינים "--setenv=FOO" הערך יילקח ממשתנה הסביבה $FOO וישמש במשתנה הסביבה באותו שם שהוגדר במיכל).
systemd-nspawn הוסיפה אפשרות "--suppress-sync" כדי להשבית קריאות מערכת sync()/fsync()/fdatasync() בעת יצירת קונטיינר (שימושי כאשר המהירות היא בראש סדר העדיפויות ושמירה על חפצי בנייה במקרה של כשל אינו חשוב, מכיוון שניתן ליצור אותם מחדש בכל עת).
נוסף בסיס נתונים hwdb חדש הכולל סוגים שונים של מנתחי אותות (מולטימטרים, מנתחי פרוטוקולים, אוסילוסקופים ועוד). מידע על מצלמות ב-hwdb הורחב עם שדה עם מידע על סוג המצלמה (רגילה או אינפרא אדום) ומיקום העדשה (קדמית או אחורית).
יצירת יצירת שמות ממשקי רשת לא משתנים עבור התקני Netfront המשמשים ב-Xen.
הניתוח של קבצי הליבה על ידי כלי השירות systemd-coredump המבוסס על ספריות libdw/libelf מבוצע כעת בתהליך נפרד, מבודד בסביבת ארגז חול.
systemd-importd הוסיפה תמיכה במשתני הסביבה $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, שבאמצעותם ניתן להשבית את היצירה של מחיצות משנה של Btrfs, וכן להגדיר מכסות וסנכרון דיסקים.
ב-systemd-journald, במערכות קבצים התומכות במצב העתקה-על-כתיבה, מצב COW מופעל מחדש עבור יומנים בארכיון, מה שמאפשר לדחוס אותם באמצעות Btrfs.
systemd-journald מיישמת ביטול כפילות של שדות זהים בהודעה בודדת, המתבצעת בשלב שלפני הכנסת ההודעה ביומן.
נוספה אפשרות "--show" לפקודת כיבוי להצגת כיבוי מתוזמן.

מקור: OpenNet.ru

מערכת systemd גרסה 250

הוספת תגובה ביטול תגובה