מערכת systemd גרסה 243

לאחר חמישה חודשים של פיתוח הציג שחרור מנהל המערכת במקום 243. בין החידושים, אנו יכולים לציין את השילוב ב-PID 1 של מטפל לזיכרון נמוך במערכת, תמיכה בצירוף תוכניות BPF משלך לסינון תעבורת יחידות, אפשרויות חדשות רבות עבור systemd-networkd, מצב לניטור רוחב הפס של הרשת ממשקים, המאפשרים כברירת מחדל במערכות 64 סיביות מספרי PID של 22 סיביות במקום 16 סיביות, מעבר להיררכיית cgroups מאוחדת, הכללה ב-systemd-network-generator.

שינויים עיקריים:

• זיהוי של אותות שנוצרו על ידי ליבה בערך מחוץ לזיכרון (Out-Of-Memory, OOM) נוסף למטפל PID 1 כדי להעביר יחידות שהגיעו למגבלת צריכת הזיכרון למצב מיוחד עם יכולת אופציונלית לאלץ אותן להפסיק או להפסיק;
• עבור קבצי יחידה, פרמטרים חדשים IPIngressFilterPath ו
  IPEgressFilterPath, המאפשר לך לחבר תוכניות BPF עם מטפלים שרירותיים כדי לסנן מנות IP נכנסות ויוצאות שנוצרות על ידי תהליכים הקשורים ליחידה זו. התכונות המוצעות מאפשרות לך ליצור סוג של חומת אש עבור שירותי מערכת. דוגמה לכתיבה מסנן רשת פשוט המבוסס על BPF;

• הפקודה "נקה" נוספה לכלי השירות systemctl כדי למחוק את המטמון, קבצי זמן הריצה, מידע סטטוס וספריות יומן;
• systemd-networkd מוסיף תמיכה בממשקי רשת MACsec, nlmon, IPVTAP ו-Xfrm;
• systemd-networkd מיישמת תצורה נפרדת של ערימות DHCPv4 ו-DHCPv6 דרך הסעיפים "[DHCPv4]" ו-"[DHCPv6]" בקובץ התצורה. נוספה אפשרות RoutesToDNS להוספת מסלול נפרד לשרת ה-DNS שצוין בפרמטרים המתקבלים משרת ה-DHCP (כך שתעבורה ל-DNS נשלחת דרך אותו קישור כמו המסלול הראשי המתקבל מה-DHCP). נוספו אפשרויות חדשות עבור DHCPv4: MaxAttempts - מספר מקסימלי של בקשות לקבלת כתובת, BlackList - רשימה שחורה של שרתי DHCP, SendRelease - מאפשרים שליחת הודעות DHCP RELEASE עם סיום ההפעלה;
• פקודות חדשות נוספו לכלי השירות systemd-analyze:
  • "systemd-analyze timestamp" - ניתוח זמן והמרה;
  • "זמן שיטת אנליזה" - ניתוח והמרה של פרקי זמן;
  • "תנאי systemd-analyze" - ניתוח ובדיקה של ביטויי ConditionXYZ;
  • "systemd-analyze exit-status" - ניתוח והמרת קודי יציאה ממספרים לשמות ולהיפך;
  • "systemd-analyze unit-files" - מפרט את כל נתיבי הקבצים עבור יחידות וכינוי יחידות.
• אפשרויות SuccessExitStatus, RestartPreventExitStatus ו
  RestartForceExitStatus תומך כעת לא רק בקודי החזרה מספריים, אלא גם במזהי הטקסט שלהם (לדוגמה, "DATAERR"). אתה יכול להציג את רשימת הקודים שהוקצו למזהים באמצעות הפקודה "sytemd-analyze exit-status";

• הפקודה "מחק" נוספה לכלי השירות networkctl למחיקת התקני רשת וירטואליים, כמו גם האפשרות "-stats" להצגת סטטיסטיקות מכשירים;
• הגדרות SpeedMeter ו-SpeedMeterIntervalSec נוספו ל-networkd.conf למדידה תקופתית של התפוקה של ממשקי רשת. ניתן לראות נתונים סטטיסטיים המתקבלים מתוצאות המדידה בפלט של הפקודה 'networkctl status';
• נוסף כלי עזר חדש systemd-network-generator להפקת קבצים
  .network, .netdev ו-.link בהתבסס על הגדרות IP שהועברו בעת ההשקה באמצעות שורת הפקודה ליבת לינוקס בפורמט הגדרות Dracut;

• ערך sysctl "kernel.pid_max" במערכות 64 סיביות מוגדר כעת כברירת מחדל ל-4194304 (22 סיביות PID במקום 16 סיביות), מה שמפחית את הסבירות להתנגשויות בעת הקצאת PIDs, מגדיל את המגבלה על מספר ה-PID בו-זמנית הפעלת תהליכים, ויש לה השפעה חיובית על האבטחה. השינוי עלול להוביל לבעיות תאימות, אך בעיות כאלה טרם דווחו בפועל;
• כברירת מחדל, שלב הבנייה עובר להיררכיה המאוחדת cgroups-v2 ("-Ddefault-hierarchy=unified"). בעבר, ברירת המחדל הייתה מצב היברידי ("-Ddefault-hierarchy=hybrid");
• ההתנהגות של מסנן קריאות המערכת (SystemCallFilter) שונתה, אשר במקרה של קריאת מערכת אסורה, מפסיק כעת את התהליך כולו, ולא שרשורים בודדים, שכן סיום שרשורים בודדים עלול להוביל לבעיות בלתי צפויות. השינויים חלים רק אם יש לך ליבת Linux 4.14+ ו-libsecomp 2.4.0+;
• לתוכניות ללא פריבילגיה ניתנת היכולת לשלוח מנות ICMP Echo (ping) על ידי הגדרת sysctl "net.ipv4.ping_group_range" עבור כל מגוון הקבוצות (עבור כל התהליכים);
• כדי להאיץ את תהליך הבנייה, היצירה של מדריכים לאדם הופסק כברירת מחדל (כדי לבנות תיעוד מלא, עליך להשתמש באפשרות "-Dman=true" או "-Dhtml=true" עבור מדריכים בפורמט html). כדי להקל על הצפייה בתיעוד, שני סקריפטים כלולים: build/man/man ו-build/man/html להפקה ותצוגה מקדימה של מדריכים בעלי עניין;
• כדי לעבד שמות מתחם עם תווים מאלפבית לאומי, ספריית libidn2 משמשת כברירת מחדל (כדי להחזיר את libidn, השתמש באפשרות "-Dlibidn=true");
• התמיכה בקובץ ההפעלה /usr/sbin/halt.local, שסיפק פונקציונליות שלא הופצה באופן נרחב בהפצות, הופסקה. כדי לארגן את השקת הפקודות בעת כיבוי, מומלץ להשתמש בסקריפטים ב- /usr/lib/systemd/system-shutdown/ או להגדיר יחידה חדשה שתלויה ב-final.target;
• בשלב האחרון של הכיבוי, systemd מעלה כעת אוטומטית את רמת היומן ב-sysctl "kernel.printk", מה שפותר את הבעיה עם הצגת ביומן אירועים שהתרחשו בשלבים המאוחרים יותר של הכיבוי, כאשר דמוני הרישום הרגילים כבר הושלמו ;
• ב-journalctl ובכלי שירות אחרים המציגים יומנים, אזהרות מסומנות בצהוב, ורשומות ביקורת מסומנות בכחול כדי להדגיש אותן ויזואלית מהקהל;
• במשתנה הסביבה $PATH, הנתיב ל-bin/ מגיע כעת לפני הנתיב ל-sbin/, כלומר. אם יש שמות זהים של קבצי הפעלה בשתי הספריות, הקובץ מ-bin/ יבוצע;
• systemd-logind מספקת קריאה ל-SetBrightness() כדי לשנות בבטחה את בהירות המסך על בסיס כל הפעלה;
• הדגל "--wait-for-initialization" נוסף לפקודה "udevadm info" כדי להמתין לאתחול המכשיר;
• במהלך אתחול המערכת, המטפל PID 1 מציג כעת את שמות היחידות במקום שורה עם התיאור שלהן. כדי לחזור להתנהגות קודמת, אתה יכול להשתמש באפשרות StatusUnitFormat ב- /etc/systemd/system.conf או באפשרות הקרנל systemd.status_unit_format;
• נוספה אפשרות KExecWatchdogSec ל-/etc/systemd/system.conf עבור Watchdog PID 1, המציין את פסק הזמן להפעלה מחדש באמצעות kexec. תפאורה ישנה
  שם ShutdownWatchdogSec שונה ל-RebootWatchdogSec ומגדיר פסק זמן עבור עבודות במהלך כיבוי או הפעלה מחדש רגילה;

• נוספה אפשרות חדשה לשירותים ExecCondition, המאפשר לך לציין פקודות שיבוצעו לפני ExecStartPre. בהתבסס על קוד השגיאה שהוחזר על ידי הפקודה, מתקבלת החלטה על המשך ביצוע של היחידה - אם קוד 0 מוחזר, השקת היחידה ממשיכה, אם מ-1 עד 254 היא מסתיימת בשקט ללא דגל כשל, אם 255 היא מסתיימת עם דגל כישלון;
• נוסף שירות חדש systemd-pstore.service כדי לחלץ נתונים מ-sys/fs/pstore/ ומשמירה ב-/var/lib/pstore לניתוח נוסף;
• פקודות חדשות נוספו לכלי השירות timedatectl להגדרת פרמטרי NTP עבור systemd-timesyncd ביחס לממשקי רשת;
• הפקודה "localectl list-locales" כבר לא מציגה מקומות אחרים מלבד UTF-8;
• מבטיח שמתעלמים משגיאות הקצאת משתנים בקבצי sysctl.d/ אם שם המשתנה מתחיל בתו "-";
• שירות systemd-random-seed.service כעת הוא אחראי לחלוטין לאתחול מאגר האנטרופיה של מחולל המספרים הפסאודו-אקראיים של ליבת לינוקס. יש להפעיל שירותים הדורשים אתחול /dev/urandom לאחר systemd-random-seed.service;
• טוען האתחול systemd-boot מספק את היכולת האופציונלית לתמוך קובץ זרעים עם רצף אקראי במחיצת מערכת EFI (ESP);
• פקודות חדשות נוספו לכלי השירות bootctl: "bootctl random-seed" כדי ליצור קובץ זריעה ב-ESP ו-"bootctl is-installed" כדי לבדוק את ההתקנה של systemd-boot loader. bootctl הותאם גם להצגת אזהרות לגבי תצורה שגויה של ערכי האתחול (לדוגמה, כאשר תמונת הליבה נמחקת, אך הערך לטעינתה נשאר);
• מספק בחירה אוטומטית של מחיצת ההחלפה כאשר המערכת עוברת למצב שינה. המחיצה נבחרת בהתאם לעדיפות שהוגדרה עבורה, ובמקרה של סדרי עדיפויות זהים, כמות השטח הפנוי;
• נוספה אפשרות פסק זמן של קובץ מפתח ל-/etc/crypttab כדי להגדיר כמה זמן המכשיר עם מפתח ההצפנה ימתין לפני שיבקש סיסמה כדי לגשת למחיצה המוצפנת;
• נוספה אפשרות IOWeight להגדרת משקל הקלט/פלט עבור מתזמן ה-BFQ;
• systemd-resolved מוסיף מצב הפעלה 'קפדני' עבור DNS-over-TLS ומיישמת את היכולת לאחסן תגובות DNS חיוביות בלבד ("Cache no-negative" ב-resolved.conf);
• עבור VXLAN, systemd-networkd הוסיפה אפשרות GenericProtocolExtension כדי לאפשר הרחבות פרוטוקול VXLAN. עבור VXLAN ו-GENEVE, נוספה האפשרות IPDoNotFragment כדי להגדיר את דגל איסור הפיצול עבור מנות יוצאות;
• ב-systemd-networkd, בסעיף "[נתיב]", הופיעה אפשרות FastOpenNoCookie כדי לאפשר את המנגנון לפתיחה מהירה של חיבורי TCP (TFO - TCP Fast Open, RFC 7413) ביחס למסלולים בודדים, כמו גם את אפשרות TTLPropagate כדי להגדיר TTL LSP (Label Switched Path). אפשרות ה-"Type" מספקת תמיכה במצבי ניתוב מקומי, שידור, Anycast, Multicast, כל ו-xresolve;
• Systemd-networkd מציעה אפשרות DefaultRouteOnDevice בסעיף "[רשת]" כדי להגדיר באופן אוטומטי מסלול ברירת מחדל עבור התקן רשת נתון;
• Systemd-networkd הוסיפה את ProxyARP ו
  ProxyARPWifi להגדרת התנהגות פרוקסי ARP, MulticastRouter לקביעת פרמטרי ניתוב במצב ריבוי שידור, MulticastIGMPVersion לשינוי גרסת IGMP (Internet Group Management Protocol) למולטי שידור;

• Systemd-networkd הוסיפה אפשרויות Local, Peer ו-PeerPort עבור מנהרות FooOverUDP כדי להגדיר את כתובות ה-IP המקומיות והמרוחקות, כמו גם את מספר יציאת הרשת. עבור מנהרות TUN, נוספה אפשרות VnetHeader כדי להגדיר תמיכה ב-GSO (Generic Segment Offload);
• ב-systemd-networkd, בקבצי .network ו-.link בקטע [Match], הופיעה אפשרות Property, המאפשרת לזהות מכשירים לפי המאפיינים הספציפיים שלהם ב-udev;
• ב-systemd-networkd, נוספה אפשרות AssignToLoopback עבור מנהרות, השולטת אם קצה המנהרה מוקצה למכשיר הלולאה "lo";
• systemd-networkd מפעיל אוטומטית את מחסנית ה-IPv6 אם היא נחסמת באמצעות sysctl disable_ipv6 - IPv6 מופעל אם הגדרות IPv6 (סטטיות או DHCPv6) מוגדרות עבור ממשק הרשת, אחרת ערך sysctl שהוגדר כבר לא משתנה;
• בקבצי .network, ההגדרה CriticalConnection הוחלפה באפשרות KeepConfiguration, המספקת אמצעים נוספים להגדרת מצבים ("כן", "סטטי", "dhcp-on-stop", "dhcp") שבהם systemd-networkd צריך לא לגעת בחיבורים קיימים בעת ההפעלה;
• פגיעות תוקנה CVE-2019-15718, שנגרם עקב חוסר בקרת גישה לממשק D-Bus נפתרה במערכת. הבעיה מאפשרת למשתמש חסר הרשאות לבצע פעולות הזמינות רק למנהלי מערכת, כגון שינוי הגדרות DNS והפניית שאילתות DNS לשרת נוכל;
• פגיעות תוקנה CVE-2019-9619קשור לאי הפעלת pam_systemd עבור הפעלות לא אינטראקטיביות, מה שמאפשר זיוף של הפגישה הפעילה.

מקור: OpenNet.ru