🥇שחרור של מנהל מערכת מערכת 248

לאחר ארבעה חודשים של פיתוח, מוצגת המהדורה של מערכת מנהל מערכת systemd 248. המהדורה החדשה מספקת תמיכה בתמונות להרחבת ספריות מערכת, קובץ התצורה /etc/veritytab, כלי השירות systemd-cryptenroll, פתיחת נעילה של LUKS2 באמצעות שבבי TPM2 ו-FIDO2 אסימונים, הפעלת יחידות במרחב מזהה IPC מבודד, פרוטוקול BATMAN עבור רשתות רשת, nftables backend עבור systemd-nspawn. Systemd-oomd התייצבה.

שינויים עיקריים:

המושג של תמונות הרחבת מערכת יושם, אשר ניתן להשתמש בהן כדי להרחיב את ההיררכיה של ספריות /usr/ ו-/opt/, ולהוסיף קבצים נוספים בזמן ריצה, גם אם הספריות שצוינו מותקנות לקריאה בלבד. כאשר מותקנת תמונת הרחבת מערכת, התוכן שלה מונח על ההיררכיה /usr/ ו-/opt/ באמצעות OverlayFS.
כלי עזר חדש, systemd-sysext, הוצע לחיבור, ניתוק, הצגה ועדכון של תמונות של הרחבות מערכת. כדי לחבר אוטומטית תמונות שכבר מותקנות במהלך האתחול, שירות systemd-sysext.service נוסף. פרמטר "SYSEXT_LEVEL=" נוסף לקובץ OS-release כדי לקבוע את רמת הרחבות המערכת הנתמכות.
עבור יחידות, הוטמעה ההגדרה ExtensionImages, שניתן להשתמש בה כדי לקשר תמונות של הרחבות מערכת להיררכיית מרחב השמות של FS של שירותים בודדים מבודדים.
נוסף קובץ תצורה /etc/veritytab כדי להגדיר אימות נתונים ברמת הבלוק באמצעות מודול dm-verity. פורמט הקובץ דומה ל-/etc/crypttab - "Section_name device_for_data device_for_hashes check_hash_root options." נוספה אפשרות שורת הפקודה של הליבה systemd.verity.root_options כדי להגדיר התנהגות dm-verity עבור התקן השורש.
systemd-cryptsetup מוסיף את היכולת לחלץ את URI האסימון PKCS#11 והמפתח המוצפן מכותרת המטא-נתונים של LUKS2 בפורמט JSON, מה שמאפשר לשלב מידע על פתיחת התקן מוצפן במכשיר עצמו מבלי לערב קבצים חיצוניים.
systemd-cryptsetup מספק תמיכה לפתיחת מחיצות מוצפנות LUKS2 באמצעות שבבי TPM2 ואסימוני FIDO2, בנוסף לאסימוני PKCS#11 שנתמכו בעבר. טעינת libfido2 מתבצעת באמצעות dlopen(), כלומר. הזמינות נבדקת תוך כדי תנועה, ולא כתלות קשיחה.
אפשרויות חדשות "no-write-workqueue" ו-"no-read-workqueue" נוספו ל-/etc/crypttab עבור systemd-cryptsetup כדי לאפשר עיבוד סינכרוני של קלט/פלט המשויך להצפנה ופענוח.
כלי השירות systemd-repart הוסיף את היכולת להפעיל מחיצות מוצפנות באמצעות שבבי TPM2, למשל, כדי ליצור מחיצה מוצפנת /var באתחול הראשון.
כלי השירות systemd-cryptenroll התווסף כדי לאגד אסימוני TPM2, FIDO2 ו-PKCS#11 למחיצות LUKS, כמו גם כדי לבטל הצמדה והצגה של אסימונים, לאגד מפתחות חילוף ולהגדיר סיסמה לגישה.
הוסיף את הפרמטר PrivateIPC, המאפשר לך להגדיר את קובץ היחידה להפעיל תהליכים במרחב IPC מבודד עם מזהים נפרדים ותור הודעות נפרדים. כדי לחבר יחידה למרחב מזהה IPC שכבר נוצר, מוצעת האפשרות IPCNamespacePath.
נוספו הגדרות ExecPaths ו-NoExecPaths כדי לאפשר החלת דגל noexec על חלקים ספציפיים של מערכת הקבצים.
systemd-networkd מוסיפה תמיכה בפרוטוקול הרשת BATMAN (Better Approach To Mobile Adhoc Networking), המאפשר יצירת רשתות מבוזרות בהן כל צומת מחובר דרך צמתים שכנים. עבור תצורה, מוצעים הסעיף [BatmanAdvanced] ב-.netdev, הפרמטר BatmanAdvanced בקבצי .network וסוג התקן חדש "batadv".
היישום של מנגנון התגובה המוקדמת לזיכרון נמוך במערכת systemd-oomd יוצב. נוספה אפשרות DefaultMemoryPressureDurationSec כדי להגדיר את זמן ההמתנה לשחרור משאב לפני השפעתו על יחידה. Systemd-oomd משתמשת בתת מערכת הקרנל PSI (Pressure Stall Information) ומאפשרת לזהות הופעת עיכובים עקב מחסור במשאבים ולסיים באופן סלקטיבי תהליכים עתירי משאבים בשלב בו המערכת עדיין לא במצב קריטי ואינה להתחיל לחתוך באופן אינטנסיבי את המטמון ולעקוף נתונים למחיצת החלפה.
נוסף פרמטר שורת הפקודה של הקרנל "root=tmpfs", המאפשר לך לעלות את מחיצת השורש באחסון זמני הממוקם ב-RAM באמצעות Tmpfs.
הפרמטר /etc/crypttab המציין את קובץ המפתח יכול כעת להצביע על סוגי שקעים AF_UNIX ו-SOCK_STREAM. במקרה זה, יש לתת את המפתח בעת החיבור לשקע, שבאמצעותו, למשל, ניתן ליצור שירותים המנפיקים מפתחות באופן דינמי.
כעת ניתן להגדיר את שם המארח החלופי לשימוש מנהל המערכת ו-systemd-hostnamed בשתי דרכים: דרך הפרמטר DEFAULT_HOSTNAME ב-os-release ודרך משתנה הסביבה $SYSTEMD_DEFAULT_HOSTNAME. systemd-hostnamed מטפל גם ב-"localhost" בשם המארח ומוסיף את היכולת לייצא את שם המארח וכן את המאפיינים "HardwareVendor" ו-"HardwareModel" באמצעות DBus.
כעת ניתן להגדיר את הבלוק עם משתני סביבה חשופים דרך האפשרות החדשה ManagerEnvironment ב-system.conf או user.conf, ולא רק דרך שורת הפקודה של הליבה והגדרות קובץ היחידה.
בזמן הקומפילציה, אפשר להשתמש בקריאה למערכת fexecve() כדי להתחיל תהליכים במקום execve() כדי לצמצם את ההשהיה בין בדיקת הקשר האבטחה להחלתו.
עבור קבצי יחידה, נוספו פעולות מותנות חדשות ConditionSecurity=tpm2 ו-ConditionCPUFeature כדי לבדוק את נוכחותם של התקני TPM2 ויכולות CPU בודדות (לדוגמה, ניתן להשתמש ב-ConditionCPUFeature=rdrand כדי לבדוק אם המעבד תומך בפעולת RDRAND).
עבור גרעינים זמינים, הוטמע יצירה אוטומטית של טבלאות קריאות מערכת עבור מסנני seccomp.
נוספה את היכולת להחליף רכיבי חיבור חדשים למרחבי שמות קיימים של שירותים, מבלי להפעיל מחדש את השירותים. ההחלפה מתבצעת עם הפקודות 'systemctl bind ...' ו-'systemctl mount-image …'.
נוספה תמיכה לציון נתיבים בהגדרות StandardOutput ו-StandardError בצורה "קטוע: » לניקוי לפני השימוש.
נוספה את היכולת ליצור חיבור להפעלה של משתמש מסוים בתוך קונטיינר מקומי ל-sd-bus. לדוגמה "systemctl -user -M lennart@ start quux".
הפרמטרים הבאים מיושמים בקבצי systemd.link בקטע [קישור]:
- מופקר - מאפשר לך להעביר את המכשיר למצב "מופקר" כדי לעבד את כל מנות הרשת, כולל אלה שאינן ממוענות למערכת הנוכחית;
- TransmitQueues ו-ReeiveQueues להגדרת מספר תורי TX ו-RX;
- TransmitQueueLength כדי להגדיר את גודל תור ה-TX; GenericSegmentOffloadMaxBytes ו-GenericSegmentOffloadMaxSegment לקביעת מגבלות לשימוש בטכנולוגיית GRO (Generic Receive Offload).
הגדרות חדשות נוספו לקבצי systemd.network:
- [רשת] RouteTable לבחירת טבלת ניתוב;
- [RoutingPolicyRule] הקלד עבור סוג הניתוב ("חור שחור, "לא ניתן להגיע", "לאסור");
- [IPv6AcceptRA] RouteDenyList ו-RouteAllowList לרשימות של פרסומות מסלולים מותרים ודחויים;
- [DHCPv6] השתמש בכתובות כדי להתעלם מהכתובת שהונפקה על ידי DHCP;
- [DHCPv6PrefixDelegation] ManageTemporaryAddress;
- ActivationPolicy כדי להגדיר את המדיניות לגבי פעילות הממשק (שמור תמיד במצב UP או DOWN או לאפשר למשתמש לשנות מצבים עם הפקודה "ip link set dev").
נוספו אפשרויות פרוטוקול [VLAN], IngressQOSMaps, EgressQOSMaps ו-[MACVLAN] BroadcastMulticastQueueLength לקבצי systemd.netdev כדי להגדיר עיבוד מנות VLAN.
הפסיק להעלות את ספריית /dev/ במצב noexec מכיוון שהיא גורמת להתנגשות בעת שימוש בדגל ההפעלה עם קבצי /dev/sgx. כדי להחזיר את ההתנהגות הישנה, אתה יכול להשתמש בהגדרה NoExecPaths=/dev.
הרשאות הקובץ /dev/vsock שונו ל-0o666, והקבצים /dev/vhost-vsock ו-/dev/vhost-net הועברו לקבוצת kvm.
מסד הנתונים של מזהי החומרה הורחב עם קוראי טביעות אצבע מסוג USB התומכים בצורה נכונה במצב שינה.
תמיכה נוספת בפתרון systemd להנפקת תגובות לשאילתות DNSSEC באמצעות פותר סתימות. לקוחות מקומיים יכולים לבצע אימות DNSSEC על עצמם, בעוד שלקוחות חיצוניים מועברים ללא שינוי לשרת ה-DNS האב.
הוסיפה את האפשרות CacheFromLocalhost ל-resolved.conf, כאשר היא מוגדרת, systemd-resolved ישתמש במטמון גם עבור קריאות לשרת ה-DNS ב-127.0.0.1 (כברירת מחדל, שמירה במטמון של בקשות כאלה מושבתת כדי למנוע שמירה כפולה במטמון).
systemd-resolved מוסיף תמיכה עבור RFC-5001 NSIDs בפותר ה-DNS המקומי, ומאפשר ללקוחות להבדיל בין אינטראקציות עם הפותר המקומי לבין שרת DNS אחר.
כלי השירות resolvectl מיישם את היכולת להציג מידע על מקור הנתונים (מטמון מקומי, בקשת רשת, תגובת מעבד מקומי) ושימוש בהצפנה בעת העברת נתונים. האפשרויות --cache, --synthesize, --network, --zone, --trust-anchor ו--validate מסופקות כדי לשלוט בתהליך קביעת השם.
systemd-nspawn מוסיף תמיכה להגדרת חומת אש באמצעות nftables בנוסף לתמיכה הקיימת ב-iptables. הגדרת IPMasquerade ב-systemd-networkd הוסיפה את היכולת להשתמש ב-backend מבוסס nftables.
systemd-localed הוסיפה תמיכה לקריאה של locale-gen כדי ליצור מקומות חסרים.
אפשרויות --pager/-no-pager/-json= נוספו לכלי שירות שונים כדי להפעיל/לבטל את מצב ההחלפה ופלט בפורמט JSON. נוספה את היכולת להגדיר את מספר הצבעים המשמשים בטרמינל באמצעות משתנה הסביבה SYSTEMD_COLORS ("16" או "256").
המבנה עם היררכיות ספריות נפרדות (פיצול / ו /usr) ותמיכה ב-cgroup v1 הוצא משימוש.
סניף המאסטר ב-Git שונה מ'מאסטר' ל'ראשי'.

מקור: OpenNet.ru

מערכת systemd גרסה 248

הוספת תגובה ביטול תגובה