מערכת systemd גרסה 249

לאחר שלושה חודשי פיתוח מוצגת ההפצה של מנהל המערכת systemd 249. המהדורה החדשה מספקת אפשרות להגדיר משתמשים/קבוצות בפורמט JSON, מייצבת את פרוטוקול Journal, מפשטת את הארגון של טעינת מחיצות דיסק עוקבות, מוסיפה יכולת ל-Journal. לקשר בין תוכניות BPF לשירותים, ולהטמיע מיפוי מזהים של משתמשים במחיצות מותקנות, מוצעים חלק גדול מהגדרות רשת חדשות והזדמנויות להפעלת קונטיינרים.

שינויים עיקריים:

• פרוטוקול היומן מתועד וניתן להשתמש בו בלקוחות במקום פרוטוקול syslog עבור מסירה מקומית של רשומות יומן. פרוטוקול ה-Journal מיושם במשך זמן רב וכבר נמצא בשימוש בספריות לקוחות מסוימות, אולם התמיכה הרשמית בו הוכרזה רק זה עתה.
• Userdb ו-nss-systemd מספקים תמיכה לקריאת הגדרות משתמש נוספות הממוקמות בספריות /etc/userdb/, /run/userdb/, /run/host/userdb/ ו-/usr/lib/userdb/, המצוינות בפורמט JSON. יצוין כי תכונה זו תספק מנגנון נוסף ליצירת משתמשים במערכת, ויספק לה אינטגרציה מלאה עם NSS ו-/etc/shadow. תמיכת JSON עבור ערכי משתמש/קבוצה תאפשר גם לצרף הגדרות שונות של ניהול משאבים והגדרות אחרות למשתמשים ש-pam_systemd ו-systemd-login מזהים.
• nss-systemd מספק סינתזה של ערכי משתמש/קבוצה ב-/etc/shadow באמצעות סיסמאות גיבוב מ-systemd-homed.
• הוטמע מנגנון המפשט את ארגון העדכונים באמצעות מחיצות דיסק המחליפות זו את זו (מחיצה אחת פעילה, והשנייה רזרבי - העדכון מועתק למחיצת החילוף ולאחר מכן הוא הופך להיות פעיל). אם יש שתי מחיצות שורש או /usr בתמונת הדיסק, ו-udev לא זיהה את נוכחותו של הפרמטר 'root=', או שהוא מעבד תמונות דיסק שצוינו באמצעות האפשרות "--image" ב-systemd-nspawn ו-systemd -לנתח כלי עזר, ניתן לחשב את מחיצת האתחול על ידי השוואת תוויות GPT (בהנחה שתווית GPT מזכירה את מספר הגרסה של תוכן המחיצה ו-systemd יבחר את המחיצה עם השינויים האחרונים).
• לקבצי השירות נוספה הגדרה של BPFProgram, שבאמצעותה ניתן לארגן את הטעינה של תוכניות BPF לתוך הליבה ולנהל אותן עם קשירה לשירותי מערכת ספציפיים.
• Systemd-fstab-generator ו-systemd-repart מוסיפים את היכולת לאתחל מדיסקים שיש להם רק מחיצת /usr וללא מחיצת שורש (מחיצת השורש תיווצר על ידי systemd-repart במהלך האתחול הראשון).
• ב-systemd-nspawn, האפשרות "--private-user-chown" הוחלפה באפשרות הגנרית יותר "--private-user-ownership", שיכולה לקבל ערכי "chown" כמקבילה של "-- private-user-chown", "כבוי" כדי להשבית את ההגדרה הישנה, ​​"מפה" למיפוי מזהי משתמש במערכות קבצים רכובות ו"אוטומטי" כדי לבחור "מפה" אם הפונקציונליות הנדרשת קיימת בליבה (5.12+) או לחזור אחורה לקריאה רקורסיבית ל"צ'ון" אחרת. באמצעות מיפוי, ניתן למפות קבצים של משתמש אחד על מחיצה זרה מותקנת למשתמש אחר במערכת הנוכחית, מה שמקל על שיתוף קבצים בין משתמשים שונים. במנגנון הספריות הביתיות הניידות של systemd-homed, המיפוי יאפשר למשתמשים להעביר את הספריות הביתיות שלהם למדיה חיצונית ולהשתמש בהן במחשבים שונים שאין להם פריסת משתמש זהה.
• ב-systemd-nspawn, האפשרות "--private-user" יכולה כעת להשתמש בערך "זהות" כדי לשקף ישירות מזהי משתמש בעת הגדרת מרחב שמות משתמש, כלומר. UID 0 ו-UID 1 בקונטיינר יבואו לידי ביטוי ב-UID 0 ו-UID 1 בצד המארח, כדי לצמצם את וקטורי ההתקפה (המיכל יקבל רק יכולות תהליך במרחב השמות שלו).
• האפשרות "--bind-user" נוספה ל-systemd-nspawn כדי להעביר חשבון משתמש הקיים בסביבת המארח לקונטיינר (הספרייה הביתית מוכנסת לקונטיינר, הוספת ערך משתמש/קבוצה ומיפוי UID מבוצע בין המיכל לבין הסביבה המארחת).
• systemd-ask-password ו-systemd-sysusers הוסיפו תמיכה לבקשת סיסמאות מוגדרות (passwd.hashed-password. ו-passwd.plaintext-password.) תוך שימוש במנגנון שהוצג ב-systemd 247 להעברת נתונים רגישים בצורה מאובטחת באמצעות קבצי ביניים בספרייה נפרדת. כברירת מחדל, אישורים מתקבלים מהתהליך עם PID1, שמקבל אותם, למשל, ממנהל ניהול המכולות, המאפשר לך להגדיר את סיסמת המשתמש באתחול הראשון.
• systemd-firstboot מוסיף תמיכה בשימוש בהעברה מאובטחת של מנגנון נתונים רגישים לשאילתה של פרמטרים שונים של מערכת, אשר ניתן להשתמש בהם כדי לאתחל הגדרות מערכת בעת האתחול הראשון של תמונת מיכל שאין לה את ההגדרות הדרושות בספריית /etc.
• תהליך PID 1 מבטיח שגם שם היחידה וגם תיאור מוצגים במהלך האתחול. אתה יכול לשנות את הפלט באמצעות הפרמטר "StatusUnitFormat=combined" ב-system.conf או אפשרות שורת הפקודה של הליבה "systemd.status-unit-format=combined"
• האפשרות "--image" נוספה לכלי השירות systemd-machine-id-setup ו-systemd-repart כדי להעביר קובץ עם מזהה מחשב לתמונת דיסק או כדי להגדיל את הגודל של תמונת דיסק.
• פרמטר MakeDirectories נוסף לקובץ תצורת המחיצות המשמש את כלי השירות systemd-repart, אשר ניתן להשתמש בו כדי ליצור ספריות שרירותיות במערכת הקבצים שנוצרה לפני שישתקפו בטבלת המחיצות (לדוגמה, ליצירת ספריות עבור נקודות הרכבה ב- מחיצת השורש כך שתוכל להעלות מיד את המחיצה במצב קריאה בלבד). כדי לשלוט בדגלי GPT בקטעים שנוצרו, נוספו הפרמטרים המתאימים של Flags, ReadOnly ו-NoAuto. לפרמטר CopyBlocks יש ערך "אוטומטי" כדי לבחור אוטומטית את מחיצת האתחול הנוכחית כמקור בעת העתקת בלוקים (לדוגמה, כאשר אתה צריך להעביר מחיצת שורש משלך למדיה חדשה).
• GPT מיישמת את דגל ה-"grow-file-system", הדומה לאפשרות ה-x-systemd.growfs mount ומספקת הרחבה אוטומטית של גודל ה-FS לגבולות התקן הבלוק אם גודל ה-FS קטן מהמחיצה. הדגל חל על מערכות קבצים Ext3, XFS ו-Btrfs, וניתן להחיל אותו על מחיצות שזוהו אוטומטית. הדגל מופעל כברירת מחדל עבור מחיצות ניתנות לכתיבה שנוצרו אוטומטית באמצעות systemd-repart. האפשרות GrowFileSystem נוספה כדי להגדיר את הדגל ב-systemd-repart.
• הקובץ /etc/os-release מספק תמיכה למשתנים חדשים של IMAGE_VERSION ו-IMAGE_ID כדי לקבוע את הגרסה והמזהה של תמונות מעודכנות אטומית. המפרטים %M ו-%A מוצעים להחליף ערכים שצוינו בפקודות שונות.
• הפרמטר "--extension" נוסף לכלי השירות portablelectl להפעלת תמונות הרחבות מערכת ניידות (לדוגמה, דרכן ניתן להפיץ תמונות עם שירותים נוספים המשולבים במחיצת השורש).
• כלי השירות systemd-coredump מספק חילוץ של מידע מזהה build של ELF בעת יצירת dump ליבה של תהליך, דבר שיכול להיות שימושי לקביעה לאיזו חבילה שייך תהליך כושל אם נבנה מידע על השם והגרסה של חבילות deb או rpm לתוך קבצי ה-ELF.
• בסיס חומרה חדש עבור התקני FireWire (IEEE 1394) נוסף ל-udev.
• ב-udev, נוספו שלושה שינויים לסכימת בחירת שמות ממשק הרשת "net_id" שמפרים את התאימות לאחור: תווים שגויים בשמות הממשק מוחלפים כעת ב-"_"; שמות חריצי PCI Hotplug עבור מערכות s390 מעובדים בצורה הקסדצימלית; השימוש של עד 65535 התקני PCI מובנים מותר (קודם לכן נחסמו מספרים מעל 16383).
• systemd-resolved מוסיף את התחום "home.arpa" לרשימת ה-NTA (Negative Trust Anchors), המומלצת עבור רשתות ביתיות מקומיות, אך אינה בשימוש ב-DNSSEC.
• הפרמטר CPUAffinity מספק ניתוח של מפרטי "%".
• פרמטר ManageForeignRoutingPolicyRules נוסף לקבצי .network, אשר ניתן להשתמש בו כדי לא לכלול systemd-networkd מעיבוד מדיניות ניתוב של צד שלישי.
• הפרמטר RequiredFamilyForOnline נוסף לקבצי ".network" כדי לקבוע נוכחות של כתובת IPv4 או IPv6 כסימן לכך שממשק הרשת נמצא במצב "מקוון". Networkctl מספק תצוגה של הסטטוס "מקוון" עבור כל קישור.
• פרמטר OutgoingInterface נוסף לקבצי .network כדי להגדיר ממשקים יוצאים בעת הגדרת גשרי רשת.
• פרמטר קבוצה נוסף לקבצי ".network", המאפשר לך להגדיר קבוצת Multipath עבור ערכים בקטע "[NextHop]".
• נוספו אפשרויות "-4" ו-"-6" ל-systemd-network-wait-online כדי להגביל את ההמתנה לחיבור ל-IPv4 או IPv6 בלבד.
• פרמטר RelayTarget נוסף להגדרות שרת DHCP, אשר מעביר את השרת למצב DHCP Ralay. עבור תצורה נוספת של ממסר DHCP, האפשרויות RelayAgentCircuitId ו- RelayAgentRemoteId מוצעות.
• הפרמטר ServerAddress נוסף לשרת DHCP, ומאפשר לך להגדיר במפורש את כתובת ה-IP של השרת (אחרת הכתובת נבחרת אוטומטית).
• שרת ה-DHCP מיישם את הסעיף [DHCPServerStaticLease], המאפשר לך להגדיר כריכות כתובות סטטיות (חכירות DHCP), תוך ציון חיבורי IP קבועים לכתובות MAC ולהיפך.
• ההגדרה RestrictAddressFamilies תומכת בערך "ללא", מה שאומר שלשירות לא תהיה גישה לשקעים של משפחת כתובות כלשהי.
• בקבצי ".network" בסעיפים [Address], [DHCPv6PrefixDelegation] ו-[IPv6Prefix] מיושמת תמיכה בהגדרת RouteMetric, המאפשרת לך לציין את המדד עבור קידומת המסלול שנוצרה עבור הכתובת שצוינה.
• nss-myhostname ו-systemd-resolved מספקים סינתזה של רשומות DNS עם כתובות למארחים עם שם מיוחד "_outbound", שעבורו תמיד מונפקת IP מקומי, שנבחר בהתאם למסלולי ברירת המחדל המשמשים לחיבורים יוצאים.
• בקבצי .network, בסעיף "[DHCPv4]", נוספה הגדרת ברירת מחדל פעילה RoutesToNTP, המחייבת הוספת נתיב נפרד דרך ממשק הרשת הנוכחי כדי לגשת לכתובת שרת ה-NTP המתקבלת עבור ממשק זה באמצעות DHCP (בדומה ל-DNS , ההגדרה מאפשרת להבטיח שתעבורה לשרת ה-NTP תנותב דרך הממשק שדרכו התקבלה כתובת זו).
• נוספו הגדרות SocketBindAllow ו-SocketBindDeny כדי לשלוט בגישה לשקעים המחוברים לשירות הנוכחי.
• עבור קבצי יחידה, הוטמעה הגדרה מותנית בשם ConditionFirmware, המאפשרת ליצור בדיקות שמעריכות פונקציות קושחה, כגון עבודה על מערכות UEFI ו-device.tree, וכן לבדוק תאימות ליכולות מסוימות של עץ התקן.
• הטמיע את האפשרות ConditionOSRelease כדי לבדוק שדות בקובץ /etc/os-release. בעת הגדרת תנאים לבדיקת ערכי שדות, האופרטורים "=", "!=", "=", ">" מקובלים.
• בכלי השירות hostnamectl, פקודות כמו "get-xyz" ו-"set-xyz" משוחררות מהקידומות "get" ו-"set", למשל, במקום "hostnamectl get-hostname" ו-"hostnamectl "set-hostname" אתה יכול להשתמש בפקודה "hostnamectl hostname" ", ההקצאה של ערך שבו נקבעת על ידי ציון ארגומנט נוסף ("hostnamectl hostname value"). התמיכה בפקודות ישנות יותר נשמרה כדי להבטיח תאימות.
• כלי השירות systemd-detect-virt והגדרת ConditionVirtualization מבטיחים זיהוי נכון של סביבות אמזון EC2.
• ההגדרה LogLevelMax בקבצי יחידה חלה כעת לא רק על הודעות יומן שנוצרו על ידי השירות, אלא גם על הודעות תהליך PID 1 המזכירות את השירות.
• סיפקה את היכולת לכלול נתוני SBAT (UEFI Secure Boot Advanced Targeting) בקבצי EFI PE של systemd-boot.
• /etc/crypttab מיישמת אפשרויות חדשות "ללא ראש" ו-"סיסמה-הד" - הראשונה מאפשרת לך לדלג על כל הפעולות הקשורות לבקשה אינטראקטיבית של סיסמאות ו-PIN מהמשתמש, והשנייה מאפשרת לך להגדיר את השיטה להצגת קלט סיסמה (לא להראות כלום, להראות תו אחר תו ולהציג כוכביות). האפשרות "--echo" נוספה ל-systemd-ask-password למטרות דומות.
• systemd-cryptenroll, systemd-cryptsetup ו-systemd-homed הרחיבו את התמיכה בפתיחת מחיצות LUKS2 מוצפנות באמצעות אסימוני FIDO2. נוספו אפשרויות חדשות "--fido2-with-user-sence", "--fido2-with-user-verification" ו-"-fido2-with-client-pin" כדי לשלוט באימות הנוכחות הפיזית של המשתמש, האימות והצורך להיכנס קוד PIN.
• נוספו אפשרויות "--user", "--system", "--merge" ו-"--file" ל-systemd-journal-gatewayd, בדומה לאפשרויות journalctl.
• בנוסף לתלות ישירה בין יחידות שצוינו באמצעות הפרמטרים OnFailure ו-Slice, נוספה תמיכה בתלות הפוכה מרומזת OnFailureOf ו-SliceOf, שיכולה להיות שימושית, למשל, לקביעת כל היחידות הכלולות בפרוסה.
• נוספו סוגים חדשים של תלות בין יחידות: OnSuccess ו-OnSuccessOf (ההפך מ-OnFailure, שנקרא עם סיום מוצלח); PropagatesStopTo ו-StopPropagatedFrom (מאפשרים לך להפיץ אירוע עצירה של יחידה ליחידה אחרת); Upholds ו-UpheldBy (חלופה להפעלה מחדש).
• לכלי השירות systemd-ask-password יש כעת אפשרות "--emoji" לשלוט במראה סמל המנעול (🔐) בשורת הזנת הסיסמה.
• נוסף תיעוד על מבנה עץ המקור של systemd.
• עבור יחידות, התווסף מאפיין MemoryAvailable, המראה כמה זיכרון נותר ליחידה לפני שהגיעה לגבול שנקבע באמצעות הפרמטרים MemoryMax, MemoryHigh או MemoryAvailable.

מקור: OpenNet.ru