🥇שחרור של מערכת systemd systemd 252 עם תמיכה ב-UKI (Unified Kernel Image)

לאחר חמישה חודשים של פיתוח, הוצגה השחרור של מנהל המערכת systemd 252. השינוי המרכזי בגרסה החדשה היה שילוב תמיכה בתהליך אתחול מודרני, המאפשר לאמת לא רק את הליבה ומטען האתחול, אלא גם רכיבים של סביבת המערכת הבסיסית באמצעות חתימות דיגיטליות.

השיטה המוצעת כוללת שימוש בתמונת ליבה מאוחדת UKI (Unified Kernel Image) בעת הטעינה, המשלבת מטפל לטעינת הליבה מ-UEFI (UEFI boot stub), תמונת ליבת לינוקס וסביבת המערכת initrd שנטענת לזיכרון, בשימוש לאתחול ראשוני בשלב שלפני הרכבת השורש FS. תמונת UKI ארוזה כקובץ הפעלה יחיד בפורמט PE, אותו ניתן לטעון באמצעות מטעני אתחול מסורתיים או לקרוא ישירות מקושחת UEFI. כאשר קוראים מ-UEFI, ניתן לאמת את תקינות ואמינות החתימה הדיגיטלית של לא רק של הליבה, אלא גם של התוכן של ה-initrd.

כדי לחשב את הפרמטרים של אוגרי TPM PCR (Trusted Platform Module Platform Configuration Register) המשמשים לניטור השלמות ויצירת חתימה דיגיטלית של תמונת UKI, כלול כלי עזר חדש. ניתן להטמיע את המפתח הציבורי ומידע ה-PCR הנלווה בחתימה ישירות בתמונת האתחול של UKI (המפתח והחתימה נשמרים בקובץ PE בשדות '.pcrsig' ו-'.pcrkey') ולחלץ ממנו על ידי חיצוני או כלי עזר פנימיים.

בפרט, כלי העזר systemd-cryptsetup, systemd-cryptenroll ו-systemd-creds הותאמו לשימוש במידע זה, שבאמצעותם תוכל להבטיח שמחיצות דיסק מוצפנות קשורות לגרעין חתום דיגיטלית (במקרה זה, גישה למחיצה המוצפנת מסופק רק אם תמונת UKI עברה אימות באמצעות חתימה דיגיטלית על סמך פרמטרים הממוקמים ב-TPM).

בנוסף, כלול כלי השירות systemd-pcrphase, המאפשר לך לשלוט בקשירה של שלבי אתחול שונים לפרמטרים הממוקמים בזיכרון של מעבדי קריפטו התומכים במפרט TPM 2.0 (לדוגמה, אתה יכול להפוך את מפתח פענוח המחיצה LUKS2 לזמין רק ב- התמונה המקורית וחסום את הגישה אליה בשלבים מאוחרים יותר של הורדות).

עוד כמה שינויים:

מבטיח שמקום ברירת המחדל הוא C.UTF-8 אלא אם צוין מקום אחר בהגדרות.
כעת ניתן לבצע פעולת קביעת שירות מלאה (“systemctl preset”) במהלך האתחול הראשון. הפעלת הגדרות מוגדרות מראש בזמן האתחול דורשת בנייה עם אפשרות "-Dfirst-boot-full-preset", אך מתוכננת להיות מופעלת כברירת מחדל במהדורות עתידיות.
יחידות ניהול המשתמשים כוללות בקר משאבי CPU, מה שאיפשר להבטיח שהגדרות CPUWeight יוחלו על כל יחידות הפרוסות המשמשות לפיצול המערכת לחלקים (app.slice, background.slice, session.slice) כדי לבודד משאבים בין שירותי משתמשים שונים, המתחרים על משאבי המעבד. CPUWeight תומך גם בערך "בטל" כדי להפעיל את מצב הקצאת המשאבים המתאים.
ביחידות זמניות ("חולפות") ובתוכנית השירות systemd-repart, עקיפה של הגדרות מותרת על ידי יצירת קבצי נפתחים בספרייה /etc/systemd/system/name.d/.
עבור תמונות מערכת, הדגל עם סיום התמיכה מוגדר, וקובע עובדה זו על סמך הערך של הפרמטר החדש "SUPPORT_END=" בקובץ /etc/os-release.
נוספו הגדרות "ConditionCredential=" ו-"AssertCredential=", בהן ניתן להשתמש כדי להתעלם או לקרוס יחידות אם אישורים מסוימים אינם קיימים במערכת.
הוסיפו את הגדרות "DefaultSmackProcessLabel=" ו-"DefaultDeviceTimeoutSec=" ל-system.conf ול-user.conf כדי להגדיר את רמת האבטחה של SMACK המוגדרת כברירת מחדל ופסק זמן להפעלת היחידה.
בהגדרות "ConditionFirmware=" ו-"AssertFirmware=", נוספה היכולת לציין שדות SMBIOS בודדים, למשל, להפעיל יחידה רק אם השדה /sys/class/dmi/id/board_name מכיל את הערך "Custom לוח", אתה יכול לציין "ConditionFirmware=smbios" -field(board_name = "Custom Board").
במהלך תהליך האתחול (PID 1), נוספה היכולת לייבא אישורים משדות SMBIOS (סוג 11, "מחרוזות ספקי OEM") בנוסף להגדרתם באמצעות qemu_fwcfg, מה שמפשט את מתן האישורים למכונות וירטואליות ומבטל את צורך בכלים של צד שלישי כגון cloud -init והצתה.
במהלך הכיבוי, הלוגיקה של ביטול הרכבה של מערכות קבצים וירטואליות (proc, sys) שונתה ומידע על תהליכים החוסמים את ביטול מערכות הקבצים נשמר ביומן.
מסנן קריאות המערכת (SystemCallFilter) מאפשר גישה לקריאת המערכת riscv_flush_icache כברירת מחדל.
טוען האתחול sd-boot מוסיף את היכולת לאתחל במצב מעורב, שבו ליבת לינוקס של 64 סיביות פועלת מקושחת UEFI של 32 סיביות. נוספה יכולת ניסיונית להחיל אוטומטית מפתחות SecureBoot מקבצים שנמצאו ב-ESP (מחיצת מערכת EFI).
אפשרויות חדשות נוספו לכלי השירות bootctl: "-all-architectures" להתקנת קבצים בינאריים עבור כל ארכיטקטורות EFI נתמכות, "—root=" ו-"—image=" לעבודה עם ספרייה או תמונת דיסק, "-install-source =" כדי להגדיר מקור להתקנה, "-efi-boot-option-description=" כדי לשלוט בשמות ערכי האתחול.
הפקודה 'list-automounts' נוספה לכלי השירות systemctl כדי להציג רשימה של ספריות מועלות אוטומטית ואת האפשרות "--image=" לביצוע פקודות ביחס לתמונת הדיסק שצוינה. נוספו אפשרויות "--state=" ו-"--type=" לפקודות 'הצג' ו'סטטוס'.
systemd-networkd הוסיפו אפשרויות "TCPCongestionControlAlgorithm=" לבחירת אלגוריתם בקרת הגודש TCP, "KeepFileDescriptor=" כדי לשמור את מתאר הקובץ של ממשקי TUN/TAP, "NetLabel=" כדי להגדיר NetLabels, "RapidCommit=" כדי להאיץ את התצורה באמצעות DHCPv6 (RFC 3315). הפרמטר "RouteTable=" מאפשר לציין שמות של טבלאות ניתוב.
systemd-nspawn מאפשר שימוש בנתיבי קבצים יחסיים באפשרויות "--bind=" ו-"--overlay=". נוספה תמיכה בפרמטר 'rootidmap' לאפשרות "--bind=" לאגד את מזהה המשתמש השורש במיכל לבעלים של הספרייה המותקנת בצד המארח.
systemd-resolved משתמש ב-OpenSSL כגב ההצפנה שלו כברירת מחדל (תמיכה ב-gnutls נשמרת כאופציה). אלגוריתמי DNSSEC שאינם נתמכים מטופלים כעת כבלתי בטוחים במקום להחזיר שגיאה (SERVFAIL).
systemd-sysusers, systemd-tmpfiles ו-systemd-sysctl מיישמים את היכולת להעביר הגדרות באמצעות מנגנון אחסון אישורים.
נוספה פקודת 'compare-versions' ל-systemd-analyze כדי להשוות מחרוזות עם מספרי גרסה (בדומה ל-'rpmdev-vercmp' ו-'dpkg --compare-versions'). הוספה את היכולת לסנן יחידות לפי מסיכה לפקודה 'systemd-analyze dump'.
בעת בחירה במצב שינה רב-שלבי (השהה-ואחר כך תרדמה), הזמן המושקע במצב המתנה נבחר כעת על סמך התחזית של חיי הסוללה שנותרו. מעבר מיידי למצב שינה מתרחש כאשר נותרו פחות מ-5% טעינת הסוללה.
מצב פלט חדש "-o short-delta" נוסף ל-'journalctl', המציג את הפרש הזמן בין הודעות שונות ביומן.
systemd-repart מוסיף תמיכה ליצירת מחיצות עם מערכת הקבצים Squashfs ומחיצות עבור dm-verity, כולל עם חתימות דיגיטליות.
נוספה הגדרת "StopIdleSessionSec=" ל-systemd-login כדי לסיים הפעלה לא פעילה לאחר פסק זמן מוגדר.
Systemd-cryptenroll הוסיפה אפשרות "--unlock-key-file=" כדי לחלץ את מפתח הפענוח מקובץ במקום לבקש מהמשתמש.
כעת ניתן להפעיל את כלי השירות systemd-growfs בסביבות ללא udev.
systemd-backlight שיפרה תמיכה במערכות עם מספר כרטיסים גרפיים.
הרישיון עבור דוגמאות הקוד המפורטות בתיעוד שונה מ-CC0 ל-MIT-0.

שינויים שמפרים את התאימות:

כאשר בודקים את מספר גרסת הליבה באמצעות ההנחיה ConditionKernelVersion, כעת נעשה שימוש בהשוואת מחרוזת פשוטה באופרטורים '=' ו-'!=', ואם אופרטור ההשוואה לא צוין כלל, ניתן להשתמש בהתאמת גלוב-mask באמצעות דמויות '*', '?' וגם '[', ']'. כדי להשוות גרסאות בסגנון stverscmp() השתמש באופרטורים '<', '>', '<=' ו-'>='.
תג SELinux המשמש לבדיקת גישה מקובץ יחידה נקרא כעת בזמן טעינת הקובץ, ולא בזמן בדיקת הגישה.
מצב "ConditionFirstBoot" מופעל כעת באתחול הראשון של המערכת רק ישירות בשלב האתחול ומחזיר "false" כאשר קוראים ליחידות לאחר השלמת האתחול.
בשנת 2024, systemd מתכננת להפסיק לתמוך במנגנון הגבלת המשאבים של cgroup v1, שהוצא משימוש במהדורה מערכתית 248. מומלץ למנהלי מערכת לדאוג מראש להעברת שירותים מבוססי cgroup v2 ל-cgroup v1. ההבדל העיקרי בין cgroups v2 ו-v1 הוא השימוש בהיררכיית cgroups משותפת עבור כל סוגי המשאבים, במקום היררכיות נפרדות להקצאת משאבי CPU, לוויסות צריכת זיכרון ועבור I/O. היררכיות נפרדות מובילות לקשיים בארגון אינטראקציה בין מטפלים ולעלויות נוספות של משאבי ליבה בעת החלת כללים לתהליך שמתייחסים אליו בהיררכיות שונות.
במחצית השנייה של 2023, אנו מתכננים לסיים את התמיכה בהיררכיות ספריות מפוצלות, שבהן /usr מותקן בנפרד מהשורש, או /bin ו- /usr/bin, /lib ו- /usr/lib מופרדים.

מקור: OpenNet.ru

שחרור של מנהל מערכת מערכת 252 עם תמיכה ב-UKI (תמונת ליבה מאוחדת).

הוספת תגובה ביטול תגובה