systemd システムマネージャーリリース 243

XNUMXか月の開発期間を経て 提示された システムマネージャーのリリース systemd 243。 革新的な点としては、システム内のメモリ不足に対するハンドラーの PID 1 への統合、ユニット トラフィックをフィルタリングするための独自の BPF プログラムのアタッチのサポート、systemd-networkd の多数の新しいオプション、ネットワークの帯域幅を監視するモードが挙げられます。インターフェイスは、64 ビット システムで 22 ビットではなく 16 ビットの PID 番号をデフォルトで有効にし、統一された cgroups 階層に移行し、systemd-network-generator に組み込まれます。

主な変更点：

• メモリ不足 (メモリ不足、OOM) に関するカーネル生成信号の認識が PID 1 ハンドラーに追加され、メモリ消費制限に達したユニットを強制終了するオプション機能を備えた特別な状態に移行します。または停止します。
• ユニット ファイルの場合、新しいパラメータ IPIngressFilterPath および
  IPEgressFilterPath。BPF プログラムを任意のハンドラーに接続して、このユニットに関連付けられたプロセスによって生成された受信および送信 IP パケットをフィルタリングできます。 提案された機能を使用すると、systemd サービス用の一種のファイアウォールを作成できます。 書き方例 BPF に基づく単純なネットワーク フィルター。

• キャッシュ、ランタイム ファイル、ステータス情報、ログ ディレクトリを削除する「clean」コマンドが systemctl ユーティリティに追加されました。
• systemd-networkd は、MACsec、nlmon、IPVTAP、および Xfrm ネットワーク インターフェイスのサポートを追加します。
• systemd-networkd は、構成ファイルの「[DHCPv4]」セクションと「[DHCPv6]」セクションを通じて、DHCPv4 スタックと DHCPv6 スタックの個別の構成を実装します。 DHCP サーバーから受信したパラメーターで指定された DNS サーバーに別のルートを追加する RoutesToDNS オプションを追加しました (これにより、DNS へのトラフィックは、DHCP から受信したメイン ルートと同じリンクを介して送信されます)。 DHCPv4 に新しいオプションが追加されました。 MaxAttempts - アドレスを取得するためのリクエストの最大数、BlackList - DHCP サーバーのブラック リスト、SendRelease - セッション終了時の DHCP RELEASE メッセージの送信を有効にします。
• 新しいコマンドが systemd-analyze ユーティリティに追加されました。
  • 「systemd-analyze timestamp」 - 時間の解析と変換。
  • 「systemd-analyze timespan」 - 期間の分析と変換。
  • 「systemd-analyze 条件」 - ConditionXYZ 式の解析とテスト。
  • 「systemd-analyze exit-status」 - 終了コードを解析し、数値から名前へ、またはその逆に変換します。
  • 「systemd-analyze Unit-files」 - ユニットとユニット エイリアスのすべてのファイル パスをリストします。
• オプション SuccessExitStatus、RestartPreventExitStatus、および
  RestartForceExitStatus は、数値リターン コードだけでなく、そのテキスト識別子 (「DATAERR」など) もサポートするようになりました。 「sytemd-analyze exit-status」コマンドを使用すると、識別子に割り当てられたコードのリストを表示できます。

• 仮想ネットワーク デバイスを削除する「delete」コマンドが networkctl ユーティリティに追加されました。また、デバイス統計を表示する「-stats」オプションも追加されました。
• ネットワーク インターフェイスのスループットを定期的に測定するために、SpeedMeter および SpeedMeterIntervalSec 設定が networkd.conf に追加されました。 測定結果から得られた統計は、「networkctl status」コマンドの出力で確認できます。
• ファイルを生成するための新しいユーティリティ systemd-network-generator を追加しました
  .network、.netdev、および .link は、Dracut 設定形式の Linux カーネル コマンド ライン経由で起動したときに渡される IP 設定に基づきます。

• 64 ビット システムの sysctl "kernel.pid_max" 値は、デフォルトで 4194304 (22 ビットではなく 16 ビット PID) に設定されるようになりました。これにより、PID を割り当てる際の衝突の可能性が減り、同時に実行できる数の制限が増加します。実行中のプロセスを保護し、セキュリティにプラスの影響を与えます。 この変更により互換性の問題が発生する可能性がありますが、実際にはそのような問題はまだ報告されていません。
• デフォルトでは、ビルド段階は統合階層 cgroups-v2 (「-Ddefault-hierarchy=unified」) に切り替わります。 以前は、デフォルトはハイブリッド モード (「-Ddefault-hierarchy=hybrid」) でした。
• システム コール フィルター (SystemCallFilter) の動作が変更されました。禁止されたシステム コールの場合、個々のスレッドを終了すると予期せぬ問題が発生する可能性があるため、個々のスレッドではなくプロセス全体が終了するようになりました。 この変更は、Linux カーネル 4.14 以降および libseccomp 2.4.0 以降を使用している場合にのみ適用されます。
• 特権のないプログラムには、グループの範囲全体 (すべてのプロセス) に対して sysctl "net.ipv4.ping_group_range" を設定することによって、ICMP エコー (ping) パケットを送信する機能が与えられます。
• ビルドプロセスを高速化するために、マニュアルの生成はデフォルトで停止されています (完全なドキュメントをビルドするには、HTML 形式のマニュアルの場合はオプション「-Dman=true」または「-Dhtml=true」を使用する必要があります)。 ドキュメントを見やすくするために、興味のあるマニュアルを生成およびプレビューするための build/man/man および build/man/html という XNUMX つのスクリプトが含まれています。
• 各国語のアルファベットの文字を含むドメイン名を処理するには、デフォルトで libidn2 ライブラリが使用されます (libidn を返すには、「-Dlibidn=true」オプションを使用します)。
• ディストリビューションで広く配布されていない機能を提供していた /usr/sbin/halt.local 実行可能ファイルのサポートは中止されました。 シャットダウン時にコマンドの起動を整理するには、/usr/lib/systemd/system-shutdown/ のスクリプトを使用するか、final.target に依存する新しいユニットを定義することをお勧めします。
• シャットダウンの最終段階で、systemd は sysctl「kernel.printk」のログ レベルを自動的に上げるようになりました。これにより、通常のロギング デーモンがすでに完了しているシャットダウンの後半段階で発生したイベントをログに表示する問題が解決されます。 ;
• ログを表示するjournalctlやその他のユーティリティでは、警告は黄色で強調表示され、監査レコードは青色で強調表示され、群衆から視覚的に強調表示されます。
• $PATH 環境変数では、bin/ へのパスが sbin/ へのパスの前に来るようになりました。 両方のディレクトリに同じ名前の実行可能ファイルがある場合は、bin/ のファイルが実行されます。
• systemd-logind は、セッションごとに画面の明るさを安全に変更するための SetBrightness() 呼び出しを提供します。
• デバイスの初期化を待機するための「--wait-for-initialization」フラグが「udevadm info」コマンドに追加されました。
• システムのブート中に、PID 1 ハンドラーは、説明を含む行の代わりにユニットの名前を表示するようになりました。 以前の動作に戻すには、/etc/systemd/system.conf の StatusUnitFormat オプション、または systemd.status_unit_format カーネル オプションを使用できます。
• ウォッチドッグ PID 1 の KExecWatchdogSec オプションを /etc/systemd/system.conf に追加しました。これは、kexec を使用した再起動のタイムアウトを指定します。 古い設定
  ShutdownWatchdogSec は RebootWatchdogSec に名前が変更され、シャットダウンまたは通常の再起動中のジョブのタイムアウトを定義します。

• サービスに新しいオプションが追加されました 実行条件を使用すると、ExecStartPre の前に実行されるコマンドを指定できます。 コマンドによって返されたエラー コードに基づいて、ユニットのその後の実行が決定されます。コード 0 が返された場合、ユニットの起動は続行されます。1 ～ 254 の場合、エラー フラグなしで静かに終了し、255 の場合、エラー フラグを付けて終了します。失敗フラグ。
• sys/fs/pstore/ からデータを抽出し、さらなる分析のために /var/lib/pstore に保存するための新しいサービス systemd-pstore.service を追加しました。
• ネットワーク インターフェイスに関連して systemd-timesyncd の NTP パラメータを構成するための新しいコマンドが timedatectl ユーティリティに追加されました。
• 「localectl list-locales」コマンドは、UTF-8 以外のロケールを表示しなくなりました。
• 変数名が文字「-」で始まる場合、sysctl.d/ ファイル内の変数割り当てエラーが無視されるようにします。
• サービス systemd-random-seed.service Linux カーネルの擬似乱数ジェネレーターのエントロピー プールの初期化を完全に担当するようになりました。 正しく初期化された /dev/urandom を必要とするサービスは、systemd-random-seed.service の後に開始する必要があります。
• systemd-boot ブート ローダーは、サポートするオプションの機能を提供します。 シードファイル EFI システム パーティション (ESP) 内のランダム シーケンス。
• 新しいコマンドが bootctl ユーティリティに追加されました。ESP でシード ファイルを生成する「bootctl random-seed」と、systemd-boot ブート ローダーのインストールを確認する「bootctl is-installed」です。 また、bootctl は、正しく構成されていないブート エントリ (たとえば、カーネル イメージが削除されたが、それをロードするためのエントリが残っている場合) に関する警告を表示するように調整されました。
• システムがスリープ モードになるときに、スワップ パーティションを自動的に選択します。 パーティションは、そのパーティションに設定された優先順位に応じて選択され、優先順位が同じ場合は空き領域の量に応じて選択されます。
• /etc/crypttab に keyfile-timeout オプションを追加し、暗号化キーを持つデバイスが暗号化パーティションにアクセスするためのパスワードの入力を求めるまで待機する時間を設定しました。
• BFQ スケジューラの I/O 重みを設定する IOWeight オプションを追加しました。
• systemd-resolved は、DNS-over-TLS に「strict」モードを追加し、肯定的な DNS 応答のみをキャッシュする機能を実装しました (resolved.conf の「Cache no-negative」)。
• VXLAN の場合、systemd-networkd は VXLAN プロトコル拡張を有効にする GenericProtocolExtension オプションを追加しました。 VXLAN および GENEVE の場合、送信パケットのフラグメンテーション禁止フラグを設定する IPDoNotFragment オプションが追加されました。
• systemd-networkd の「[Route]」セクションに、TTLPropagate オプションと同様に、個々のルートに関連して TCP 接続を迅速に開くためのメカニズム (TFO - TCP Fast Open、RFC 7413) を有効にする FastOpenNoCookie オプションが登場しました。 TTL LSP (ラベル スイッチド パス) を設定します。 「タイプ」オプションは、ローカル、ブロードキャスト、エニーキャスト、マルチキャスト、any、および xresolve ルーティング モードのサポートを提供します。
• Systemd-networkd は、「[Network]」セクションに DefaultRouteOnDevice オプションを提供し、特定のネットワーク デバイスのデフォルト ルートを自動的に構成します。
• Systemd-networkd は ProxyARP を追加し、
  プロキシ ARP の動作を設定するための ProxyARPWifi、マルチキャスト モードでルーティング パラメータを設定するための MulticastRouter、マルチキャストの IGMP (インターネット グループ管理プロトコル) バージョンを変更するための MulticastIGMPVersion。

• Systemd-networkd には、ローカルおよびリモートの IP アドレス、およびネットワーク ポート番号を構成するための FooOverUDP トンネルの Local、Peer、および PeerPort オプションが追加されました。 TUN トンネルの場合、GSO (汎用セグメント オフロード) サポートを構成するために VnetHeader オプションが追加されました。
• systemd-networkd では、[Match] セクションの .network および .link ファイルに Property オプションが表示され、udev の特定のプロパティによってデバイスを識別できるようになりました。
• systemd-networkd では、トンネルの終端をループバック デバイス「lo」に割り当てるかどうかを制御する AssignToLoopback オプションが追加されました。
• systemd-networkd は、IPv6 スタックが sysctl disable_ipv6 によってブロックされている場合に自動的にアクティブ化します。IPv6 設定 (静的または DHCPv6) がネットワーク インターフェイスに定義されている場合、IPv6 はアクティブ化されます。それ以外の場合は、すでに設定されている sysctl 値は変更されません。
• .network ファイルでは、CriticalConnection 設定が KeepConfiguration オプションに置き換えられ、systemd-networkd が必要とする状況 (「yes」、「static」、「dhcp-on-stop」、「dhcp」) を定義するためのより多くの手段が提供されます。起動時に既存の接続に触れないでください。
• 脆弱性が修正されました CVE-2019-15718これは、D-Bus インターフェイス systemd-resolved へのアクセス制御の欠如が原因です。 この問題により、特権のないユーザーが、DNS 設定の変更や DNS クエリを不正なサーバーに送信するなど、管理者のみが実行できる操作を実行できるようになります。
• 脆弱性が修正されました CVE-2019-9619これは、非対話型セッションに対して pam_systemd を有効にしないことに関連しており、アクティブなセッションのスプーフィングが可能になります。

出所： オープンネット.ru