systemd システムマネージャーリリース 246

XNUMXか月の開発期間を経て 提示された システムマネージャーのリリース systemd 246。 新しいリリースには、ユニットの凍結のサポート、デジタル署名を使用したルート ディスク イメージの検証機能、ZSTD アルゴリズムを使用したログ圧縮とコア ダンプのサポート、FIDO2 トークンを使用したポータブル ホーム ディレクトリのロックを解除する機能、Microsoft BitLocker のロック解除のサポートが含まれます。 /etc/crypttab 経由でパーティションを作成すると、BlackList の名前が DenyList に変更されました。

メイン 変更:

• cgroups v2 に基づくフリーザー リソース コントローラーのサポートが追加されました。これを使用すると、プロセスを停止し、一部のリソース (CPU、I/O、および場合によってはメモリ) を一時的に解放して、他のタスクを実行できます。 ユニットの凍結と解凍は、新しい「systemctl フリーズ」コマンドを使用するか、D-Bus 経由で制御されます。
• デジタル署名を使用したルート ディスク イメージの検証のサポートが追加されました。 検証は、サービス ユニットの新しい設定、RootHash (RootImage オプションで指定されたディスク イメージを検証するためのルート ハッシュ) および RootHashSignature (ルート ハッシュの PKCS#7 形式のデジタル署名) を使用して実行されます。
• PID 1 ハンドラーは、初期ブート段階でプリコンパイルされた AppArmor ルール (/etc/apparmor/earlypolicy) を自動的にロードする機能を実装します。
• 新しいユニット ファイル設定が追加されました。ConditionPathIsEncrypted および AssertPathIsEncrypted は、暗号化 (dm-crypt/LUKS) を使用するブロック デバイス上の指定されたパスの配置を確認します。ConditionEnvironment および AssertEnvironment は、環境変数 (たとえば、PAM またはコンテナをセットアップするとき)。
• *.mount ユニットの場合、ReadWriteOnly 設定が実装されており、読み取りおよび書き込み用にパーティションをマウントできない場合に読み取り専用モードでパーティションをマウントすることが禁止されています。 /etc/fstab では、このモードは「x-systemd.rw-only」オプションを使用して設定されます。
• *.socket ユニットの場合、PassPacketInfo 設定が追加されました。これにより、カーネルがソケットから読み取られた各パケットに追加のメタデータを追加できるようになります (ソケットの IP_PKTINFO、IPV6_RECVPKTINFO、および NETLINK_PKTINFO モードが有効になります)。
• サービス (*.service ユニット) については、CoredumpFilter 設定が提案されます (コア ダンプに含める必要があるメモリ セクションを定義します)。
  TimeoutStartFailureMode/TimeoutStopFailureMode (サービスの開始または停止時にタイムアウトが発生した場合の動作 (SIGTERM、SIGABRT、または SIGKILL) を定義します)。

• ほとんどのオプションは、「0x」プレフィックスを使用して指定された XNUMX 進値をサポートするようになりました。
• キーまたは証明書のセットアップに関連するさまざまなコマンド ライン パラメータおよび構成ファイルで、暗号化されていないディスクに証明書を配置することが望ましくない場合に、IPC サービスへの呼び出しを通じてキーと証明書を転送するための UNIX ソケット (AF_UNIX) へのパスを指定できます。ストレージ。
• ユニット、tmpfiles.d/、sysusers.d/、およびその他の構成ファイルで使用できる XNUMX つの新しい指定子のサポートが追加されました: 現在のアーキテクチャを置換する場合は %a、フィールドを置換する場合は %o/%w/%B/%W /etc/os-release の識別子と、短いホスト名置換の %l。
• ユニット ファイルは、6 年前に非推奨となった「.include」構文をサポートしなくなりました。
• StandardError および StandardOutput 設定では、「syslog」および「syslog-console」の値がサポートされなくなりました。これらの値は、「journal」および「journal+console」に自動的に変換されます。
• 自動的に作成される tmpfs ベースのマウント ポイント (/tmp、/run、/dev/shm など) の場合、/tmp および /dev/ の RAM サイズの 50% に相当する i ノードのサイズと数の制限が提供されます。 shm と他の全員に RAM の 10% を割り当てます。
• 新しいカーネル コマンド ライン オプションを追加しました: systemd.hostname で初期ブート段階でホスト名を設定し、udev.blockdev_read_only で物理ドライブに関連付けられたすべてのブロック デバイスを読み取り専用モードに制限します (「blockdev --setrw」コマンドを使用して、選択的にキャンセル)、スワップ パーティションの自動アクティブ化を無効にする systemd .swap、システム クロックをマイクロ秒単位で設定する systemd. Clock-usec、ConditionNeedsUpdate と ConditionFirstBoot をオーバーライドする systemd.condition-needs-update および systemd.condition-first-boot小切手。
• デフォルトでは、sysctl fs.suid_dumpable は 2 (「suidsafe」) に設定されており、suid フラグを持つプロセスのコア ダンプを保存できます。
• ファイル /usr/lib/udev/hwdb.d/60-autosuspend.hwdb は、ChromiumOS からハードウェア データベースに借用されました。これには、自動スリープ モードをサポートする PCI および USB デバイスに関する情報が含まれています。
• ManageForeignRoutes 設定が networkd.conf に追加されました。有効にすると、systemd-networkd は他のユーティリティによって構成されたすべてのルートの管理を開始します。
• SR-IOV (Single Root I/O Virtualization) をサポートするネットワーク デバイスを構成するための「[SR-IOV]」セクションが .network ファイルに追加されました。
• systemd-networkd では、IPv4AcceptLocal 設定が「[Network]」セクションに追加され、ローカル送信元アドレスで到着するパケットをネットワーク インターフェイスで受信できるようになりました。
• systemd-networkd は、[HierarchyTokenBucket] を通じて HTB トラフィックの優先順位付け規則を構成する機能を追加しました。
  [HierarchyTokenBucketClass]、[PFIFO] 経由の「pfifo」、[GenericRandomEarlyDetection] 経由の「GRED」、[StochasticFairBlue] 経由の「SFB」、「cake」
  [CAKE]経由、[PIE]経由の「PIE」、[DeficitRoundRobinScheduler]経由の「DRR」、
  [DeficitRoundRobinSchedulerClass]、[BFIFO] 経由の「BFIFO」、
  [PFIFOHeadDrop] 経由の「PFIFOHeadDrop」、[PFIFOFast] 経由の「PFIFOFast」、「HHF」
  [HeavyHitterFilter]経由、「ETS」経由[EnhancedTransmissionSelection]、
  [QuickFairQueueing] および [QuickFairQueueingClass] による「QFQ」。

• systemd-networkd では、DHCP 経由で取得したゲートウェイ情報の使用を無効にする UseGateway 設定が [DHCPv4] セクションに追加されました。
• systemd-networkd の [DHCPv4] セクションと [DHCPServer] セクションに、追加のベンダー オプションをインストールおよび処理するための SendVendorOption 設定が追加されました。
• systemd-networkd は、[DHCPServer] セクションに EmitPOP3/POP3、EmitSMTP/SMTP、および EmitLPR/LPR オプションの新しいセットを実装し、POP3、SMTP、および LPR サーバーに関する情報を追加します。
• systemd-networkd の [Bridge] セクションの .netdev ファイルに、使用する VLAN プロトコルを選択するための VLANProtocol 設定が追加されました。
• systemd-networkd では、[Link] セクションの .network ファイルに、リンクのグループを管理するためのグループ設定が実装されています。
• BlackList 設定の名前が DenyList に変更されました (下位互換性のために古い名前の処理を保持しています)。
• Systemd-networkd には、IPv6 および DHCPv6 に関連する設定の大部分が追加されました。
• すべてのアドレス バインディングを強制的に更新 (リース) するための「forcerenew」コマンドを networkctl に追加しました。
• systemd-resolvedでは、DNS設定において、DNS-over-TLS証明書検証用のポート番号とホスト名を指定できるようになりました。 DNS-over-TLS の実装により、SNI チェックのサポートが追加されました。
• Systemd-resolved には、単一ラベル DNS 名 (XNUMX つのホスト名からの単一ラベル) のリダイレクトを構成できる機能が追加されました。
• systemd-journald は、zstd アルゴリズムを使用してジャーナル内の大きなフィールドを圧縮するためのサポートを提供します。 ジャーナルで使用されるハッシュ テーブルの衝突を防ぐための作業が行われています。
• ログ メッセージを表示するときに、ドキュメントへのリンクを含むクリック可能な URL がjournalctlに追加されました。
• systemd-journald の初期化中に監査を有効にするかどうかを制御するために、journald.conf に監査設定を追加しました。
• Systemd-coredump には、zstd アルゴリズムを使用してコア ダンプを圧縮する機能が追加されました。
• 作成されたパーティションに UUID を割り当てるための UUID 設定を systemd-repart に追加しました。
• ポータブル ホーム ディレクトリの管理を提供する systemd-homed サービスには、FIDO2 トークンを使用してホーム ディレクトリのロックを解除する機能が追加されました。 LUKS パーティション暗号化バックエンドには、セッション終了時に空のファイル システム ブロックを自動的に返すサポートが追加されました。 システム上の /home パーティションがすでに暗号化されていると判断された場合、データの二重暗号化に対する保護が追加されました。
• /etc/crypttab に設定を追加しました: 使用後にキーを削除する「keyfile-erase」と、ユーザーにパスワードの入力を求める前に空のパスワードでパーティションのロックを解除しようとする「try-empty-password」(暗号化されたイメージのインストールに便利)インストール時ではなく、最初の起動後にパスワードが割り当てられます)。
• systemd-cryptsetup は、/etc/crypttab を使用して起動時に Microsoft BitLocker パーティションのロックを解除するためのサポートを追加します。 読む機能も追加されました
  ファイル /etc/cryptsetup-keys.d/ からパーティションを自動的にロック解除するためのキー.key と /run/cryptsetup-keys.d/ 。鍵。

• .desktop 自動起動ファイルからユニット ファイルを作成するための systemd-xdg-autostart-generator を追加しました。
• 「bootctl」に「reboot-to-firmware」コマンドを追加しました。
• systemd-firstboot にオプションを追加しました: ブートするディスク イメージを指定する「--image」、/etc/kernel/cmdline ファイルを初期化する「--kernel-command-line」、/etc/kernel/cmdline ファイルを初期化する「--root-password-hashed」 root パスワードのハッシュを指定し、root パスワードを削除するには「--delete-root-password」を指定します。

出所： オープンネット.ru