systemd システムマネージャーリリース 248

248 か月の開発を経て、システム マネージャー systemd 2 のリリースが発表され、新しいリリースでは、システム ディレクトリを拡張するためのイメージ、/etc/veritytab 構成ファイル、systemd-cryptenroll ユーティリティ、TPM2 チップと FIDO2 を使用した LUKSXNUMX のロック解除のサポートが提供されます。トークン、分離された IPC 識別子空間での実行ユニット、B.A.T.M.A.N プロトコルメッシュネットワークの場合、systemd-nspawn の nftables バックエンド。 Systemd-oomd が安定しました。

主な変更点：

• システム拡張イメージの概念が実装されました。これを使用すると、/usr/ および /opt/ ディレクトリの階層を拡張し、指定されたディレクトリが読み取り専用でマウントされている場合でも、実行時にファイルを追加できます。システム拡張イメージがマウントされると、その内容は OverlayFS を使用して /usr/ および /opt/ 階層にオーバーレイされます。

  システム拡張のイメージを接続、切断、表示、更新するための新しいユーティリティ systemd-sysext が提案されています。起動時にすでにインストールされているイメージを自動的に接続するために、systemd-sysext.service サービスが追加されました。サポートされるシステム拡張機能のレベルを決定するために、os-release ファイルに「SYSEXT_LEVEL=」パラメータが追加されました。

• ユニットについては、ExtensionImages 設定が実装されており、システム拡張イメージを個別の分離されたサービスの FS 名前空間階層にリンクするために使用できます。
• dm-verity モジュールを使用してブロック レベルでデータ検証を設定するための /etc/veritytab 設定ファイルを追加しました。ファイル形式は /etc/crypttab - 「section_name device_for_data device_for_hashes check_hash_root options」に似ています。ルートデバイスの dm-verity 動作を設定するための systemd.verity.root_options カーネル コマンド ライン オプションを追加しました。
• systemd-cryptsetup は、JSON 形式の LUKS11 メタデータ ヘッダーから PKCS#2 トークン URI と暗号化キーを抽出する機能を追加し、暗号化されたデバイスを開くことに関する情報を、外部ファイルを介さずにデバイス自体に統合できるようにします。
• systemd-cryptsetup は、以前にサポートされていた PKCS#2 トークンに加えて、TPM2 チップと FIDO2 トークンを使用した LUKS11 暗号化パーティションのロック解除のサポートを提供します。 lifido2 のロードは dlopen() を介して行われます。可用性は、固定的な依存関係としてではなく、その場でチェックされます。
• 新しいオプション「no-write-workqueue」および「no-read-workqueue」が systemd-cryptsetup の /etc/crypttab に追加され、暗号化および復号化に関連する I/O の同期処理が可能になりました。
• systemd-repart ユーティリティには、TPM2 チップを使用して暗号化されたパーティションをアクティブ化する機能が追加されました。たとえば、初回起動時に暗号化された /var パーティションを作成します。
• TPM2、FIDO2、PKCS#11 トークンを LUKS パーティションにバインドするだけでなく、トークンの固定解除と表示、スペア キーのバインド、アクセス用のパスワードの設定を行う systemd-cryptenroll ユーティリティが追加されました。
• PrivateIPC パラメーターが追加されました。これにより、独自の個別の識別子とメッセージ キューを使用して、分離された IPC スペースでプロセスを実行するようにユニット ファイルを構成できるようになります。すでに作成されている IPC 識別子空間にユニットを接続するには、IPCNamespacePath オプションが提案されます。
• ファイル システムの特定の部分に noexec フラグを適用できるようにする ExecPaths および NoExecPaths 設定が追加されました。
• systemd-networkd は、B.A.T.M.A.N メッシュ プロトコルのサポートを追加します。 (「モバイル アドホック ネットワーキングへのより良いアプローチ」) これにより、各ノードが隣接するノードを介して接続される分散型ネットワークを作成できます。構成については、.netdev の [BatmanAdvanced] セクション、.network ファイルの BatmanAdvanced パラメーター、および新しいデバイス タイプ「matadv」が提案されています。
• systemd-oomd システムにおけるメモリ不足に対する早期応答メカニズムの実装が安定しました。ユニットに影響を与える前にリソースが解放されるまでの待ち時間を構成する DefaultMemoryPressureDurationSec オプションが追加されました。 Systemd-oomd は PSI (Pressure Stall Information) カーネル サブシステムを使用し、リソース不足による遅延の始まりを検出し、システムがまだ危機的な状態にならず、問題が発生していない段階でリソースを大量に消費するプロセスを選択的に終了することができます。キャッシュの集中的なトリミングを開始し、データをスワップ パーティションに移動します。
• カーネル コマンド ライン パラメータ「root=tmpfs」を追加しました。これにより、Tmpfs を使用して RAM にある一時ストレージにルート パーティションをマウントできるようになります。
• キー ファイルを指定する /etc/crypttab パラメータは、AF_UNIX および SOCK_STREAM ソケット タイプを指すことができるようになりました。この場合、ソケットに接続するときにキーを指定する必要があります。これは、たとえば、キーを動的に発行するサービスの作成に使用できます。
• システム マネージャーと systemd-hostnamed が使用するフォールバック ホスト名は、os-release の DEFAULT_HOSTNAME パラメーターを使用する方法と、$SYSTEMD_DEFAULT_HOSTNAME 環境変数を使用する方法の XNUMX つの方法で設定できるようになりました。 systemd-hostnamed は、ホスト名の「localhost」も処理し、ホスト名と「HardwareVendor」および「HardwareModel」プロパティを DBus 経由でエクスポートする機能を追加します。
• 公開環境変数を持つブロックは、カーネル コマンド ラインやユニット ファイル設定だけでなく、system.conf または user.conf の新しい ManagerEnvironment オプションを通じて設定できるようになりました。
• コンパイル時に、execve() の代わりに fexecve() システム コールを使用してプロセスを開始し、セキュリティ コンテキストのチェックと適用の間の遅延を減らすことができます。
• ユニット ファイルについては、TPM2 デバイスの存在と個々の CPU 機能を確認するために、新しい条件操作 ConditionSecurity=tpm2 および ConditionCPUFeature が追加されました (たとえば、ConditionCPUFeature=rdrand を使用して、プロセッサが RDRAND 操作をサポートしているかどうかを確認できます)。
• 利用可能なカーネルについては、seccomp フィルター用のシステム コール テーブルの自動生成が実装されています。
• サービスを再起動せずに、新しいバインド マウントをサービスの既存のマウント名前空間に置き換える機能が追加されました。置換は、「systemctl binding …」および「systemctl mount-image …」コマンドで実行されます。
• 使用前にクリアする StandardOutput および StandardError 設定に、「truncate:」の形式でパスを指定するためのサポートが追加されました。
• ローカル コンテナ内の指定されたユーザーのセッションへの接続を SD-bus に確立する機能が追加されました。たとえば、「systemctl -user -M lennart@ start quux」です。
• 次のパラメータは、systemd.link ファイルの [Link] セクションに実装されています。
  • プロミスキャス - デバイスを「プロミスキャス」モードに切り替えて、現在のシステム宛てではないパケットを含むすべてのネットワーク パケットを処理できます。
  • TransmitQueues と ReceiveQueues は、TX キューと RX キューの数を設定します。
  • TransmitQueueLength は TX キューのサイズを設定します。 GRO (Generic Receive Offload) テクノロジーの使用制限を設定するための GenericSegmentOffloadMaxBytes および GenericSegmentOffloadMaxSegment。
• 新しい設定が systemd.network ファイルに追加されました。
  • [ネットワーク] RouteTable でルーティング テーブルを選択します。
  • [RoutingPolicyRule] ルーティング タイプのタイプ (「ブラックホール」、「到達不能」、「禁止」)。
  • [IPv6AcceptRA] 許可および拒否されたルート広告のリストの RouteDenyList および RouteAllowList。
  • [DHCPv6] DHCP によって発行されたアドレスを無視するには、Address を使用します。
  • [DHCPv6PrefixDelegation]一時アドレスの管理;
  • ActivationPolicy は、インターフェイスのアクティビティに関するポリシーを定義します (常に UP または DOWN 状態を維持するか、ユーザーが「ip link set dev」コマンドで状態を変更できるようにします)。
• VLAN パケット処理を設定するために、[VLAN] プロトコル、IngressQOSMaps、EgressQOSMaps、および [MACVLAN] BroadcastMulticastQueueLength オプションを systemd.netdev ファイルに追加しました。
• /dev/sgx ファイルで実行可能フラグを使用すると競合が発生するため、noexec モードでの /dev/ ディレクトリのマウントを停止しました。以前の動作に戻すには、NoExecPaths=/dev 設定を使用できます。
• /dev/vsock ファイルの権限は 0o666 に変更され、/dev/vhost-vsock および /dev/vhost-net ファイルは kvm グループに移動されました。
• ハードウェア ID データベースは、スリープ モードを正しくサポートする USB 指紋リーダーで拡張されました。
• systemd-resolved は、スタブリゾルバー経由で DNSSEC クエリに対する応答を発行するためのサポートを追加しました。ローカル クライアントは自分自身で DNSSEC 検証を実行できますが、外部クライアントは変更されずに親 DNS サーバーにプロキシされます。
• CacheFromLocalhost オプションをresolved.confに追加しました。設定すると、systemd-resolvedは127.0.0.1のDNSサーバーへの呼び出しに対してもキャッシュを使用します(デフォルトでは、二重キャッシュを避けるためにそのようなリクエストのキャッシュは無効になっています)。
• systemd-resolved は、ローカル DNS リゾルバーに RFC-5001 NSID のサポートを追加し、クライアントがローカル リゾルバーと別の DNS サーバーとの対話を区別できるようにします。
• solvectl ユーティリティは、データのソース (ローカル キャッシュ、ネットワーク要求、ローカル プロセッサの応答) に関する情報と、データ送信時の暗号化の使用に関する情報を表示する機能を実装します。オプション --cache、--synthesize、--network、-zone、--trust-anchor、および --validate は、名前決定プロセスを制御するために提供されます。
• systemd-nspawn は、既存の iptables サポートに加えて、nftables を使用したファイアウォール構成のサポートを追加します。 systemd-networkd の IPMasquerade セットアップには、nftables ベースのバックエンドを使用する機能が追加されました。
• systemd-localed は、不足しているロケールを生成するために locale-gen を呼び出すためのサポートを追加しました。
• ページング モードと JSON 形式での出力を有効/無効にするオプション --pager/-no-pager/-json= がさまざまなユーティリティに追加されました。 SYSTEMD_COLORS 環境変数 (「16」または「256」) を介して端末で使用される色の数を設定する機能が追加されました。
• 個別のディレクトリ階層 (分割 / および /usr) と cgroup v1 サポートを含むビルドは非推奨になりました。
• Git のマスター ブランチの名前が「master」から「main」に変更されました。

出所： オープンネット.ru