ProHoster > ブログ > インターネットニュース > systemd システムマネージャーリリース 257

systemd システムマネージャーリリース 257

257 か月の開発後、システム マネージャー systemd XNUMX のリリースが発表されました。主な変更点: 新しいユーティリティ systemd-sbsign および systemd-keyutil、ソケット上でアクティブ化された場合の MPTCP のサポート、Musl C ライブラリを使用したビルドの初期サポート。 systemd-sysupdate 経由でアップデートのインストールを管理するための updatectl ユーティリティ、別の PID 名前空間でサービスを起動する機能、「systemd-tmpfiles —purge」使用時のファイルの誤削除に対する保護。

新しいリリースの変更点には次のようなものがあります。

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux そして、initrdシステム環境がメモリにロードされた。
  • 秘密キーと X.509 証明書に対するさまざまな操作を実装する新しいユーティリティ systemd-keyutil が追加されました。たとえば、systemd-keyutil を使用すると、秘密キーと証明書をロードし、それらから PEM 形式で公開キーを抽出する機能をテストできます。
  • ソケットアクティベーションメカニズムの動作を保証するために使用される「.socket」ユニット(ネットワーク接続を確立しようとしたときにプロセスを開始する)では、MPTCP(マルチパスTCP)のサポートが実装されています。MPTCPは、異なるネットワークインターフェイスを介して複数の経路に沿ってパケットを同時に配信することでTCP接続の動作を整理するためのTCPプロトコルの拡張です。 IPアドレス.
  • 標準 Musl C ライブラリを使用してビルドするために必要な変更が含まれています。
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • systemd-sysupdate コンポーネントの機能が拡張され、パーティション、ファイル、またはディレクトリを置換するためのアトミック メカニズムを使用して更新を自動的に検出、ダウンロード、インストールするために使用されます (2 つの独立したパーティション/ファイル/ディレクトリが使用され、そのうちの 1 つには現在動作しているパーティションが含まれます)リソース、もう 1 つは次の更新をインストールし、その後セクション/ファイル/ディレクトリが交換されます)。実際には、systemd-sysupdate は GNOME OS ですでに使用されています。

    systemd-sysupdate プロセスに加えて、特権のないユーザーが D-Bus を使用してシステム更新を管理できるようにする同じ名前のサービスが追加されました。サービスを管理するために、新しい updatectl ユーティリティも含まれています。ネットワーク経由でのメタデータのダウンロードを無効にし、ローカル システムに既にダウンロードされているバージョンのみを使用するために、systemd-sysupdate に「--offline」フラグを追加しました。すべてのコマンドに対して JSON 形式での出力のサポートが追加されました。

  • 新しいプロパティ「PrivatePIDs」がサービスに実装されました。これを使用すると、PID 1 のプロセス (初期プロセス) の起動を別のプロセス識別子空間 (PID 名前空間) で整理できます。起動されたプロセス用に作成された環境では、そのプロセス用に作成された名前空間のプロセスのみが表示されます。
  • 大文字と小文字を区別しない一致のサポートを udev ルールに追加しました (例: 'ATTR{foo}==i»abcd»')。 udev を使用すると、特権のないローカル ユーザーに /dev/udmabuf デバイスへのアクセス (「uaccess」) を提供できます。これは、libcamera 経由で IPMI カメラを操作するために必要です。 udev は、USB インターフェイスを備えたさまざまなハードウェア暗号ウォレットの認識と、それらの ID_HARDWARE_WALLET プロパティの設定を提供します。これにより、特権のないユーザーによるアクセスに対して「uaccess」モードを適用できるようになります。
  • 新しいフィールド RELEASE_TYPE、EXPERIMENT、EXPERIMENT_URL が /etc/os-release ファイルに追加されました。 「RELEASE_TYPE」は、安定バージョンを開発ビルドおよび実験ビルドから区別するために、「experimental」、「development」、「stable」および「lts」の値を取ることができます。 EXPERIMENT および EXPERIMENT_URL パラメータは、実験的ビルドの本質を説明することを目的としています。
  • sudo プログラムの代替として開発された run0 ユーティリティには、コマンド シェル プロンプトのプレフィックス文字列を指定する「--shell-prompt-prefix」オプションが追加されました。デフォルトでは、昇格されたセッションを視覚的に強調するために、絵文字「🦸」がプレフィックスとして表示されます。
  • systemd-tmpfiles では、間違ったファイルを誤って削除しないようにするために、「--purge」オプションは、「$」フラグが明示的に設定されている tmpfiles.d/ 内の設定にのみ適用されるようになりました。 「--purge」操作では、tmpfiles.d/ ディレクトリから少なくとも 1 つのファイルを指定することも必要になりました。 「L」タイプの文字列には「?」フラグが追加されており、指定すると、ターゲット ファイルが存在する場合にのみシンボリック リンクが作成されます。
  • サービス マネージャーおよび関連ユーティリティでは、プロセス トラッキング コードは、PID の代わりに PIDFD を使用するように変換され続けます。 PIDFD は特定のプロセスに関連付けられており変更されませんが、PID は、その PID に関連付けられている現在のプロセスが終了した後に別のプロセスに関連付けることができます。
  • サービスの場合、「RestartMode」パラメーターに値「debug」を指定できるようになりました。これにより、失敗したサービスはデバッグ モードが有効になった状態で再起動され (環境変数 DEBUG_INVOCATION=1 が設定されます)、LogLevelMax 値は次のようになります。一時的にデバッグレベルに上げられます。
  • PID 1 ハンドラーには、システム全体の整合性ポリシー (許可される操作とコンポーネントの信頼性の検証方法) を定義する IPE (整合性ポリシー強制) LSM モジュールのルールをロードする機能があります。
  • 「DeferReactivation」オプションが「.timer」ユニット ファイルに追加されました。これにより、前回のアクティブ化以降、サービスの実行がまだ完了していない場合、次回のタイマーのアクティブ化をスキップできます。
  • PrivateUsers ユニット ファイル パラメーターで、ユーザー名前空間の作成時にユーザー ID のマッピングを有効にする「identity」値を指定できるようになりました。
  • PrivateTmp ユニット ファイル パラメーターに「disconnected」値のサポートが追加されました。これにより、/tmp/ ディレクトリと /var/tmp/ ディレクトリに個別の tmpfs インスタンスが使用されます。
  • 新しい「プライベート」および「ストリクト」モードのサポートが ProtectControlGroups ユニット ファイル パラメーターに追加されました。設定すると、サービス用に新しい cgroup 名前空間が作成され、cgroupfs がマウントされます。 「strict」オプションが設定されている場合、cgroupfs は読み取り専用モードでマウントされます。
  • StateDirectory、RuntimeDirectory、CacheDirectory、LogsDirectory、および ConfigurationDirectory パラメーターは、「:ro」フラグを使用して、対応するディレクトリへのアクセスを読み取り専用モードに制限する機能を提供します。
  • 「systemd.machine_id」カーネル コマンド ライン パラメータに「firmware」値のサポートが追加されました。このパラメータでは、システム識別子 (マシン ID) が SMBIOS/DeviceTree の UUID に基づいて計算されます。
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • solvectl、timedatectl、および systemd-inhibit ユーティリティは、Polkit を使用した対話型認証をサポートするようになりました。
  • 「reenable」コマンドで「--now」フラグを使用する機能を systemctl ユーティリティに追加しました。
  • JSON 形式で出力するための systemd-mount ユーティリティに「--json」オプションを追加しました (たとえば、「--list-devices」と一緒に指定すると、デバイスのリストが JSON 形式で出力されます)。
  • 出力中の長い行のトリミングを無効にするために、「localectl」ユーティリティに「-l」および「--full」オプションを追加しました。
  • HibernateOnACPower オプションが sleep.conf に追加されました。これにより、デバイスが固定電源から切断されるまでスリープ モードへの切り替えを遅らせることができます。
  • systemd-sysusers では、「u」行に「!」修飾子のサポートが追加され、完全にロックされたユーザー アカウントを作成できます (以前は、間違ったパスワードを設定することでユーザーをブロックしていました。たとえば、 SSH でのキー認証中にブロックが発生しませんでした)。
  • Systemd-coredump は、クラッシュしたプロセスのマウント ポイント領域にアクセスしてデバッグ シンボルを取得できるようにする「EnterNamespace」オプションを追加します。実際には、このオプションは、分離されたコンテナーで実行されているアプリケーションからのコア ファイルのバックトレースを整理するのに役立ちます。
  • systemd-logind には、Ctrl-Alt-Shift-Esc の組み合わせの処理が含まれており、安全なログイン ダイアログを表示するリクエストとともに org.freedesktop.login1.SecureAttendantKey 信号をユーザー環境コンポーネントに送信します。指定された時間に完了するように作業を自動的にスケジュールするための「DesignatedMaintenanceTime」設定を実装しました。 DRM および evdev デバイスのサポートと同様に、特権のないユーザーの Hidraw デバイス (ゲーム コントローラーおよびジョイスティック) へのアクセスを構成するためのサポートが追加されました。
  • systemd-machined は、権限のないクライアントのログインをサポートするようになりました。 仮想マシン コンテナ。systemd で構築された機能へのアクセスは、D-Bus に加えて、Varlink API 経由でも提供されます。
  • IPv6 アドレスのラベルとプレフィックスを構成するための新しいセクション「[IPv6AddressLabel]」が networkd.conf 構成ファイルに追加されました。
  • 標準ストリームからファイルの内容を取得するために、「networkctl edit」コマンドに「--stdin」オプションを追加しました。 「networkctl edit」および「networkctl cat」コマンドにネットワーク インターフェイスを指定することにより、.netdev ファイルの編集と表示のサポートが追加されました。対話型認証を無効にするオプション「--no-ask-password」を追加しました。
  • ukify、bootctl、systemd-keyutil、systemd-measure、systemd-repart、および systemd-sbsign ユーティリティに「--certificate-source」オプションを追加し、X.509 証明書を、サーバーから直接ロードするのではなく、OpenSSL プロバイダー経由でロードできるようになりました。ファイル。
  • systemd-boot は、音量ボタンを使用してブート メニュー内を上下に移動できる機能を追加します。これはスマートフォンなどのデバイスで便利です。 systemd-boot 用の ESL(db/dbx/…) 形式での UEFI セキュア ブート データベースのインストールのサポートが bootctl ユーティリティに追加されました。
  • ユニットコールのリストを表示する「--list-invocation」オプションと、特定のコールのみに関連付けられたログを表示する「--invocation」オプション (「-I」) をjournalctlに追加しました。
  • systemd-nspawn は、コンテナーでの FUSE (ユーザー空間のファイルシステム) の非特権使用のサポートを追加します。 「--bind-user」オプションを使用すると、SSH 経由のアクセスに必要なユーザーの SSH キーがコンテナに転送されます。
  • libsystemd には、JSON 形式を使用する新しいプログラミング インターフェイス「sd-json」と、IPC Varlink を使用するインターフェイス「sd-varlink」が追加されました。
  • 推奨されるベース カーネル バージョンは、5.4 年に形成されたリリース 2019 にアップグレードされました。来年、彼らは古いカーネルのサポートを停止し、5.4 リリースをサポートされる最小の基本バージョンとしてマークする予定です。
  • cgroups v1 のサポートは非​​推奨となり、デフォルトで無効になっています (これを有効にするには、systemd 設定で有効にすることに加えて、カーネル コマンド ラインで SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 を指定する必要があります)。 systemd 258 の次のリリースでは、cgroups v1 関連のコードが完全に削除される予定です。 Systemd バージョン 258 では、System V サービス スクリプトのサポートも削除される予定です。

出所: オープンネット.ru

DDoS 保護機能を備えた信頼性の高いサイト用ホスティング、VPS VDS サーバーを購入する 🔥 DDoS攻撃対策付きの信頼性の高いウェブサイトホスティング、VPS/VDSサーバーを購入しましょう | ProHoster