ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Systemd System Manager release 243

Systemd System Manager release 243

Sawise limang sasi pembangunan diwenehi release manager sistem sistemd 243. Antarane inovasi, kita bisa nyathet integrasi menyang PID 1 saka handler kanggo memori sing kurang ing sistem, dhukungan kanggo masang program BPF dhewe kanggo nyaring lalu lintas unit, akeh pilihan anyar kanggo systemd-networkd, mode kanggo ngawasi bandwidth jaringan. antarmuka, mbisakake kanthi gawan ing sistem 64-dicokot 22-dicokot PID nomer tinimbang 16-dicokot, transisi menyang hirarki cgroups manunggal, Gawan ing systemd-network-generator.

Owah-owahan utama:

  • Pangenalan sinyal sing digawe kernel babagan metu saka memori (Out-Of-Memory, OOM) wis ditambahake menyang handler PID 1 kanggo nransfer unit sing wis tekan watesan konsumsi memori menyang negara khusus kanthi kemampuan opsional kanggo meksa supaya mandheg. utawa mandheg;
  • Kanggo file unit, paramΓ¨ter anyar IPingressFilterPath lan
    IPEgressFilterPath, sing ngidini sampeyan nyambungake program BPF karo panangan sewenang-wenang kanggo nyaring paket IP mlebu lan metu sing digawe dening proses sing ana gandhengane karo unit iki. Fitur sing diusulake ngidini sampeyan nggawe jinis firewall kanggo layanan systemd. Tuladha nulis panyaring jaringan prasaja adhedhasar BPF;

  • Printah "resik" wis ditambahake menyang sarana systemctl kanggo mbusak cache, file runtime, informasi status lan direktori log;
  • systemd-networkd nambahake dhukungan kanggo antarmuka jaringan MACsec, nlmon, IPVTAP lan Xfrm;
  • systemd-networkd nindakake konfigurasi kapisah saka tumpukan DHCPv4 lan DHCPv6 liwat bagean "[DHCPv4]" lan "[DHCPv6]" ing file konfigurasi. Nambahake pilihan RoutesToDNS kanggo nambah rute kapisah menyang server DNS sing ditemtokake ing paramΓ¨ter sing ditampa saka server DHCP (supaya lalu lintas menyang DNS dikirim liwat link sing padha karo rute utama sing ditampa saka DHCP). Opsi anyar wis ditambahake kanggo DHCPv4: MaxAttempts - jumlah maksimum panjalukan kanggo entuk alamat, BlackList - dhaptar ireng server DHCP, SendRelease - ngaktifake ngirim pesen DHCP RELEASE nalika sesi rampung;
  • Printah anyar wis ditambahake menyang utilitas systemd-analyze:
    • "systemd-analyse timestamp" - parsing wektu lan konversi;
    • "systemd-analyse timespan" - analisis lan konversi periode wektu;
    • "systemd-analyse condition" - parsing lan nguji ekspresi ConditionXYZ;
    • "systemd-analyze exit-status" - parsing lan ngowahi kode metu saka nomer menyang jeneng lan kosok balene;
    • "systemd-analyze unit-files" - Dhaptar kabeh path file kanggo unit lan alias unit.
  • Pilihan SuccessExitStatus, RestartPreventExitStatus lan
    RestartForceExitStatus saiki ndhukung ora mung kode bali numerik, nanging uga pengenal teks (contone, "DATAERR"). Sampeyan bisa ndeleng dhaptar kode sing ditugasake kanggo pengenal nggunakake printah "sytemd-analyse exit-status";

  • Printah "mbusak" wis ditambahake menyang sarana networkctl kanggo mbusak piranti jaringan virtual, uga pilihan "-stats" kanggo nampilake statistik piranti;
  • Setelan SpeedMeter lan SpeedMeterIntervalSec wis ditambahake menyang networkd.conf kanggo ngukur throughput antarmuka jaringan kanthi periodik. Statistik sing dipikolehi saka asil pangukuran bisa dideleng ing output perintah 'networkctl status';
  • Nambahake utilitas systemd-network-generator anyar kanggo ngasilake file
    .jaringan, .netdev lan .link adhedhasar setelan IP liwati nalika dibukak liwat baris printah kernel Linux ing format setelan Dracut;

  • Nilai sysctl "kernel.pid_max" ing sistem 64-dicokot saiki disetel minangka standar kanggo 4194304 (22-dicokot PID tinimbang 16-dicokot), kang nyuda kamungkinan tabrakan nalika nemtokake PIDs, nambah watesan ing nomer bebarengan. pangolahan mlaku, lan wis impact positif ing keamanan. Owah-owahan kasebut bisa nyebabake masalah kompatibilitas, nanging masalah kasebut durung dilapurake ing praktik;
  • Kanthi gawan, tataran mbangun ngalih menyang hirarki unified cgroups-v2 ("-Ddefault-hierarchy=unified"). Sadurunge, standar yaiku mode hibrida ("-Ddefault-hierarchy=hybrid");
  • Prilaku filter panggilan sistem (SystemCallFilter) wis diganti, sing, ing kasus panggilan sistem sing dilarang, saiki mungkasi kabeh proses, tinimbang benang individu, amarga mungkasi thread individu bisa nyebabake masalah sing ora bisa ditebak. Owah-owahan mung ditrapake yen sampeyan duwe kernel Linux 4.14+ lan libseccomp 2.4.0+;
  • program unprivileged diwenehi kemampuan kanggo ngirim ICMP Echo (ping) paket dening nyetel sysctl "net.ipv4.ping_group_range" kanggo kabeh sawetara kelompok (kanggo kabeh pangolahan);
  • Kanggo nyepetake proses mbangun, generasi manual manual wis mandheg kanthi standar (kanggo mbangun dokumentasi lengkap, sampeyan kudu nggunakake pilihan "-Dman = bener" utawa "-Dhtml = bener" kanggo manual ing format html). Kanggo nggawe luwih gampang kanggo ndeleng dokumentasi, loro skrip kalebu: build/man/man lan build/man/html kanggo ngasilake lan pratinjau manual kapentingan;
  • Kanggo ngolah jeneng domain kanthi karakter saka aksara nasional, perpustakaan libidn2 digunakake kanthi standar (kanggo bali libidn, gunakake pilihan "-Dlibidn = bener");
  • Dhukungan kanggo file eksekusi /usr/sbin/halt.local, sing nyedhiyakake fungsi sing ora disebarake kanthi akeh ing distribusi, wis mandheg. Kanggo ngatur peluncuran printah nalika mateni, disaranake nggunakake skrip ing /usr/lib/systemd/system-shutdown/ utawa nemtokake unit anyar sing gumantung saka final.target;
  • Ing tahap pungkasan mati, systemd saiki kanthi otomatis nambah level log ing sysctl "kernel.printk", sing ngrampungake masalah kanthi nampilake ing acara log sing kedadeyan ing tahap pungkasan mati, nalika daemon logging biasa wis rampung. ;
  • Ing journalctl lan utilitas liyane sing nampilake log, bebaya disorot warna kuning, lan cathetan audit disorot biru kanggo nyorot kanthi visual saka wong akeh;
  • Ing variabel lingkungan $PATH, path kanggo bin / saiki sadurunge path kanggo sbin /, i.e. yen ana jeneng file eksekusi sing padha ing loro direktori kasebut, file saka bin/ bakal dieksekusi;
  • systemd-logind menehi SetBrightness () telpon kanggo aman ngganti padhange layar ing basis saben sesi;
  • GendΓ©ra "--wait-for-initialization" wis ditambahake menyang printah "udevadm info" kanggo ngenteni piranti diwiwiti;
  • Sajrone boot sistem, panangan PID 1 saiki nampilake jeneng unit tinimbang baris kanthi deskripsi. Kanggo bali menyang prilaku kepungkur, sampeyan bisa nggunakake pilihan StatusUnitFormat ing /etc/systemd/system.conf utawa pilihan kernel systemd.status_unit_format;
  • Added pilihan KExecWatchdogSec kanggo /etc/systemd/system.conf kanggo watchdog PID 1, kang nemtokake wektu entek kanggo miwiti maneh nggunakake kexec. Setelan lawas
    ShutdownWatchdogSec wis diganti jeneng dadi RebootWatchdogSec lan nemtokake wektu entek kanggo proyek nalika mati utawa miwiti maneh normal;

  • Opsi anyar wis ditambahake kanggo layanan Kondisi Eksekusi, sing ngidini sampeyan nemtokake printah sing bakal dieksekusi sadurunge ExecStartPre. Adhedhasar kode kesalahan sing dibalekake dening printah kasebut, keputusan digawe kanggo eksekusi unit luwih lanjut - yen kode 0 bali, unit diluncurake terus, yen saka 1 nganti 254 rampung kanthi meneng tanpa bendera gagal, yen 255 bakal rampung karo gendΓ©ra gagal;
  • Nambahake layanan systemd-pstore.service anyar kanggo ngekstrak data saka sys/fs/pstore/ lan saka nyimpen menyang /var/lib/pstore kanggo analisis luwih lanjut;
  • Printah anyar wis ditambahake menyang utilitas timedatectl kanggo ngatur paramΓ¨ter NTP kanggo systemd-timesyncd sing ana hubungane karo antarmuka jaringan;
  • Printah "localectl list-locales" ora nampilake lokal liyane saka UTF-8;
  • Mesthekake yen kasalahan assignment variabel ing sysctl.d/ file digatΓ¨kakΓ© yen jeneng variabel diwiwiti karo karakter "-";
  • layanan systemd-random-seed.service saiki tanggung jawab kanggo miwiti kumpulan entropi generator nomer pseudorandom kernel Linux. Layanan sing mbutuhake initialized bener /dev/urandom kudu diwiwiti sawise systemd-random-seed.service;
  • Systemd-boot boot loader nyedhiyakake kemampuan opsional kanggo ndhukung file wiji kanthi urutan acak ing Partisi Sistem EFI (ESP);
  • Printah anyar wis ditambahake menyang utilitas bootctl: "bootctl random-seed" kanggo ngasilake file winih ing ESP lan "bootctl is-installed" kanggo mriksa instalasi boot loader systemd-boot. bootctl uga wis disetel kanggo nampilake bebaya babagan konfigurasi entri boot sing salah (contone, nalika gambar kernel dibusak, nanging entri kanggo loading ditinggalake);
  • Nyedhiyakake pilihan otomatis partisi swap nalika sistem dadi mode turu. Partisi dipilih gumantung saka prioritas sing dikonfigurasi, lan ing kasus prioritas sing padha, jumlah ruang kosong;
  • Nambahake pilihan keyfile-timeout kanggo / etc / crypttab kanggo nyetel suwene piranti karo tombol enkripsi bakal ngenteni sadurunge njaluk sandhi kanggo ngakses partisi ndhelik;
  • Nambahake pilihan IOWeight kanggo nyetel bobot I / O kanggo panjadwal BFQ;
  • systemd-resolved nambahake mode 'ketat' kanggo DNS-over-TLS lan ngetrapake kemampuan kanggo cache mung tanggapan DNS sing positif ("Cache no-negatif" ing resolved.conf);
  • Kanggo VXLAN, systemd-networkd wis nambahake pilihan GenericProtocolExtension kanggo ngaktifake ekstensi protokol VXLAN. Kanggo VXLAN lan GENEVE, opsi IPDoNotFragment wis ditambahake kanggo nyetel flag larangan fragmentasi kanggo paket metu;
  • Ing systemd-networkd, ing bagean "[Rute]", opsi FastOpenNoCookie wis katon kanggo ngaktifake mekanisme kanggo mbukak sambungan TCP kanthi cepet (TFO - TCP Fast Open, RFC 7413) sing ana hubungane karo rute individu, uga pilihan TTLPropagate kanggo ngatur TTL LSP (Label Switched Path). Opsi "Jenis" nyedhiyakake dhukungan kanggo mode rute lokal, siaran, anycast, multicast, lan xresolve;
  • Systemd-networkd nawakake pilihan DefaultRouteOnDevice ing bagean "[Jaringan]" kanggo otomatis ngatur rute standar kanggo piranti jaringan tartamtu;
  • Systemd-networkd wis nambah ProxyARP lan
    ProxyARPWifi kanggo nyetel prilaku ARP proxy, MulticastRouter kanggo nyetel paramèter nuntun ing mode multicast, MulticastIGMPVersion kanggo ngganti versi IGMP (Internet Group Management Protocol) kanggo multicast;

  • Systemd-networkd wis nambah opsi Lokal, Peer lan PeerPort kanggo trowongan FooOverUDP kanggo ngatur alamat IP lokal lan remot, uga nomer port jaringan. Kanggo tunnel TUN, opsi VnetHeader wis ditambahake kanggo ngatur dhukungan GSO (Generic Segment Offload);
  • Ing systemd-networkd, ing file .network lan .link ing bagean [Cocok], pilihan Properti wis katon, sing ngijini sampeyan kanggo ngenali piranti kanthi sifat tartamtu ing udev;
  • Ing systemd-networkd, opsi AssignToLoopback wis ditambahake kanggo trowongan, sing ngontrol apa pungkasan trowongan ditugasake menyang piranti loopback "lo";
  • systemd-networkd kanthi otomatis ngaktifake tumpukan IPv6 yen diblokir liwat sysctl disable_ipv6 - IPv6 diaktifake yen setelan IPv6 (statis utawa DHCPv6) ditetepake kanggo antarmuka jaringan, yen ora, nilai sysctl sing wis disetel ora owah;
  • Ing file .network, setelan CriticalConnection wis diganti karo pilihan KeepConfiguration, sing nyedhiyakake luwih akeh cara kanggo nemtokake kahanan ("ya", "statis", "dhcp-on-stop", "dhcp") ing ngendi systemd-networkd kudu ora ndemek sambungan sing ana nalika wiwitan;
  • Kerentanan tetep CVE-2019-15718, disebabake lack saka kontrol akses kanggo D-Bus antarmuka systemd-ditanggulangi. Masalah kasebut ngidini pangguna sing ora duwe hak kanggo nindakake operasi sing mung kasedhiya kanggo pangurus, kayata ngganti setelan DNS lan ngarahake pitakon DNS menyang server nakal;
  • Kerentanan tetep CVE-2019-9619related kanggo ora mbisakake pam_systemd kanggo sesi non-interaktif, sing ngidini spoofing saka sesi aktif.

Source: opennet.ru

Add a comment