ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Rilis manajer sistem systemd 252 kanthi dhukungan UKI (Unified Kernel Image).

Rilis manajer sistem systemd 252 kanthi dhukungan UKI (Unified Kernel Image).

Sawise limang sasi pembangunan, release saka sistem manager systemd 252. Owah-owahan tombol ing versi anyar yaiku integrasi dhukungan kanggo proses boot modern, sing ngijini sampeyan kanggo verifikasi ora mung kernel lan bootloader, nanging uga komponen. saka lingkungan sistem dhasar nggunakake teken digital.

Cara sing diusulake kalebu nggunakake gambar kernel terpadu UKI (Gambar Kernel Unified) nalika loading, sing nggabungake handler kanggo ngemot kernel saka UEFI (boot stub UEFI), gambar kernel Linux lan lingkungan sistem initrd sing dimuat ing memori, digunakake. kanggo initialization dhisikan ing tataran sadurunge soyo tambah ROOT FS. Gambar UKI dikemas minangka file eksekusi siji ing format PE, sing bisa dimuat nggunakake bootloader tradisional utawa langsung saka perangkat kukuh UEFI. Nalika ditelpon saka UEFI, bisa verifikasi integritas lan linuwih tandha digital ora mung kernel, nanging uga isi initrd.

Kanggo ngetung paramèter saka TPM PCR (Dipercaya Platform Modul Platform Konfigurasi Register) digunakake kanggo ngawasi integritas lan generate teken digital saka gambar UKI, kalebu sarana anyar systemd-ukuran. Kunci umum lan informasi PCR sing digunakake ing teken bisa ditempelake langsung menyang gambar boot UKI (tombol lan teken disimpen ing file PE ing kolom '.pcrsig' lan '.pcrkey') lan diekstrak saka njaba. utawa keperluan internal.

Utamane, utilitas systemd-cryptsetup, systemd-cryptenroll lan systemd-creds wis diadaptasi kanggo nggunakake informasi iki, sing sampeyan bisa mesthekake yen partisi disk sing dienkripsi diikat menyang kernel sing ditandatangani kanthi digital (ing kasus iki, akses menyang partisi sing dienkripsi. diwenehake mung yen gambar UKI wis lulus verifikasi kanthi tandha digital adhedhasar paramèter sing ana ing TPM).

Kajaba iku, utilitas systemd-pcrphase kalebu, sing ngidini sampeyan ngontrol ikatan macem-macem tahap boot menyang paramèter sing ana ing memori cryptoprocessors sing ndhukung spesifikasi TPM 2.0 (contone, sampeyan bisa nggawe kunci dekripsi partisi LUKS2 mung kasedhiya ing gambar initrd lan mblokir akses menyang undhuhan ing tahap sabanjure).

Sawetara owah-owahan liyane:

  • Mesthekake yen lokal standar yaiku C.UTF-8 kajaba lokal sing beda ditemtokake ing setelan kasebut.
  • Saiki bisa nindakake operasi prasetel layanan lengkap ("prasetel systemctl") sajrone boot pisanan. Ngaktifake prasetel ing wektu boot mbutuhake mbangun kanthi opsi "-Dfirst-boot-full-preset", nanging direncanakake bakal diaktifake kanthi gawan ing rilis mangsa ngarep.
  • Unit manajemen pangguna kalebu pengontrol sumber daya CPU, sing ndadekake manawa setelan CPUWeight ditrapake kanggo kabeh unit irisan sing digunakake kanggo pamisah sistem dadi bagean (app.slice, background.slice, session.slice) kanggo ngisolasi sumber daya antarane. layanan pangguna beda, saingan kanggo sumber daya CPU. CPUWeight uga ndhukung nilai "idle" kanggo ngaktifake mode penyediaan sumber daya sing cocog.
  • Ing unit sementara ("transient") lan ing sarana systemd-repart, setelan overriding diijini kanthi nggawe file gulung ing direktori /etc/systemd/system/name.d/.
  • Kanggo gambar sistem, gendΓ©ra sing wis rampung ndhukung disetel, nemtokake kasunyatan iki adhedhasar nilai parameter anyar "SUPPORT_END =" ing file /etc/os-release.
  • Ditambahake setelan "ConditionCredential =" lan "AssertCredential =", sing bisa digunakake kanggo nglirwakake utawa nabrak unit yen kapercayan tartamtu ora ana ing sistem kasebut.
  • Added "DefaultSmackProcessLabel =" lan "DefaultDeviceTimeoutSec =" setelan kanggo system.conf lan user.conf kanggo netepake standar SMACK tingkat keamanan lan unit aktifitas wektu entek.
  • Ing setelan "ConditionFirmware =" lan "AssertFirmware =", kemampuan kanggo nemtokake kolom SMBIOS individu wis ditambahake, contone, kanggo miwiti unit mung yen kolom /sys/class/dmi/id/board_name ngemot nilai "Custom". Papan", sampeyan bisa nemtokake "ConditionFirmware = smbios" -field(board_name = "Custom Board").
  • Sajrone proses initialization (PID 1), kemampuan kanggo ngimpor kredensial saka lapangan SMBIOS (Tipe 11, "OEM vendor strings") wis ditambahake saliyane definisi kasebut liwat qemu_fwcfg, sing nyederhanakake panyedhiya kredensial menyang mesin virtual lan ngilangi mbutuhake piranti pihak katelu kayata cloud -init lan ignition.
  • Sajrone shutdown, logika kanggo unmounting sistem file virtual (proc, sys) wis diganti lan informasi babagan proses mblokir unmounting sistem file disimpen ing log.
  • Filter panggilan sistem (SystemCallFilter) ngidini akses menyang telpon sistem riscv_flush_icache minangka standar.
  • Bootloader sd-boot nambahake kemampuan kanggo boot ing mode campuran, ing ngendi kernel Linux 64-bit mlaku saka firmware UEFI 32-bit. Nambahake kemampuan eksperimen kanggo ngetrapake tombol SecureBoot kanthi otomatis saka file sing ditemokake ing ESP (partisi sistem EFI).
  • Opsi anyar wis ditambahake menyang utilitas bootctl: "β€”all-architectures" kanggo nginstal binari kanggo kabeh arsitektur EFI sing didhukung, "β€”root=" lan "-image=" kanggo nggarap direktori utawa gambar disk, "-install-source. =" kanggo nemtokake sumber instalasi, "-efi-boot-option-description=" kanggo ngontrol jeneng entri boot.
  • Printah 'list-automounts' wis ditambahake menyang utilitas systemctl kanggo nampilake dhaptar direktori sing dipasang kanthi otomatis lan pilihan "--image =" kanggo nglakokake perintah sing ana hubungane karo gambar disk sing ditemtokake. Nambahake opsi "--state =" lan "--type =" menyang 'show' lan 'status' printah.
  • systemd-networkd nambah opsi "TCPCongestionControlAlgorithm =" kanggo milih algoritma kontrol rame TCP, "KeepFileDescriptor =" kanggo nyimpen deskriptor file antarmuka TUN / TAP, "NetLabel =" kanggo nyetel NetLabels, "RapidCommit =" kanggo nyepetake konfigurasi liwat DHCPv6 (RFC 3315). Parameter "RouteTable =" ngidini nemtokake jeneng tabel routing.
  • systemd-nspawn ngidini panggunaan path file relatif ing opsi "--bind =" lan "--overlay =". Nambahake dhukungan kanggo parameter 'rootidmap' menyang opsi "--bind =" kanggo ngiket ID pangguna root ing wadhah menyang pemilik direktori sing dipasang ing sisih host.
  • systemd-resolved nggunakake OpenSSL minangka backend enkripsi kanthi standar (dhukungan gnutls ditahan minangka pilihan). Algoritma DNSSEC sing ora didhukung saiki dianggep ora aman tinimbang ngasilake kesalahan (SERVFAIL).
  • systemd-sysusers, systemd-tmpfiles lan systemd-sysctl ngetrapake kemampuan kanggo nransfer setelan liwat mekanisme panyimpenan kredensial.
  • Nambahake perintah 'compare-versions' menyang systemd-analyse kanggo mbandhingake string karo nomer versi (padha karo 'rpmdev-vercmp' lan 'dpkg --compare-versions'). Nambahake kemampuan kanggo nyaring unit kanthi topeng menyang perintah 'systemd-analyse dump'.
  • Nalika milih mode turu multi-tataran (nundha-banjur-hibernasi), wektu sing dienggo ing mode siyaga saiki dipilih adhedhasar ramalan umur baterei sing isih ana. Transisi cepet menyang mode turu ana nalika pangisi daya baterei kurang saka 5%.
  • Mode output anyar "-o short-delta" wis ditambahake menyang 'journalctl', nuduhake prabΓ©dan wektu antarane pesen beda ing log.
  • systemd-repart nambahake dhukungan kanggo nggawe partisi karo sistem file Squashfs lan partisi kanggo dm-verity, kalebu kanthi tandha digital.
  • Nambahake setelan "StopIdleSessionSec =" menyang systemd-login kanggo mungkasi sesi sing ora aktif sawise wektu entek sing ditemtokake.
  • Systemd-cryptenroll wis nambahake opsi "--unlock-key-file =" kanggo ngekstrak kunci dekripsi saka file tinimbang njaluk pangguna.
  • Saiki bisa mbukak sarana systemd-growfs ing lingkungan tanpa udev.
  • systemd-backlight wis nambah support kanggo sistem karo sawetara kertu grafis.
  • Lisensi kanggo conto kode sing diwenehake ing dokumentasi wis diganti saka CC0 dadi MIT-0.

Owah-owahan sing ngrusak kompatibilitas:

  • Nalika mriksa nomer versi kernel nggunakake direktif ConditionKernelVersion, perbandingan string prasaja saiki digunakake ing operator '=' lan '!=', lan yen operator mbandhingake ora ditemtokake kabeh, pencocokan glob-mask bisa digunakake nggunakake aksara '*', '?' Lan '[', ']'. Kanggo mbandhingake versi gaya stverscmp(), gunakake operator '<', '>', '<=' lan '>='.
  • Tag SELinux sing digunakake kanggo mriksa akses saka file unit saiki diwaca nalika file dimuat, tinimbang nalika mriksa akses.
  • Kondisi "ConditionFirstBoot" saiki dipicu ing boot pisanan sistem mung langsung ing tahap boot lan ngasilake "palsu" nalika nelpon unit sawise boot rampung.
  • Ing taun 2024, systemd ngrancang kanggo mungkasi ndhukung mekanisme watesan sumber daya cgroup v1, sing ora digunakake ing release systemd 248. Administrator disaranake supaya ati-ati sadurunge migrasi layanan basis cgroup v2 menyang cgroup v1. Bentenipun tombol antarane cgroups v2 lan v1 nggunakake hirarki cgroups umum kanggo kabeh jinis sumber daya, tinimbang hirarki kapisah kanggo alokasi sumber daya CPU, kanggo ngatur konsumsi memori, lan kanggo I / O. Hierarki sing kapisah nyebabake kesulitan ngatur interaksi antarane panangan lan biaya sumber kernel tambahan nalika ngetrapake aturan kanggo proses sing dirujuk ing hirarki sing beda.
  • Ing separo kapindho 2023, kita rencana kanggo mungkasi dhukungan kanggo hierarki direktori pamisah, ing ngendi / usr dipasang kanthi kapisah saka oyod, utawa / bin lan / usr / bin, / lib lan / usr / lib dipisahake.

Source: opennet.ru

Add a comment