systemd სისტემის მენეჯერის გამოშვება 250

ხუთთვიანი შემუშავების შემდეგ, წარმოდგენილი იქნა სისტემის მენეჯერის Systemd 250 გამოშვება. ახალმა გამოცემამ შემოიღო რწმუნებათა სიგელების დაშიფრული ფორმით შენახვის შესაძლებლობა, განხორციელდა ავტომატურად აღმოჩენილი GPT დანაყოფების გადამოწმება ციფრული ხელმოწერის გამოყენებით, გააუმჯობესა ინფორმაცია შეფერხების მიზეზების შესახებ, როდესაც სერვისების დაწყება და დამატებული ვარიანტები სერვისის წვდომის შეზღუდვისთვის გარკვეულ ფაილურ სისტემებზე და ქსელურ ინტერფეისებზე, უზრუნველყოფილია დანაყოფების მთლიანობის მონიტორინგის მხარდაჭერა dm-integrity მოდულის გამოყენებით და დამატებულია sd-boot ავტომატური განახლების მხარდაჭერა.

ძირითადი ცვლილებები:

• დამატებულია მხარდაჭერა დაშიფრული და ავტორიზებული სერთიფიკატების შესახებ, რაც შეიძლება სასარგებლო იყოს მგრძნობიარე მასალების უსაფრთხოდ შესანახად, როგორიცაა SSL გასაღებები და წვდომის პაროლები. რწმუნებათა სიგელების გაშიფვრა ხორციელდება მხოლოდ საჭიროების შემთხვევაში და ადგილობრივ ინსტალაციასთან ან აღჭურვილობასთან დაკავშირებით. მონაცემები დაშიფრულია ავტომატურად, სიმეტრიული დაშიფვრის ალგორითმების გამოყენებით, რომლის გასაღები შეიძლება განთავსდეს ფაილურ სისტემაში, TPM2 ჩიპში ან კომბინირებული სქემის გამოყენებით. როდესაც სერვისი იწყება, რწმუნებათა სიგელები ავტომატურად გაშიფრულია და ხელმისაწვდომი ხდება სერვისისთვის მისი ნორმალური ფორმით. დაშიფრულ სერთიფიკატებთან მუშაობისთვის დაემატა პროგრამა "systemd-creds" და სერვისებისთვის შემოთავაზებულია LoadCredentialEncrypted და SetCredentialEncrypted პარამეტრები.
• sd-stub, EFI შესრულებადი, რომელიც საშუალებას აძლევს EFI firmware-ს ჩატვირთოს Linux ბირთვი, ახლა მხარს უჭერს ბირთვის ჩატვირთვას LINUX_EFI_INITRD_MEDIA_GUID EFI პროტოკოლის გამოყენებით. ასევე sd-stub-ს დაემატა რწმუნებათა სიგელების და sysext ფაილების cpio არქივში შეფუთვის და ამ არქივის ბირთვში გადატანა initrd-თან ერთად (დამატებითი ფაილები მოთავსებულია /.extra/ დირექტორიაში). ეს ფუნქცია საშუალებას გაძლევთ გამოიყენოთ შემოწმებადი უცვლელი initrd გარემო, რომელიც ავსებს sysexts და დაშიფრული ავტორიზაციის მონაცემებით.
• აღმოჩენადი დანაყოფების სპეციფიკაცია მნიშვნელოვნად გაფართოვდა, რაც უზრუნველყოფს ინსტრუმენტებს სისტემის დანაყოფების იდენტიფიკაციის, დამონტაჟებისა და გააქტიურებისთვის GPT (GUID Partition Tables) გამოყენებით. წინა გამოშვებებთან შედარებით, სპეციფიკაცია ახლა მხარს უჭერს root დანაყოფის და /usr დანაყოფის უმეტეს არქიტექტურას, მათ შორის პლატფორმებს, რომლებიც არ იყენებენ UEFI-ს.

  Discoverable Partitions ასევე ამატებს მხარდაჭერას დანაყოფებისთვის, რომელთა მთლიანობა დამოწმებულია dm-verity მოდულით PKCS#7 ციფრული ხელმოწერების გამოყენებით, რაც აადვილებს დისკის სრულად ავტორიზებული სურათების შექმნას. ვერიფიკაციის მხარდაჭერა ინტეგრირებულია სხვადასხვა უტილიტებში, რომლებიც მანიპულირებენ დისკის გამოსახულებებს, მათ შორის systemd-nspawn, systemd-sysext, systemd-dissect, RootImage სერვისები, systemd-tmpfiles და systemd-sysusers.

• ერთეულებისთვის, რომელთა დაწყებას ან გაჩერებას დიდი დრო სჭირდება, ანიმაციური პროგრესის ზოლის ჩვენების გარდა, შესაძლებელია სტატუსის ინფორმაციის ჩვენება, რომელიც საშუალებას გაძლევთ გაიგოთ, რა ხდება კონკრეტულად სერვისთან ამ მომენტში და რომელი სერვისია სისტემის მენეჯერი. ამჟამად ელოდება დასრულებას.
• დაემატა DefaultOOMScoreAdjust პარამეტრი /etc/systemd/system.conf და /etc/systemd/user.conf, რაც საშუალებას გაძლევთ დაარეგულიროთ OOM-killer ბარიერი დაბალი მეხსიერებისთვის, რომელიც გამოიყენება იმ პროცესებზე, რომლებიც სისტემა იწყება სისტემისთვის და მომხმარებლებისთვის. ნაგულისხმევად, სისტემური სერვისების წონა უფრო მაღალია, ვიდრე მომხმარებლის სერვისების, ე.ი. არასაკმარისი მეხსიერების შემთხვევაში, მომხმარებლის სერვისების შეწყვეტის ალბათობა უფრო მაღალია, ვიდრე სისტემური.
• დამატებულია RestrictFileSystems პარამეტრი, რომელიც საშუალებას გაძლევთ შეზღუდოთ სერვისების წვდომა გარკვეული ტიპის ფაილურ სისტემებზე. ხელმისაწვდომი ფაილური სისტემების ტიპების სანახავად შეგიძლიათ გამოიყენოთ ბრძანება „systemd-analyze filesystems“. ანალოგიით, დანერგილია RestrictNetworkInterfaces ვარიანტი, რომელიც საშუალებას გაძლევთ შეზღუდოთ წვდომა გარკვეულ ქსელურ ინტერფეისებზე. განხორციელება დაფუძნებულია BPF LSM მოდულზე, რომელიც ზღუდავს პროცესების ჯგუფის წვდომას ბირთვის ობიექტებზე.
• დამატებულია ახალი /etc/integritytab კონფიგურაციის ფაილი და systemd-integritysetup უტილიტა, რომელიც აკონფიგურირებს dm-integrity მოდულს, რათა აკონტროლოს მონაცემთა მთლიანობა სექტორის დონეზე, მაგალითად, დაშიფრული მონაცემების უცვლელობის გარანტიას (Authenticated Encryption, უზრუნველყოფს მონაცემთა ბლოკს არ არის შეცვლილი შემოვლითი გზით) . /etc/integritytab ფაილის ფორმატი მსგავსია /etc/crypttab და /etc/veritytab ფაილების, გარდა იმისა, რომ dm-integrity გამოიყენება dm-crypt და dm-verity-ის ნაცვლად.
• დაემატა ახალი ერთეული ფაილი systemd-boot-update.service, როდესაც გააქტიურდება და sd-boot bootloader დაინსტალირდება, systemd ავტომატურად განაახლებს sd-boot bootloader-ის ვერსიას, ჩატვირთვის კოდს ყოველთვის განახლებული ინახავს. თავად sd-boot ახლა ნაგულისხმევად არის აშენებული SBAT (UEFI Secure Boot Advanced Targeting) მექანიზმის მხარდაჭერით, რომელიც წყვეტს UEFI Secure Boot-ისთვის სერთიფიკატის გაუქმების პრობლემებს. გარდა ამისა, sd-boot უზრუნველყოფს Microsoft Windows-ის ჩატვირთვის პარამეტრების გაანალიზების შესაძლებლობას Windows-ის ჩატვირთვის დანაყოფების სახელების სწორად გენერირებისთვის და Windows-ის ვერსიის ჩვენების მიზნით.

  sd-boot ასევე უზრუნველყოფს ფერის სქემის განსაზღვრის შესაძლებლობას აშენების დროს. ჩატვირთვის პროცესში დაემატა მხარდაჭერა ეკრანის გარჩევადობის შესაცვლელად ღილაკზე „r“ დაჭერით. დამატებულია ცხელი ღილაკი „f“ პროგრამული უზრუნველყოფის კონფიგურაციის ინტერფეისზე გადასასვლელად. დამატებულია რეჟიმი, რომ სისტემა ავტომატურად ჩაიტვირთოს ბოლო ჩატვირთვისას არჩეული მენიუს ელემენტის შესაბამისი. დაემატა EFI დრაივერების ავტომატურად ჩატვირთვის შესაძლებლობა, რომელიც მდებარეობს /EFI/systemd/drivers/ დირექტორიაში ESP (EFI System Partition) განყოფილებაში.

• მოყვება ახალი ერთეულის ფაილი factory-reset.target, რომელიც მუშავდება systemd-logind-ში გადატვირთვის, გამორთვის, შეჩერების და ჰიბერნაციის ოპერაციების ანალოგიურად და გამოიყენება ქარხნული გადატვირთვის შესასრულებლად დამმუშავებლების შესაქმნელად.
• სისტემად გადაწყვეტილი პროცესი ახლა ქმნის დამატებით მოსასმენ სოკეტს 127.0.0.54-ზე 127.0.0.53-ის გარდა. 127.0.0.54-ზე შემოსული მოთხოვნები ყოველთვის გადამისამართებულია ზემოთ DNS სერვერზე და არ მუშავდება ადგილობრივად.
• უზრუნველყოფილია systemd-importd და systemd-resolved OpenSSL ბიბლიოთეკის აშენების შესაძლებლობა libgcrypt-ის ნაცვლად.
• დაემატა საწყისი მხარდაჭერა LoongArch არქიტექტურისთვის, რომელიც გამოიყენება Loongson პროცესორებში.
• systemd-gpt-auto-generator უზრუნველყოფს LUKS2 ქვესისტემით დაშიფრული სისტემის მიერ განსაზღვრული სვოპ ტიხრების ავტომატურად კონფიგურაციის შესაძლებლობას.
• GPT გამოსახულების ანალიზის კოდი, რომელიც გამოიყენება systemd-nspawn, systemd-dissect და მსგავსი უტილიტებში, ახორციელებს სურათების გაშიფვრის უნარს სხვა არქიტექტურებისთვის, რაც საშუალებას აძლევს systemd-nspawn გამოიყენოს სურათები სხვა არქიტექტურის ემულატორებზე გამოსაშვებად.
• დისკის სურათების შემოწმებისას, systemd-dissect ახლა აჩვენებს ინფორმაციას დანაყოფის დანიშნულების შესახებ, როგორიცაა UEFI-ის საშუალებით ჩატვირთვის ვარგისიანობა ან კონტეინერში გაშვება.
• ველი „SYSEXT_SCOPE“ დაემატა system-extension.d/ ფაილებს, რაც საშუალებას გაძლევთ მიუთითოთ სისტემის სურათის ფარგლები - „initrd“, „system“ ან „პორტატული“.
• "PORTABLE_PREFIXES" ველი დაემატა os-release ფაილს, რომელიც შეიძლება გამოყენებულ იქნას პორტატულ სურათებში მხარდაჭერილი ერთეულის ფაილის პრეფიქსების დასადგენად.
• systemd-logind წარმოგიდგენთ ახალ პარამეტრებს HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress და HandleHibernateKeyLongPress, რომლებიც შეიძლება გამოყენებულ იქნას იმის დასადგენად, თუ რა მოხდება, როდესაც გარკვეული კლავიშები 5 წამზე მეტი ხანგრძლივობით ჩერდება (მაგ. და როცა დაჭერით დაიძინებს) .
• ერთეულებისთვის დანერგილია StartupAllowedCPUs და StartupAllowedMemoryNodes პარამეტრები, რომლებიც განსხვავდებიან მსგავსი პარამეტრებისგან Startup პრეფიქსის გარეშე იმით, რომ ისინი გამოიყენება მხოლოდ ჩატვირთვისა და გამორთვის ეტაპზე, რაც საშუალებას გაძლევთ დააყენოთ რესურსების სხვა შეზღუდვები ჩატვირთვისას.
• დამატებულია [Condition|Assert][Memory|CPU|IO]წნევის შემოწმებები, რომლებიც საშუალებას გაძლევთ გამოტოვოთ ან ვერ მოხერხდეს ერთეულის გააქტიურება, თუ PSI მექანიზმი აღმოაჩენს სისტემაში მეხსიერების, CPU და I/O დიდ დატვირთვას.
• ნაგულისხმევი მაქსიმალური inode ლიმიტი გაიზარდა /dev დანაყოფისთვის 64k-დან 1M-მდე და /tmp დანაყოფისთვის 400k-დან 1M-მდე.
• სერვისებისთვის შემოთავაზებულია ExecSearchPath პარამეტრი, რაც შესაძლებელს ხდის შეცვალოს შესრულებადი ფაილების ძიების გზა, რომელიც გაშვებულია პარამეტრების საშუალებით, როგორიცაა ExecStart.
• დამატებულია RuntimeRandomizedExtraSec პარამეტრი, რომელიც საშუალებას გაძლევთ შემოიტანოთ შემთხვევითი გადახრები RuntimeMaxSec ვადაში, რაც ზღუდავს ერთეულის შესრულების დროს.
• გაფართოვდა RuntimeDirectory, StateDirectory, CacheDirectory და LogsDirectory პარამეტრების სინტაქსი, რომელშიც ორწერტილით გამოყოფილი დამატებითი მნიშვნელობის მითითებით, ახლა შეგიძლიათ მოაწყოთ სიმბოლური ბმულის შექმნა მოცემულ დირექტორიაში წვდომის ორგანიზებისთვის რამდენიმე ბილიკზე.
• სერვისებისთვის, TTYRows და TTYColumns პარამეტრები შემოთავაზებულია TTY მოწყობილობაში მწკრივებისა და სვეტების რაოდენობის დასაყენებლად.
• დამატებულია ExitType პარამეტრი, რომელიც საშუალებას გაძლევთ შეცვალოთ სერვისის დასრულების ლოგიკა. ნაგულისხმევად, systemd აკონტროლებს მხოლოდ ძირითადი პროცესის სიკვდილს, მაგრამ თუ დაყენებულია ExitType=cgroup, სისტემის მენეჯერი დაელოდება cgroup-ში ბოლო პროცესის დასრულებას.
• systemd-cryptsetup-ის TPM2/FIDO2/PKCS11 მხარდაჭერის იმპლემენტაცია ახლა ასევე აგებულია როგორც cryptsetup დანამატი, რომელიც საშუალებას იძლევა გამოიყენოს ნორმალური cryptsetup ბრძანება დაშიფრული დანაყოფის განბლოკვისთვის.
• TPM2 დამმუშავებელი systemd-cryptsetup/systemd-cryptsetup ამატებს RSA პირველადი გასაღებების მხარდაჭერას ECC გასაღებებთან ერთად, რათა გააუმჯობესოს თავსებადობა არა-ECC ჩიპებთან.
• Token-timeout ოფცია დაემატა /etc/crypttab-ს, რომელიც საშუალებას გაძლევთ განსაზღვროთ მაქსიმალური დრო PKCS#11/FIDO2 ტოკენის კავშირის მოლოდინში, რის შემდეგაც მოგეთხოვებათ შეიყვანოთ პაროლი ან აღდგენის გასაღები.
• systemd-timesyncd ახორციელებს SaveIntervalSec პარამეტრს, რომელიც საშუალებას გაძლევთ პერიოდულად შეინახოთ სისტემის მიმდინარე დრო დისკზე, მაგალითად, RTC-ის გარეშე სისტემებზე მონოტონური საათის დანერგვა.
• ოფციები დაემატა systemd-analyze პროგრამას: „--image“ და „--root“ ერთეული ფაილების შესამოწმებლად მოცემულ სურათში ან root დირექტორიაში, „--recursive-errors“ დამოკიდებული ერთეულების გათვალისწინებისთვის შეცდომის დროს. აღმოჩენილია, „--ხაზგარეშე“ დისკზე შენახული ფაილების ცალკე შესამოწმებლად, „—json“ JSON ფორმატში გამოსასვლელად, „—ჩუმი“ უმნიშვნელო შეტყობინებების გამორთვისთვის, „—პროფილი“ პორტატულ პროფილთან დასაკავშირებლად. ასევე დამატებულია inspect-elf ბრძანება ძირითადი ფაილების ELF ფორმატში გასაანალიზებლად და ერთეულის ფაილების შემოწმების შესაძლებლობა მოცემული ერთეულის სახელით, მიუხედავად იმისა, შეესაბამება თუ არა ეს სახელი ფაილის სახელს.
• systemd-networkd-მა გააფართოვა მხარდაჭერა Controller Area Network (CAN) ავტობუსისთვის. დამატებულია პარამეტრები CAN რეჟიმების სამართავად: Loopback, OneShot, PresumeAck და ClassicDataLengthCode. დამატებულია TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2, DataPhaseBufferSegmentXNUMX და DataSyncJumpWidth-ის ფაილების სინქრონიზაციის პარამეტრები. ინტერფეისი.
• Systemd-networkd-მა დაამატა Label ვარიანტი DHCPv4 კლიენტისთვის, რომელიც საშუალებას გაძლევთ დააკონფიგურიროთ მისამართის ლეიბლი, რომელიც გამოიყენება IPv4 მისამართების კონფიგურაციისას.
• systemd-udevd for "ethtool" ახორციელებს მხარდაჭერას სპეციალური "max" მნიშვნელობებისთვის, რომლებიც აყენებენ ბუფერის ზომას მაქსიმალურ მნიშვნელობაზე, რომელსაც მხარს უჭერს აპარატურა.
• .link ფაილებში systemd-udevd-ისთვის ახლა შეგიძლიათ სხვადასხვა პარამეტრის კონფიგურაცია ქსელის გადამყვანების და ტექნიკის დამმუშავებლების დასაკავშირებლად (ჩამოტვირთვა).
• systemd-networkd გთავაზობთ ახალ .network ფაილებს ნაგულისხმევად: 80-container-vb.network, რათა განისაზღვროს ქსელის ხიდები, რომლებიც შექმნილია systemd-nspawn-ის გაშვებისას „--network-bridge“ ან „--network-zone“ ოფციებით; 80-6rd-tunnel.network, რათა განისაზღვროს გვირაბები, რომლებიც ავტომატურად იქმნება DHCP პასუხის მიღებისას 6RD ვარიანტით.
• Systemd-networkd-მა და systemd-udevd-მა დაამატეს IP გადამისამართების მხარდაჭერა InfiniBand ინტერფეისებით, რისთვისაც "[IPoIB]" განყოფილება დაემატა systemd.netdev ფაილებს და "ipoib" მნიშვნელობის დამუშავება განხორციელდა Kind-ში. დაყენება.
• systemd-networkd უზრუნველყოფს ავტომატური მარშრუტის კონფიგურაციას AllowedIPs პარამეტრში მითითებული მისამართებისთვის, რომელთა კონფიგურაცია შესაძლებელია RouteTable და RouteMetric პარამეტრების მეშვეობით [WireGuard] და [WireGuardPeer] სექციებში.
• systemd-networkd უზრუნველყოფს უცვლელი MAC მისამართების ავტომატურ გენერირებას batadv და bridge ინტერფეისებისთვის. ამ ქცევის გამოსართავად, შეგიძლიათ მიუთითოთ MACAddress=none .netdev ფაილებში.
• WakeOnLanPassword პარამეტრი დაემატა .link ფაილებს "[Link]" განყოფილებაში, რათა დადგინდეს პაროლი, როდესაც WoL მუშაობს "SecureOn" რეჟიმში.
• დაამატა AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO და UseRawPacketSize პარამეტრები .network ფაილების „[CAKE]“ განყოფილებაში, რათა განისაზღვროს ქსელის ქსელის პარამეტრების CAKE (Common Enced) .
• დაამატა IgnoreCarrierLoss პარამეტრი .network ფაილების "[Network]" განყოფილებაში, რომელიც საშუალებას გაძლევთ განსაზღვროთ რამდენი ხანი უნდა დაელოდოთ გადამზიდველის სიგნალის დაკარგვას.
• Systemd-nspawn, homectl, machinectl და systemd-run გააფართოვეს "--setenv" პარამეტრის სინტაქსი - თუ მითითებულია მხოლოდ ცვლადის სახელი ("="-ის გარეშე), მნიშვნელობა მიიღება შესაბამისი გარემოს ცვლადიდან (ამისთვის მაგალითად, "--setenv=FOO"-ს მითითებისას მნიშვნელობა აიღება $FOO გარემოს ცვლადიდან და გამოყენებული იქნება იმავე სახელწოდების გარემოს ცვლადში, რომელიც მითითებულია კონტეინერში).
• systemd-nspawn-მა დაამატა "--suppress-sync" ოფცია სინქრონიზაციის()/fsync()/fdatasync() სისტემის ზარების გასათიშად კონტეინერის შექმნისას (სასარგებლოა, როცა სიჩქარე პრიორიტეტულია და ავარიის შემთხვევაში არტეფაქტების შენარჩუნება არ არის. მნიშვნელოვანია, რადგან მათი ხელახლა შექმნა ნებისმიერ დროს შეიძლება).
• დაემატა ახალი hwdb მონაცემთა ბაზა, რომელიც მოიცავს სხვადასხვა ტიპის სიგნალის ანალიზატორებს (მულტიმეტრები, პროტოკოლის ანალიზატორები, ოსცილოსკოპები და ა.შ.). ინფორმაცია კამერების შესახებ hwdb-ში გაფართოვდა ველით, სადაც არის ინფორმაცია კამერის ტიპის (რეგულარული ან ინფრაწითელი) და ლინზების განთავსების შესახებ (წინა ან უკანა).
• ჩართულია ქსელის ინტერფეისის სახელების შეუცვლელი გენერირება ქსელის მოწყობილობებისთვის, რომლებიც გამოიყენება Xen-ში.
• ძირითადი ფაილების ანალიზი systemd-coredump უტილიტას მიერ libdw/libelf ბიბლიოთეკებზე დაფუძნებული ახლა მიმდინარეობს ცალკე პროცესში, იზოლირებული sandbox გარემოში.
• systemd-importd-მა დაამატა მხარდაჭერა გარემოს ცვლადების $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, რომლითაც შეგიძლიათ გამორთოთ Btrfs ქვეგანყოფილებების გენერაცია, ასევე დააკონფიგურიროთ სინქრონიზაცია და კვოტები.
• systemd-journald-ში, ფაილურ სისტემებზე, რომლებიც მხარს უჭერენ ასლის ჩაწერის რეჟიმს, COW რეჟიმი ხელახლა ჩართულია დაარქივებული ჟურნალებისთვის, რაც მათ Btrfs-ის გამოყენებით შეკუმშვის საშუალებას აძლევს.
• systemd-journald ახორციელებს იდენტური ველების დედუბლირებას ერთ შეტყობინებაში, რომელიც შესრულებულია იმ ეტაპზე, სანამ შეტყობინება განთავსდება ჟურნალში.
• დამატებულია "--show" ვარიანტი გამორთვის ბრძანებისთვის დაგეგმილი გამორთვის საჩვენებლად.

წყარო: opennet.ru