systemd სისტემის მენეჯერის გამოშვება 243

განვითარების ხუთი თვის შემდეგ წარმოდგენილია სისტემის მენეჯერის გამოშვება სისტემად 243. ინოვაციებს შორის შეგვიძლია აღვნიშნოთ სისტემაში დაბალი მეხსიერების დამმუშავებლის PID 1-ში ინტეგრაცია, ერთეულის ტრაფიკის ფილტრაციისთვის საკუთარი BPF პროგრამების მიმაგრების მხარდაჭერა, სისტემური ქსელის მრავალი ახალი ვარიანტი, ქსელის გამტარუნარიანობის მონიტორინგის რეჟიმი. ინტერფეისები, ნაგულისხმევად ჩართვა 64-ბიტიან სისტემებზე 22-ბიტიანი PID ნომრების ნაცვლად 16-ბიტიანი, გადასვლა ერთიან cgroups-ის იერარქიაზე, ჩართვა systemd-network-generator-ში.

ძირითადი ცვლილებები:

• ბირთვის მიერ წარმოქმნილი სიგნალების ამოცნობა მეხსიერების ამოწურვის შესახებ (Out-Of-Memory, OOM) დაემატა PID 1 დამმუშავებელს, რათა გადაიტანოს ერთეულები, რომლებმაც მიაღწიეს მეხსიერების მოხმარების ლიმიტს სპეციალურ მდგომარეობაში, არჩევითი შესაძლებლობით, აიძულონ ისინი შეწყვიტონ. ან გაჩერება;
• ერთეული ფაილებისთვის, ახალი პარამეტრები IPIngressFilterPath და
  IPEgressFilterPath, რომელიც საშუალებას გაძლევთ დააკავშიროთ BPF პროგრამები თვითნებურ დამმუშავებლებთან, რათა გაფილტროთ შემომავალი და გამავალი IP პაკეტები, რომლებიც გენერირებულია ამ ერთეულთან დაკავშირებული პროცესებით. შემოთავაზებული ფუნქციები საშუალებას გაძლევთ შექმნათ ერთგვარი firewall სისტემური სერვისებისთვის. წერის მაგალითი მარტივი ქსელის ფილტრი BPF-ზე დაფუძნებული;

• "სუფთა" ბრძანება დაემატა systemctl უტილიტას, რათა წაშალოთ ქეში, გაშვების ფაილები, სტატუსის ინფორმაცია და ჟურნალის დირექტორიები;
• systemd-networkd ამატებს მხარდაჭერას MACsec, nlmon, IPVTAP და Xfrm ქსელური ინტერფეისებისთვის;
• systemd-networkd ახორციელებს DHCPv4 და DHCPv6 სტეკების ცალკეულ კონფიგურაციას "[DHCPv4]" და "[DHCPv6]" სექციების მეშვეობით კონფიგურაციის ფაილში. დამატებულია RoutesToDNS ოფცია, რათა დაემატოს ცალკე მარშრუტი DNS სერვერზე მითითებულ პარამეტრებში, რომლებიც მიიღება DHCP სერვერიდან (ისე, რომ ტრაფიკი DNS-ზე გაიგზავნება იმავე ბმულით, როგორც DHCP-დან მიღებული მთავარი მარშრუტი). DHCPv4-სთვის დამატებულია ახალი ვარიანტები: MaxAttempts - მოთხოვნის მაქსიმალური რაოდენობა მისამართის მისაღებად, BlackList - DHCP სერვერების შავი სია, SendRelease - სესიის დასრულებისას DHCP RELEASE შეტყობინებების გაგზავნის ჩართვა;
• ახალი ბრძანებები დაემატა systemd-analyze პროგრამას:
  • “systemd-analyze timestamp” - დროის ანალიზი და კონვერტაცია;
  • “systemd-analyze timepan” - დროის პერიოდების ანალიზი და კონვერტაცია;
  • “systemd-analyze condition” - ConditionXYZ გამონათქვამების ანალიზი და ტესტირება;
  • “systemd-analyze exit-status” - გასასვლელი კოდების ანალიზი და კონვერტაცია რიცხვებიდან სახელებად და პირიქით;
  • "systemd-analyze unit-files" - ჩამოთვლის ფაილის ყველა ბილიკს ერთეულებისთვის და ერთეულების მეტსახელებისთვის.
• ოფციები SuccessExitStatus, RestartPreventExitStatus და
  RestartForceExitStatus ახლა მხარს უჭერს არა მხოლოდ ციფრული დაბრუნების კოდებს, არამედ მათ ტექსტურ იდენტიფიკატორებს (მაგალითად, "DATAERR"). იდენტიფიკატორებზე მინიჭებული კოდების სიის ნახვა შეგიძლიათ „sytemd-analyze exit-status“ ბრძანების გამოყენებით;

• ვირტუალური ქსელის მოწყობილობების წასაშლელად networkctl უტილიტას დაემატა ბრძანება „delete“, ასევე მოწყობილობის სტატისტიკის ჩვენების ოფცია „—stats“;
• SpeedMeter და SpeedMeterIntervalSec პარამეტრები დაემატა networkd.conf-ს ქსელის ინტერფეისების გამტარუნარიანობის პერიოდულად გასაზომად. გაზომვის შედეგებიდან მიღებული სტატისტიკა შეიძლება იხილოთ 'networkctl status' ბრძანების გამოსავალში;
• დამატებულია ახალი პროგრამა systemd-network-generator ფაილების გენერირებისთვის
  .network,.

• sysctl "kernel.pid_max" მნიშვნელობა 64-ბიტიან სისტემებზე ახლა ნაგულისხმევად არის დაყენებული 4194304-ზე (22-ბიტიანი PID 16-ბიტის ნაცვლად), რაც ამცირებს შეჯახების ალბათობას PID-ების მინიჭებისას, ზრდის ლიმიტს ერთდროულ რაოდენობაზე. აწარმოებს პროცესებს და დადებითად აისახება უსაფრთხოებაზე. ცვლილებამ შესაძლოა გამოიწვიოს თავსებადობის პრობლემები, მაგრამ მსგავსი საკითხები პრაქტიკაში ჯერ არ დაფიქსირებულა;
• ნაგულისხმევად, მშენებლობის ეტაპი გადადის ერთიან იერარქიაზე cgroups-v2 (“-Ddefault-hierarchy=unified”). ადრე ნაგულისხმევი იყო ჰიბრიდული რეჟიმი (“-Ddefault-hierarchy=hybrid”);
• შეიცვალა სისტემური ზარის ფილტრის (SystemCallFilter) ქცევა, რაც აკრძალული სისტემური ზარის შემთხვევაში წყვეტს მთელ პროცესს და არა ცალკეულ ძაფებს, რადგან ცალკეული ძაფების შეწყვეტამ შეიძლება გამოიწვიოს არაპროგნოზირებადი პრობლემები. ცვლილებები ვრცელდება მხოლოდ იმ შემთხვევაში, თუ თქვენ გაქვთ Linux kernel 4.14+ და libseccomp 2.4.0+;
• არაპრივილეგირებულ პროგრამებს ეძლევათ შესაძლებლობა გაგზავნონ ICMP Echo (ping) პაკეტები sysctl "net.ipv4.ping_group_range" ჯგუფის მთელი დიაპაზონისთვის (ყველა პროცესისთვის) დაყენებით;
• მშენებლობის პროცესის დასაჩქარებლად, man manuals-ის გენერაცია ნაგულისხმევად შეჩერდა (სრული დოკუმენტაციის ასაგებად, თქვენ უნდა გამოიყენოთ ვარიანტი „-Dman=true“ ან „-Dhtml=true“ სახელმძღვანელოებისთვის html ფორმატში). დოკუმენტაციის ნახვის გასაადვილებლად, დართულია ორი სკრიპტი: build/man/man და build/man/html საინტერესო სახელმძღვანელოების გენერირებისთვის და წინასწარი გადახედვისთვის;
• ეროვნული ანბანის სიმბოლოებით დომენური სახელების დასამუშავებლად ნაგულისხმევად გამოიყენება libidn2 ბიბლიოთეკა (libidn-ის დასაბრუნებლად გამოიყენეთ „-Dlibidn=true“ ვარიანტი);
• შეწყვეტილია /usr/sbin/halt.local შესრულებადი ფაილის მხარდაჭერა, რომელიც უზრუნველყოფდა ფუნქციონირებას, რომელიც ფართოდ არ იყო გავრცელებული დისტრიბუციებში. გამორთვისას ბრძანებების გაშვების ორგანიზებისთვის რეკომენდებულია სკრიპტების გამოყენება /usr/lib/systemd/system-shutdown/ ან ახალი ერთეულის განსაზღვრა, რომელიც დამოკიდებულია final.target-ზე;
• გამორთვის ბოლო ეტაპზე, systemd ახლა ავტომატურად ზრდის ჟურნალის დონეს sysctl „kernel.printk“-ში, რაც აგვარებს პრობლემას ჟურნალში გამორთვის შემდგომ ეტაპებზე მომხდარი მოვლენების ჩვენების გამო, როდესაც უკვე დასრულებულია რეგულარული ლოგირების დემონები. ;
• ჟურნალში და სხვა კომუნალურ მოწყობილობებში, რომლებიც ასახავს ჟურნალებს, გაფრთხილებები მონიშნულია ყვითლად, ხოლო აუდიტის ჩანაწერები მონიშნულია ლურჯად, რათა ვიზუალურად გამოიკვეთოს ისინი ბრბოდან;
• $PATH გარემოს ცვლადში, ბილიკი bin/-მდე ახლა დგება sbin/-ისკენ მიმავალ გზაზე, ე.ი. თუ ორივე დირექტორიაში არის შესრულებადი ფაილების იდენტური სახელები, ფაილი bin/-დან შესრულდება;
• systemd-logind უზრუნველყოფს SetBrightness() ზარს, რათა უსაფრთხოდ შეცვალოს ეკრანის სიკაშკაშე ყოველ სესიაზე;
• ბრძანებას „udevadm info“ დაემატა „--wait-for-initialization“ დროშა, რათა დაველოდოთ მოწყობილობის ინიციალიზაციას;
• სისტემის ჩატვირთვისას, PID 1 დამმუშავებელი ახლა აჩვენებს ერთეულების სახელებს მათი აღწერილობის ხაზის ნაცვლად. წარსულ ქცევაზე დასაბრუნებლად შეგიძლიათ გამოიყენოთ StatusUnitFormat ოფცია /etc/systemd/system.conf ან systemd.status_unit_format kernel ოფცია;
• დამატებულია KExecWatchdogSec ოფცია /etc/systemd/system.conf დამკვირვებლის PID 1-ისთვის, რომელიც განსაზღვრავს kexec-ის გამოყენებით გადატვირთვის ვადას. ძველი პარამეტრი
  ShutdownWatchdogSec დაარქვეს RebootWatchdogSec და განსაზღვრავს ვაკანსიების ვადას გამორთვის ან ნორმალური გადატვირთვის დროს;

• სერვისებისთვის დამატებულია ახალი ვარიანტი ExecCondition, რომელიც საშუალებას გაძლევთ მიუთითოთ ბრძანებები, რომლებიც შესრულდება ExecStartPre-მდე. ბრძანების მიერ დაბრუნებული შეცდომის კოდის საფუძველზე, მიიღება გადაწყვეტილება განყოფილების შემდგომი შესრულების შესახებ - თუ კოდი 0 დაბრუნდა, განყოფილების გაშვება გრძელდება, თუ 1-დან 254-მდე იგი ჩუმად მთავრდება წარუმატებლობის გარეშე, თუ 255 მთავრდება წარუმატებლობის დროშა;
• დამატებულია ახალი სერვისი systemd-pstore.service მონაცემების ამოსაღებად sys/fs/pstore/-დან და /var/lib/pstore-ზე შემდგომი ანალიზის შესანახად;
• ახალი ბრძანებები დაემატა timedatectl პროგრამას NTP პარამეტრების კონფიგურაციისთვის systemd-timesyncd ქსელის ინტერფეისებთან მიმართებაში;
• ბრძანება "localectl list-locales" აღარ აჩვენებს UTF-8-ის გარდა სხვა ლოკალებს;
• უზრუნველყოფს, რომ sysctl.d/ ფაილებში ცვლადის მინიჭების შეცდომები იგნორირებულია, თუ ცვლადის სახელი იწყება სიმბოლოთი „-“;
• სამსახურის systemd-random-seed.service ახლა მთლიანად პასუხისმგებელია Linux-ის ბირთვის ფსევდო შემთხვევითი რიცხვების გენერატორის ენტროპიის აუზის ინიციალიზაციაზე. სერვისები, რომლებიც საჭიროებენ სწორად ინიციალიზებულ /dev/urandom-ს, უნდა დაიწყოს systemd-random-seed.service-ის შემდეგ;
• systemd-boot boot loader უზრუნველყოფს სურვილისამებრ მხარდაჭერის შესაძლებლობას სათესლე ფაილი შემთხვევითი თანმიმდევრობით EFI სისტემის დანაყოფში (ESP);
• ახალი ბრძანებები დაემატა bootctl პროგრამას: „bootctl random-seed“ ESP-ში seed ფაილის გენერირებისთვის და „bootctl არის დაინსტალირებული“ systemd-boot boot loader-ის ინსტალაციის შესამოწმებლად. bootctl ასევე დარეგულირდა გაფრთხილებების ჩვენება ჩატვირთვის ჩანაწერების არასწორი კონფიგურაციის შესახებ (მაგალითად, როდესაც ბირთვის სურათი წაშლილია, მაგრამ ჩატვირთვის ჩანაწერი დარჩა);
• უზრუნველყოფს სვოპ დანაყოფის ავტომატურ არჩევას, როდესაც სისტემა გადადის ძილის რეჟიმში. დანაყოფი შეირჩევა მისთვის კონფიგურირებული პრიორიტეტის მიხედვით, ხოლო იდენტური პრიორიტეტების შემთხვევაში, თავისუფალი სივრცის ოდენობით;
• დაემატა keyfile-timeout ოფცია /etc/crypttab-ს, რათა დადგინდეს, რამდენ ხანს დაელოდება მოწყობილობა დაშიფვრის გასაღებით დაშიფრულ დანაყოფზე წვდომის პაროლის მოთხოვნამდე;
• დამატებულია IOWeight ვარიანტი BFQ განრიგის I/O წონის დასაყენებლად;
• systemd-ის მიერ გადაწყვეტილმა დაამატა "მკაცრი" რეჟიმი DNS-over-TLS-ისთვის და დანერგა მხოლოდ დადებითი DNS პასუხების ქეშირების შესაძლებლობა ("Cache no-negative" in solved.conf);
• VXLAN-ისთვის systemd-networkd-მა დაამატა GenericProtocolExtension ვარიანტი VXLAN პროტოკოლის გაფართოებების გასააქტიურებლად. VXLAN-ისთვის და GENEVE-სთვის, IPDoNotFragment ოფცია დაემატა გამავალი პაკეტების ფრაგმენტაციის აკრძალვის დროშის დასაყენებლად;
• systemd-networkd-ში, "[Route]" განყოფილებაში გამოჩნდა FastOpenNoCookie ოფცია, რომელიც საშუალებას აძლევს მექანიზმს სწრაფად გახსნის TCP კავშირები (TFO - TCP Fast Open, RFC 7413) ცალკეულ მარშრუტებთან მიმართებაში, ასევე TTLPropagate ოფცია. TTL LSP (Label Switched Path) კონფიგურაციისთვის. "ტიპი" ოფცია უზრუნველყოფს ლოკალური, სამაუწყებლო, anycast, multicast, ნებისმიერი და xresolve მარშრუტიზაციის რეჟიმების მხარდაჭერას;
• Systemd-networkd გთავაზობთ DefaultRouteOnDevice ოფციას „[ქსელი]“ განყოფილებაში, რათა ავტომატურად დააკონფიგურიროთ ნაგულისხმევი მარშრუტი მოცემული ქსელური მოწყობილობისთვის;
• Systemd-networkd-მა დაამატა ProxyARP და
  ProxyARPWifi პროქსი ARP ქცევის დასაყენებლად, MulticastRouter მარშრუტიზაციის პარამეტრების დასაყენებლად multicast რეჟიმში, MulticastIGMPVersion IGMP (ინტერნეტ ჯგუფის მართვის პროტოკოლის) ვერსიის შესაცვლელად multicast-ისთვის;

• Systemd-networkd-მა დაამატა Local, Peer და PeerPort ვარიანტები FooOverUDP გვირაბებისთვის ლოკალური და დისტანციური IP მისამართების, ასევე ქსელის პორტის ნომრის კონფიგურაციისთვის. TUN გვირაბებისთვის დამატებულია VnetHeader ვარიანტი GSO (ზოგადი სეგმენტის გადმოტვირთვა) მხარდაჭერის კონფიგურაციისთვის;
• systemd-networkd-ში, .network და .link ფაილებში [Match] განყოფილებაში გამოჩნდა Property ოფცია, რომელიც საშუალებას გაძლევთ ამოიცნოთ მოწყობილობები მათი სპეციფიკური თვისებების მიხედვით udev-ში;
• systemd-networkd-ში, გვირაბებისთვის დაემატა AssignToLoopback ოფცია, რომელიც აკონტროლებს, მიეკუთვნება თუ არა გვირაბის ბოლო loopback მოწყობილობას „lo“;
• systemd-networkd ავტომატურად ააქტიურებს IPv6 დასტას, თუ ის დაბლოკილია sysctl disable_ipv6-ით - IPv6 გააქტიურებულია, თუ IPv6 პარამეტრები (სტატიკური ან DHCPv6) არის განსაზღვრული ქსელის ინტერფეისისთვის, წინააღმდეგ შემთხვევაში უკვე დაყენებული sysctl მნიშვნელობა არ იცვლება;
• .network ფაილებში CriticalConnection პარამეტრი შეიცვალა KeepConfiguration ოფციით, რომელიც უფრო მეტ საშუალებას იძლევა სიტუაციების განსაზღვრისთვის ("დიახ", "სტატიკური", "dhcp-on-stop", "dhcp"), რომლებშიც systemd-networkd უნდა არ შეეხოთ არსებულ კავშირებს გაშვებისას;
• დაუცველობა დაფიქსირდა CVE-2019-15718D-Bus ინტერფეისზე წვდომის კონტროლის ნაკლებობით გამოწვეული სისტემური გადაწყვეტა. პრობლემა არაპრივილეგირებულ მომხმარებელს საშუალებას აძლევს შეასრულოს ოპერაციები, რომლებიც ხელმისაწვდომია მხოლოდ ადმინისტრატორებისთვის, როგორიცაა DNS პარამეტრების შეცვლა და DNS მოთხოვნების მიმართულება თაღლითურ სერვერზე;
• დაუცველობა დაფიქსირდა CVE-2019-9619დაკავშირებულია არაინტერაქტიული სესიებისთვის pam_systemd-ის ჩართვასთან, რაც აქტიური სესიის გაყალბების საშუალებას იძლევა.

წყარო: opennet.ru