systemd სისტემის მენეჯერის გამოშვება 246

განვითარების ხუთი თვის შემდეგ წარმოდგენილია სისტემის მენეჯერის გამოშვება სისტემად 246. ახალი გამოშვება მოიცავს გაყინვის ერთეულების მხარდაჭერას, ძირეული დისკის გამოსახულების გადამოწმების შესაძლებლობას ციფრული ხელმოწერის გამოყენებით, ჟურნალის შეკუმშვისა და ძირითადი ამონაწერების მხარდაჭერა ZSTD ალგორითმის გამოყენებით, პორტატული სახლის დირექტორიების განბლოკვის შესაძლებლობას FIDO2 ტოკენების გამოყენებით, Microsoft BitLocker-ის განბლოკვის მხარდაჭერას. დანაყოფები /etc/ crypttab-ის საშუალებით, BlackList-ს ეწოდა DenyList.

მთავარი ცვლილებები:

• დამატებულია საყინულე რესურსების კონტროლერის მხარდაჭერა cgroups v2-ზე დაფუძნებული, რომლითაც შეგიძლიათ შეაჩეროთ პროცესები და დროებით გაათავისუფლოთ ზოგიერთი რესურსი (CPU, I/O და პოტენციურად მეხსიერებაც კი) სხვა ამოცანების შესასრულებლად. ერთეულების გაყინვა და გაყინვა კონტროლდება ახალი "systemctl freeze" ბრძანების გამოყენებით ან D-Bus-ის საშუალებით.
• დამატებულია მხარდაჭერა root დისკის გამოსახულების გადამოწმებისთვის ციფრული ხელმოწერის გამოყენებით. გადამოწმება ხორციელდება ახალი პარამეტრების გამოყენებით სერვის ერთეულებში: RootHash (root hash დისკის გამოსახულების გადამოწმებისთვის RootImage ოფციაში მითითებული) და RootHashSignature (ციფრული ხელმოწერა PKCS#7 ფორმატში root ჰეშისთვის).
• PID 1 დამმუშავებელი ახორციელებს წინასწარ კომპილირებული AppArmor წესების (/etc/apparmor/earlypolicy) ავტომატურად ჩატვირთვის შესაძლებლობას საწყის ჩატვირთვის ეტაპზე.
• დამატებულია ახალი ერთეულის ფაილის პარამეტრები: ConditionPathIsEncrypted და AssertPathIsEncrypted მითითებული ბილიკის მდებარეობის შესამოწმებლად ბლოკ მოწყობილობაზე, რომელიც იყენებს დაშიფვრას (dm-crypt/LUKS), ConditionEnvironment და AssertEnvironment გარემოს ცვლადების შესამოწმებლად (მაგალითად, PAM-ით დაყენებული ან დაყენებისას). კონტეინერების ზემოთ).
• *.mount ერთეულებისთვის დანერგილია ReadWriteOnly პარამეტრი, რომელიც კრძალავს დანაყოფის დამონტაჟებას მხოლოდ წაკითხვის რეჟიმში, თუ შეუძლებელი იყო მისი დამონტაჟება წაკითხვისა და ჩაწერისთვის. /etc/fstab-ში ეს რეჟიმი კონფიგურირებულია "x-systemd.rw-only" ოფციის გამოყენებით.
• *.socket ერთეულებისთვის დამატებულია PassPacketInfo პარამეტრი, რომელიც საშუალებას აძლევს ბირთვს დაამატოს დამატებითი მეტამონაცემები სოკეტიდან წაკითხული თითოეული პაკეტისთვის (ჩართავს IP_PKTINFO, IPV6_RECVPKTINFO და NETLINK_PKTINFO რეჟიმებს სოკეტისთვის).
• სერვისებისთვის (*.სერვისის ერთეულები) შემოთავაზებულია CoredumpFilter-ის პარამეტრები (განსაზღვრავს მეხსიერების სექციებს, რომლებიც უნდა იყოს ჩართული ძირითადი ამონაწერებში) და
  TimeoutStartFailureMode/TimeoutStopFailureMode (განსაზღვრავს ქცევას (SIGTERM, SIGABRT ან SIGKILL), როდესაც ხდება დროის ამოწურვა სერვისის დაწყების ან შეჩერებისას).

• ვარიანტების უმეტესობა ახლა მხარს უჭერს თექვსმეტობით მნიშვნელობებს, რომლებიც მითითებულია "0x" პრეფიქსის გამოყენებით.
• ბრძანების ხაზის სხვადასხვა პარამეტრებში და კონფიგურაციის ფაილებში, რომლებიც დაკავშირებულია გასაღებების ან სერთიფიკატების დაყენებასთან, ახლა შესაძლებელია მიუთითოთ გზა unix სოკეტებისკენ (AF_UNIX) გასაღებებისა და სერთიფიკატების გადასაცემად IPC სერვისებზე ზარების საშუალებით, როდესაც არ არის სასურველი სერთიფიკატების განთავსება დაშიფრულზე. დისკის შენახვა.
• დამატებულია მხარდაჭერა ექვსი ახალი სპეციფიკატორისთვის, რომლებიც შეიძლება გამოყენებულ იქნას ერთეულებში, tmpfiles.d/, sysusers.d/ და სხვა კონფიგურაციის ფაილებში: %a მიმდინარე არქიტექტურის ჩანაცვლებისთვის, %o/%w/%B/%W ველების ჩანაცვლებისთვის. იდენტიფიკატორები /etc/os-release-დან და %l ჰოსტის სახელის მოკლე ჩანაცვლებისთვის.
• ერთეულის ფაილებს აღარ აქვს „.include“ სინტაქსის მხარდაჭერა, რომელიც მოძველდა 6 წლის წინ.
• StandardError და StandardOutput პარამეტრები აღარ უჭერენ მხარს მნიშვნელობებს "syslog" და "syslog-console", რომლებიც ავტომატურად გარდაიქმნება "journal" და "journal+console".
• ავტომატურად შექმნილი tmpfs-ზე დაფუძნებული სამონტაჟო წერტილებისთვის (/tmp, /run, /dev/shm და ა.შ.), მოწოდებულია შეზღუდვები ინოდების ზომაზე და რაოდენობაზე, რაც შეესაბამება ოპერატიული მეხსიერების ზომის 50%-ს /tmp და /dev/-ისთვის. shm და RAM-ის 10% ყველა დანარჩენისთვის.
• დამატებულია ბირთვის ბრძანების ხაზის ახალი პარამეტრები: systemd.hostname ჰოსტის სახელის დასაყენებლად საწყის ჩატვირთვის ეტაპზე, udev.blockdev_read_only ფიზიკურ დისკებთან დაკავშირებული ყველა ბლოკის მოწყობილობის მხოლოდ წაკითხვის რეჟიმში შეზღუდვისთვის (შეგიძლიათ გამოიყენოთ ბრძანება "blockdev --setrw" შერჩევითი გაუქმება), systemd .swap სვოპ დანაყოფის ავტომატური გააქტიურების გამორთვისთვის, systemd.clock-usec სისტემის საათის მიკროწამებში დასაყენებლად, systemd.condition-needs-update და systemd.condition-first-boot ConditionNeedsUpdate და ConditionFirstBoot. ჩეკები.
• ნაგულისხმევად, sysctl fs.suid_dumpable დაყენებულია 2-ზე („suidsafe“), რაც საშუალებას გაძლევთ შეინახოთ ძირითადი ნაგავსაყრელები პროცესებისთვის suid დროშით.
• ფაილი /usr/lib/udev/hwdb.d/60-autosuspend.hwdb იყო ნასესხები ტექნიკის მონაცემთა ბაზაში ChromiumOS-დან, რომელიც შეიცავს ინფორმაციას PCI და USB მოწყობილობების შესახებ, რომლებიც მხარს უჭერენ ძილის ავტომატურ რეჟიმს.
• Networkd.conf-ს დაემატა ManageForeignRoutes პარამეტრი, როდესაც ჩართულია, systemd-networkd დაიწყებს სხვა უტილიტების მიერ კონფიგურირებული მარშრუტების მართვას.
• "[SR-IOV]" განყოფილება დაემატა .network ფაილებს ქსელური მოწყობილობების კონფიგურაციისთვის, რომლებიც მხარს უჭერენ SR-IOV-ს (ერთი ფესვი I/O ვირტუალიზაცია).
• systemd-networkd-ში, IPv4AcceptLocal პარამეტრი დაემატა „[Network]“ განყოფილებას, რათა მოხდეს ადგილობრივი წყაროს მისამართით შემოსული პაკეტების მიღება ქსელის ინტერფეისში.
• systemd-networkd-მა დაამატა HTB ტრაფიკის პრიორიტეტიზაციის დისციპლინების კონფიგურაციის შესაძლებლობა [HierarchyTokenBucket]-ის მეშვეობით და
  [HierarchyTokenBucketClass], "pfifo" მეშვეობით [PFIFO], "GRED" მეშვეობით [GenericRandomEarlyDetection], "SFB" მეშვეობით [StochasticFairBlue], "ტორტი" მეშვეობით
  მეშვეობით [CAKE], "PIE" მეშვეობით [PIE], "DRR" მეშვეობით [DeficitRoundRobinScheduler] და
  [DeficitRoundRobinSchedulerClass], "BFIFO" მეშვეობით [BFIFO],
  "PFIFOHeadDrop" მეშვეობით [PFIFOHeadDrop], "PFIFOFast" მეშვეობით [PFIFOFast], "HHF"
  [HeavyHitterFilter], "ETS" მეშვეობით [EnhancedTransmissionSelection],
  "QFQ" [QuickFairQueueing] და [QuickFairQueueingClass] მეშვეობით.

• systemd-networkd-ში, UseGateway პარამეტრი დაემატა [DHCPv4] განყოფილებას, რათა გამორთოთ Gateway ინფორმაციის გამოყენება, რომელიც მიღებულია DHCP-ით.
• systemd-networkd-ში, [DHCPv4] და [DHCPServer] სექციებში, დამატებულია SendVendorOption პარამეტრი დამატებითი გამყიდველის ვარიანტების ინსტალაციისა და დამუშავებისთვის.
• systemd-networkd ახორციელებს EmitPOP3/POP3, EmitSMTP/SMTP და EmitLPR/LPR ვარიანტების ახალ კომპლექტს [DHCPServer] განყოფილებაში POP3, SMTP და LPR სერვერების შესახებ ინფორმაციის დასამატებლად.
• systemd-networkd-ში, .netdev ფაილებში [Bridge] განყოფილებაში, VLANProtocol პარამეტრი დაემატა გამოსაყენებელი VLAN პროტოკოლის შესარჩევად.
• systemd-networkd-ში, .network ფაილებში [Link] განყოფილებაში ჯგუფის პარამეტრი დანერგილია ბმულების ჯგუფის სამართავად.
• BlackList-ის პარამეტრებს ეწოდა DenyList (ძველი სახელების დამუშავების შენახვა უკუღმა თავსებადობისთვის).
• Systemd-networkd-მა დაამატა IPv6-თან და DHCPv6-თან დაკავშირებული პარამეტრების დიდი ნაწილი.
• დაემატა “forcerenew” ბრძანება networkctl-ს, რათა აიძულოს ყველა მისამართის შეკვრა განახლდეს (იჯარა).
• systemd-resolved-ში, DNS-ის კონფიგურაციაში, შესაძლებელი გახდა პორტის ნომრის და ჰოსტის სახელის მითითება DNS-over-TLS სერტიფიკატის გადამოწმებისთვის. DNS-over-TLS განხორციელებამ დაამატა SNI შემოწმების მხარდაჭერა.
• systemd-resolved-ში, დაემატა ერთლეიბიანი DNS სახელების გადამისამართების კონფიგურაციის შესაძლებლობა (ერთი ლეიბლი, ერთი ჰოსტის სახელიდან).
• systemd-journald უზრუნველყოფს zstd ალგორითმის გამოყენებას ჟურნალებში დიდი ველების შეკუმშვისთვის. სამუშაოები გაკეთდა ჟურნალებში გამოყენებული ჰეშ ცხრილების შეჯახებისგან დაცვის მიზნით.
• ჟურნალის შეტყობინებების ჩვენებისას დაემატა journalctl-ს დოკუმენტაციის ბმულებით დასაჭერი URL-ები.
• დაამატა Audit პარამეტრი journald.conf-ს, რათა გააკონტროლოს ჩართულია თუ არა აუდიტი systemd-journald ინიციალიზაციის დროს.
• Systemd-coredump-ს აქვს შესაძლებლობა შეკუმშოს ძირითადი ნაგავსაყრელები zstd ალგორითმის გამოყენებით.
• დაემატა UUID პარამეტრი systemd-repart-ს, რათა UUID მიენიჭოს შექმნილ დანაყოფს.
• systemd-homed სერვისმა, რომელიც უზრუნველყოფს პორტატული სახლის დირექტორიების მართვას, დაამატა სახლის დირექტორიების განბლოკვის შესაძლებლობა FIDO2 ტოკენების გამოყენებით. LUKS დანაყოფის დაშიფვრის საზურგემ დაამატა მხარდაჭერა სესიის დასრულებისას ფაილური სისტემის ცარიელი ბლოკების ავტომატურად დასაბრუნებლად. დამატებულია დაცვა მონაცემთა ორმაგი დაშიფვრისგან, თუ დადგინდება, რომ სისტემაში /home დანაყოფი უკვე დაშიფრულია.
• პარამეტრები დაემატა /etc/crypttab-ს: „keyfile-erase“ გასაღების წასაშლელად გამოყენების შემდეგ და „try-empty-password“ დანაყოფის განბლოკვის მცდელობისთვის ცარიელი პაროლით, სანამ მომხმარებელს პაროლს მოუწოდებს (სასარგებლოა დაშიფრული სურათების დასაყენებლად. პირველი ჩატვირთვის შემდეგ მინიჭებული პაროლით და არა ინსტალაციის დროს).
• systemd-cryptsetup ამატებს მხარდაჭერას Microsoft BitLocker ტიხრების განბლოკვისთვის ჩატვირთვის დროს /etc/crypttab-ის გამოყენებით. ასევე დაემატა კითხვის უნარი
  გასაღებები ფაილებიდან ტიხრების ავტომატურად განბლოკვისთვის /etc/cryptsetup-keys.d/ .key და /run/cryptsetup-keys.d/ .გასაღები.

• დამატებულია systemd-xdg-autostart-generator .desktop autostart ფაილებიდან ერთეული ფაილების შესაქმნელად.
• "bootctl"-ს დაემატა ბრძანება "reboot-to-firmware".
• დამატებულია ოფციები systemd-firstboot-ში: "--image" დისკის გამოსახულების დასაზუსტებლად ჩატვირთვისთვის, "--kernel-command-line" /etc/kernel/cmdline ფაილის ინიციალიზაციისთვის, "--root-password-hashed" მიუთითეთ root პაროლის ჰეში და "--delete-root-password" root პაროლის წასაშლელად.

წყარო: opennet.ru