🥇 systemd სისტემის მენეჯერის 248 გამოშვება

ოთხი თვის შემუშავების შემდეგ წარმოდგენილია სისტემის მენეჯერის systemd 248 გამოშვება. ახალი გამოშვება უზრუნველყოფს სურათების მხარდაჭერას სისტემის დირექტორიების გაფართოებისთვის, /etc/veritytab კონფიგურაციის ფაილის, systemd-cryptenroll უტილიტას, LUKS2-ის განბლოკვას TPM2 ჩიპებისა და FIDO2-ის გამოყენებით. ტოკენები, გაშვებული ერთეულები იზოლირებულ IPC იდენტიფიკატორ სივრცეში, BATMAN პროტოკოლი mesh ქსელებისთვის, nftables backend systemd-nspawn-ისთვის. Systemd-oomd სტაბილიზირებულია.

ძირითადი ცვლილებები:

დანერგილია სისტემის გაფართოების სურათების კონცეფცია, რომელიც შეიძლება გამოყენებულ იქნას /usr/ და /opt/ დირექტორიების იერარქიის გასაფართოვებლად და დამატებითი ფაილების დასამატებლად გაშვების დროს, მაშინაც კი, თუ მითითებული დირექტორიები დამონტაჟებულია მხოლოდ წაკითხვაზე. როდესაც სისტემის გაფართოების სურათი დამონტაჟებულია, მისი შიგთავსი გადაფარავს /usr/ და /opt/ იერარქიას OverlayFS-ის გამოყენებით.
შემოთავაზებულია ახალი პროგრამა, systemd-sysext, სისტემის გაფართოებების სურათების დასაკავშირებლად, გათიშვისთვის, სანახავად და განახლებისთვის. ჩატვირთვისას უკვე დაინსტალირებული სურათების ავტომატურად დასაკავშირებლად დაემატა systemd-sysext.service სერვისი. os-release ფაილს დაემატა "SYSEXT_LEVEL=" პარამეტრი მხარდაჭერილი სისტემის გაფართოებების დონის დასადგენად.
ერთეულებისთვის დანერგილია ExtensionImages პარამეტრი, რომელიც შეიძლება გამოყენებულ იქნას სისტემის გაფართოების სურათების დასაკავშირებლად ცალკეული იზოლირებული სერვისების FS სახელთა სივრცის იერარქიასთან.
დამატებულია /etc/veritytab კონფიგურაციის ფაილი მონაცემთა გადამოწმების კონფიგურაციისთვის ბლოკის დონეზე dm-verity მოდულის გამოყენებით. ფაილის ფორმატი მსგავსია /etc/crypttab - "section_name device_for_data device_for_hashes check_hash_root options." დამატებულია systemd.verity.root_options ბირთვის ბრძანების ხაზის ვარიანტი dm-verity ქცევის კონფიგურაციისთვის root მოწყობილობისთვის.
systemd-cryptsetup ამატებს PKCS#11 ტოკენის URI და დაშიფრული გასაღების ამოღების შესაძლებლობას LUKS2 მეტამონაცემების სათაურიდან JSON ფორმატში, რაც საშუალებას აძლევს დაშიფრული მოწყობილობის გახსნის შესახებ ინფორმაციის ინტეგრირებას თავად მოწყობილობაში გარე ფაილების ჩართვის გარეშე.
systemd-cryptsetup უზრუნველყოფს მხარდაჭერას LUKS2 დაშიფრული ტიხრების განბლოკვისთვის TPM2 ჩიპებისა და FIDO2 ტოკენების გამოყენებით, გარდა ადრე მხარდაჭერილი PKCS#11 ტოკენებისა. libfido2-ის ჩატვირთვა ხდება dlopen() საშუალებით, ე.ი. ხელმისაწვდომობა მოწმდება ფრენის დროს და არა როგორც მყარი სადენიანი დამოკიდებულება.
ახალი ოფციები "no-write-workqueue" და "no-read-workqueue" დაემატა /etc/crypttab-ს systemd-cryptsetup-ისთვის, რათა ჩართოთ I/O-ს სინქრონული დამუშავება, რომელიც დაკავშირებულია დაშიფვრასთან და გაშიფვრასთან.
systemd-repart პროგრამამ დაამატა დაშიფრული ტიხრების გააქტიურების შესაძლებლობა TPM2 ჩიპების გამოყენებით, მაგალითად, დაშიფრული /var დანაყოფის შესაქმნელად პირველი ჩატვირთვისას.
systemd-cryptenroll უტილიტა დაემატა TPM2, FIDO2 და PKCS#11 ტოკენების LUKS ტიხრებთან დასაკავშირებლად, ასევე ტოკენების მოხსნისა და სანახავად, სათადარიგო კლავიშების დასაკავშირებლად და წვდომისთვის პაროლის დასაყენებლად.
დამატებულია PrivateIPC პარამეტრი, რომელიც საშუალებას გაძლევთ დააკონფიგურიროთ ერთეულის ფაილი იზოლირებულ IPC სივრცეში პროცესების გასაშვებად, საკუთარი ცალკეული იდენტიფიკატორებით და შეტყობინებების რიგით. ერთეულის უკვე შექმნილ IPC იდენტიფიკატორის სივრცესთან დასაკავშირებლად, შემოთავაზებულია IPCNamespacePath ვარიანტი.
დამატებულია ExecPaths და NoExecPaths პარამეტრები, რათა noexec დროშა გამოიყენოს ფაილური სისტემის კონკრეტულ ნაწილებზე.
systemd-networkd ამატებს მხარდაჭერას BATMAN (Better Approach To Mobile Adhoc Networking) mesh პროტოკოლისთვის, რომელიც იძლევა დეცენტრალიზებული ქსელების შექმნის საშუალებას, რომლებშიც თითოეული კვანძი დაკავშირებულია მეზობელი კვანძებით. კონფიგურაციისთვის შემოთავაზებულია [BatmanAdvanced] განყოფილება .netdev-ში, BatmanAdvanced პარამეტრი .network ფაილებში და მოწყობილობის ახალი ტიპის „batadv“.
დაბალ მეხსიერებაზე ადრეული რეაგირების მექანიზმის დანერგვა systemd-oomd სისტემაში სტაბილიზირებულია. დაემატა DefaultMemoryPressureDurationSec ოფცია, რათა დააკონფიგურიროთ რესურსის გამოშვების მოლოდინის დრო ერთეულზე ზემოქმედებამდე. Systemd-oomd იყენებს PSI (Pressure Stall Information) ბირთვის ქვესისტემას და საშუალებას გაძლევთ აღმოაჩინოთ შეფერხებების დაწყება რესურსების ნაკლებობის გამო და შერჩევით შეწყვიტოთ რესურსზე ინტენსიური პროცესები იმ ეტაპზე, როდესაც სისტემა ჯერ კიდევ არ არის კრიტიკულ მდგომარეობაში და არ არის დაიწყეთ ქეშის ინტენსიურად მორთვა და მონაცემების გადანაცვლება სვოპ დანაყოფში.
დამატებულია ბირთვის ბრძანების ხაზის პარამეტრი "root=tmpfs", რომელიც საშუალებას გაძლევთ დაამონტაჟოთ root დანაყოფი დროებით მეხსიერებაში, რომელიც მდებარეობს RAM-ში Tmpfs-ის გამოყენებით.
/etc/crypttab პარამეტრს, რომელიც განსაზღვრავს საკვანძო ფაილს, ახლა შეუძლია მიუთითოს AF_UNIX და SOCK_STREAM სოკეტების ტიპებზე. ამ შემთხვევაში, გასაღები უნდა იყოს მიცემული სოკეტთან დაკავშირებისას, რომელიც, მაგალითად, შეიძლება გამოყენებულ იქნას სერვისების შესაქმნელად, რომლებიც დინამიურად გასცემენ გასაღებებს.
სისტემის მენეჯერის და systemd-hostnamed-ის მიერ გამოსაყენებელი სარეზერვო ჰოსტის სახელი ახლა შეიძლება დაყენდეს ორი გზით: DEFAULT_HOSTNAME პარამეტრით os-release-ში და $SYSTEMD_DEFAULT_HOSTNAME გარემოს ცვლადის მეშვეობით. systemd-hostnamed ასევე ამუშავებს "localhost"-ს ჰოსტის სახელში და ამატებს ჰოსტის სახელის ექსპორტის შესაძლებლობას, ასევე "HardwareVendor" და "HardwareModel" თვისებებს DBus-ის საშუალებით.
ბლოკის ექსპოზიციური გარემოს ცვლადები ახლა შეიძლება კონფიგურირებული იყოს ახალი ManagerEnvironment ვარიანტის მეშვეობით system.conf ან user.conf, და არა მხოლოდ ბირთვის ბრძანების ხაზის და ერთეულის ფაილის პარამეტრების მეშვეობით.
კომპილაციის დროს შესაძლებელია fexecve() სისტემის გამოძახება პროცესების დასაწყებად execve()-ის ნაცვლად, რათა შემცირდეს შეფერხება უსაფრთხოების კონტექსტის შემოწმებასა და მის გამოყენებას შორის.
ერთეულის ფაილებისთვის, ახალი პირობითი ოპერაციები ConditionSecurity=tpm2 და ConditionCPUFeature დაემატა TPM2 მოწყობილობების და CPU-ის ინდივიდუალური შესაძლებლობების არსებობის შესამოწმებლად (მაგალითად, ConditionCPUFeature=rdrand შეიძლება გამოყენებულ იქნას იმის შესამოწმებლად, მხარს უჭერს თუ არა პროცესორი RDRAN ოპერაციას).
ხელმისაწვდომი ბირთვებისთვის დანერგილია სისტემური ზარის ცხრილების ავტომატური გენერირება seccomp ფილტრებისთვის.
დამატებულია ახალი bind სამაგრების ჩანაცვლების შესაძლებლობა სერვისების არსებულ სამონტაჟო სახელების სივრცეში, სერვისების გადატვირთვის გარეშე. ჩანაცვლება ხორციელდება ბრძანებებით 'systemctl bind ...' და 'systemctl mount-image …'.
დაემატა მხარდაჭერა ბილიკების მითითებისთვის StandardOutput და StandardError პარამეტრებში "truncate: » გამოყენებამდე გასაწმენდად.
დაემატა sd-bus-ს ლოკალურ კონტეინერში მითითებულ მომხმარებლის სესიასთან კავშირის დამყარების შესაძლებლობა. მაგალითად "systemctl -user -M lennart@ start quux".
შემდეგი პარამეტრები დანერგილია systemd.link ფაილებში [Link] განყოფილებაში:
- Promiscuous - საშუალებას გაძლევთ გადართოთ მოწყობილობა "Promiscuous" რეჟიმში ყველა ქსელის პაკეტის დასამუშავებლად, მათ შორის, რომლებიც არ არის მიმართული მიმდინარე სისტემისთვის;
- TransmitQueues და ReceiveQueues TX და RX რიგების რაოდენობის დასაყენებლად;
- TransmitQueueLength TX რიგის ზომის დასაყენებლად; GenericSegmentOffloadMaxBytes და GenericSegmentOffloadMaxSegment GRO (Generic Receive Offload) ტექნოლოგიის გამოყენების ლიმიტების დასაყენებლად.
ახალი პარამეტრები დაემატა systemd.network ფაილებს:
- [ქსელი] RouteTable მარშრუტიზაციის ცხრილის შესარჩევად;
- [RoutingPolicyRule] ტიპი მარშრუტიზაციის ტიპისთვის ("შავი ხვრელი, "მიუწვდომელი", "აკრძალვა");
- [IPv6AcceptRA] RouteDenyList და RouteAllowList დაშვებული და აკრძალული მარშრუტების რეკლამების სიებისთვის;
- [DHCPv6] გამოიყენეთ Addres DHCP-ის მიერ გაცემული მისამართის უგულებელყოფისთვის;
- [DHCPv6PrefixDelegation] ManageTemporaryAddress;
- ActivationPolicy ინტერფეისის აქტივობასთან დაკავშირებული პოლიტიკის განსაზღვრისთვის (ყოველთვის შეინარჩუნეთ UP ან DOWN მდგომარეობა, ან მიეცით საშუალება მომხმარებელს შეცვალოს მდგომარეობები „ip link set dev“ ბრძანებით).
დაემატა [VLAN] პროტოკოლი, IngressQOSMaps, EgressQOSMaps და [MACVLAN] BroadcastMulticastQueueLength პარამეტრები systemd.netdev ფაილებს VLAN პაკეტის მართვის კონფიგურაციისთვის.
შეწყდა /dev/ კატალოგის დამონტაჟება noexec რეჟიმში, რადგან ეს იწვევს კონფლიქტს შესრულებადი დროშის გამოყენებისას /dev/sgx ფაილებთან. ძველი ქცევის დასაბრუნებლად შეგიძლიათ გამოიყენოთ NoExecPaths=/dev პარამეტრი.
/dev/vsock ფაილის ნებართვები შეიცვალა 0o666-ით, ხოლო /dev/vhost-vsock და /dev/vhost-net ფაილები გადატანილია kvm ჯგუფში.
ტექნიკის ID მონაცემთა ბაზა გაფართოვდა USB თითის ანაბეჭდის წამკითხველებით, რომლებიც სწორად უჭერენ მხარს ძილის რეჟიმს.
systemd-ის მიერ გადაწყვეტილი დამატებულია მხარდაჭერა DNSSEC მოთხოვნებზე პასუხების გასაცემად ნაკვთების გადამწყვეტის საშუალებით. ადგილობრივ კლიენტებს შეუძლიათ შეასრულონ DNSSEC ვალიდაცია საკუთარ თავზე, ხოლო გარე კლიენტები უცვლელი არიან პროქსიდირებული მშობელ DNS სერვერზე.
დაემატა CacheFromLocalhost ოფცია solved.conf-ს, როდესაც დაყენებულია, systemd-resolved გამოიყენებს ქეშირებას DNS სერვერზე ზარებისთვისაც კი 127.0.0.1 (ნაგულისხმევად, ასეთი მოთხოვნების ქეშირება გამორთულია ორმაგი ქეშირების თავიდან ასაცილებლად).
systemd-resolved ამატებს RFC-5001 NSID-ების მხარდაჭერას ადგილობრივ DNS გადამწყვეტში, რაც კლიენტებს საშუალებას აძლევს განასხვავონ ურთიერთქმედება ადგილობრივ გადამწყვეტთან და სხვა DNS სერვერთან.
Resoluctl უტილიტა ახორციელებს მონაცემთა წყაროს შესახებ ინფორმაციის ჩვენების შესაძლებლობას (ლოკალური ქეში, ქსელის მოთხოვნა, ლოკალური პროცესორის პასუხი) და მონაცემთა გადაცემისას დაშიფვრის გამოყენებას. ოფციები --cache, --synthesize, --network, --zone, --trust-anchor და --validate მოწოდებულია სახელის განსაზღვრის პროცესის გასაკონტროლებლად.
systemd-nspawn ამატებს მხარდაჭერას Firewall-ის კონფიგურაციისთვის nftables-ის გამოყენებით არსებული iptables მხარდაჭერის გარდა. IPMasquerade-ის დაყენება systemd-networkd-ში დაამატა nftables-ზე დაფუძნებული backend-ის გამოყენების შესაძლებლობა.
systemd-localed დაამატა მხარდაჭერა ლოკალური გენის გამოძახებისთვის დაკარგული ლოკალების გენერირებისთვის.
ოფციები --pager/-no-pager/-json= დაემატა სხვადასხვა კომუნალურ პროგრამას პეიჯინგის რეჟიმის ჩართვის/გამორთვისთვის და JSON ფორმატში გამოსასვლელად. დამატებულია ტერმინალში გამოყენებული ფერების რაოდენობის დაყენების შესაძლებლობა SYSTEMD_COLORS გარემოს ცვლადის საშუალებით („16“ ან „256“).
build ცალკე დირექტორიაში იერარქიებით (გაყოფილი / და /usr) და cgroup v1 მხარდაჭერით მოძველებულია.
სამაგისტრო ფილიალი Git-ში დაარქვეს "მასტერიდან" "მთავარზე".

წყარო: opennet.ru

systemd სისტემის მენეჯერის გამოშვება 248

ახალი კომენტარის დამატება

systemd სისტემის მენეჯერის გამოშვება 248

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება