ProHoster > Блог > интернет жаңалықтары > systemd жүйелік менеджерінің шығарылымы 248

systemd жүйелік менеджерінің шығарылымы 248

Төрт айлық әзірлеуден кейін systemd 248 жүйелік менеджерінің шығарылымы ұсынылды.Жаңа шығарылым жүйелік каталогтарды, /etc/veritytab конфигурация файлын, systemd-cryptenroll утилитасын, TPM2 чиптерін және FIDO2 көмегімен LUKS2 құлпын ашуға арналған кескіндерге қолдау көрсетеді. таңбалауыштар, оқшауланған IPC идентификатор кеңістігінде жұмыс істейтін блоктар, торлы желілерге арналған BATMAN протоколы, systemd-nspawn үшін nftables сервері. Systemd-oomd тұрақтандырылды.

Негізгі өзгерістер:

  • /usr/ және /opt/ каталогтарының иерархиясын кеңейту және көрсетілген каталогтар тек оқу үшін орнатылған болса да, орындау уақытында қосымша файлдарды қосу үшін пайдаланылуы мүмкін Жүйе кеңейтімі кескіндерінің тұжырымдамасы жүзеге асырылды. Жүйе кеңейтімі кескіні орнатылған кезде оның мазмұны OverlayFS көмегімен /usr/ және /opt/ иерархиясында қабатталады.

    Жүйе кеңейтімдерінің суреттерін қосу, ажырату, көру және жаңарту үшін жаңа қызметтік бағдарлама, systemd-sysext ұсынылды. Жүктеу кезінде орнатылған кескіндерді автоматты түрде қосу үшін systemd-sysext.service қызметі қосылды. Қолдау көрсетілетін жүйе кеңейтімдерінің деңгейін анықтау үшін os-релиз файлына "SYSEXT_LEVEL=" параметрі қосылды.

  • Бірліктер үшін ExtensionImages параметрі іске асырылды, ол жүйе кеңейтім кескіндерін жеке оқшауланған қызметтердің FS аттар кеңістігі иерархиясына байланыстыру үшін пайдаланылуы мүмкін.
  • dm-verity модулі арқылы блок деңгейінде деректерді тексеруді конфигурациялау үшін /etc/veritytab конфигурация файлы қосылды. Файл пішімі /etc/crypttab пішіміне ұқсас - “section_name device_for_data device_for_hashes check_hash_root опциялары”. Түбірлік құрылғы үшін dm-verity әрекетін конфигурациялау үшін systemd.verity.root_options ядросының пәрмен жолы опциясы қосылды.
  • systemd-cryptsetup PKCS#11 таңбалауыш URI және шифрланған кілтті JSON пішіміндегі LUKS2 метадеректер тақырыбынан шығару мүмкіндігін қосады, шифрланған құрылғыны ашу туралы ақпаратты сыртқы файлдарды қоспай-ақ құрылғының өзіне біріктіруге мүмкіндік береді.
  • systemd-cryptsetup бұрын қолдау көрсетілген PKCS#2 таңбалауыштарына қоса, TPM2 чиптері мен FIDO2 таңбалауыштарын пайдаланып LUKS11 шифрланған бөлімдерінің құлпын ашуға қолдау көрсетеді. libfido2 жүктеу dlopen() арқылы жүзеге асырылады, яғни. қол жетімділік сымды тәуелділік ретінде емес, жылдам тексеріледі.
  • Шифрлаумен және шифрды шешумен байланысты енгізу/шығаруды синхронды өңдеуді қосу үшін systemd-cryptsetup үшін /etc/crypttab ішіне "жазбау-жұмыс кезегі" және "оқылмаған жұмыс кезегі" жаңа опциялары қосылды.
  • Systemd-repart утилитасы шифрланған бөлімдерді TPM2 чиптерін пайдаланып белсендіру мүмкіндігін қосты, мысалы, бірінші жүктеу кезінде шифрланған /var бөлімін жасау.
  • Systemd-cryptenroll утилитасы TPM2, FIDO2 және PKCS#11 таңбалауыштарын LUKS бөлімдеріне байланыстыру үшін, сондай-ақ таңбалауыштарды босату және қарау, қосалқы кілттерді байланыстыру және кіру үшін құпия сөзді орнату үшін қосылды.
  • Жеке идентификаторлары мен хабарлама кезегі бар оқшауланған IPC кеңістігінде процестерді іске қосу үшін бірлік файлын конфигурациялауға мүмкіндік беретін PrivateIPC параметрі қосылды. Құрылғыны бұрыннан жасалған IPC идентификатор кеңістігіне қосу үшін IPCNamespacePath опциясы ұсынылады.
  • Файлдық жүйенің белгілі бөліктеріне noexec жалаушасын қолдануға мүмкіндік беретін ExecPaths және NoExecPaths параметрлері қосылды.
  • systemd-networkd әрбір түйін көрші түйіндер арқылы қосылған орталықтандырылмаған желілерді құруға мүмкіндік беретін BATMAN (Mobile Adhoc Networking-ке жақсы көзқарас) тор протоколына қолдауды қосады. Конфигурациялау үшін .netdev ішіндегі [BatmanAdvanced] бөлімі, .network файлдарындағы BatmanAdvanced параметрі және «batadv» жаңа құрылғы түрі ұсынылады.
  • Systemd-oomd жүйесінде төмен жадыға ерте жауап беру механизмін енгізу тұрақтандырылды. Құрылғыға әсер етпес бұрын ресурстың шығарылуын күту уақытын конфигурациялау үшін DefaultMemoryPressureDurationSec опциясы қосылды. Systemd-oomd PSI (Pressure Stall Information) ядросының ішкі жүйесін пайдаланады және ресурстардың жетіспеушілігіне байланысты кідірістердің басталуын анықтауға және жүйе әлі сыни күйде болмаған және жүйе әлі де өзгермейтін кезеңде ресурсты көп қажет ететін процестерді таңдаулы түрде тоқтатуға мүмкіндік береді. кэшті қарқынды түрде кесуді және деректерді своп бөліміне ауыстыруды бастаңыз.
  • Tmpfs көмегімен жедел жадта орналасқан уақытша жадта түбірлік бөлімді орнатуға мүмкіндік беретін «root=tmpfs» ядросының пәрмен жолы параметрі қосылды.
  • Кілттік файлды көрсететін /etc/crypttab параметрі енді AF_UNIX және SOCK_STREAM ұяшық түрлерін көрсете алады. Бұл жағдайда, мысалы, кілттерді динамикалық түрде шығаратын қызметтерді жасау үшін пайдаланылуы мүмкін розеткаға қосылу кезінде кілт берілуі керек.
  • Жүйе менеджері және systemd-hostnamed пайдаланатын резервтік хост атауы енді екі жолмен орнатылуы мүмкін: os-релизіндегі DEFAULT_HOSTNAME параметрі және $SYSTEMD_DEFAULT_HOSTNAME ортасының айнымалы мәні арқылы. systemd-hostnamed сонымен қатар хост атауында "localhost" өңдейді және DBus арқылы хост атауын, сондай-ақ "HardwareVendor" және "HardwareModel" сипаттарын экспорттау мүмкіндігін қосады.
  • Көрсетілген орта айнымалы мәндері бар блокты енді тек ядро ​​пәрмен жолы және бірлік файл параметрлері арқылы емес, system.conf немесе user.conf ішіндегі жаңа ManagerEnvironment опциясы арқылы конфигурациялауға болады.
  • Компиляция уақытында қауіпсіздік контекстін тексеру мен оны қолдану арасындағы кідірісті азайту үшін execve() орнына процестерді бастау үшін fexecve() жүйелік шақыруын пайдалануға болады.
  • Бірлік файлдары үшін TPM2 құрылғыларының және жеке CPU мүмкіндіктерінің бар-жоғын тексеру үшін ConditionSecurity=tpm2 және ConditionCPUFeature жаңа шартты әрекеттер қосылды (мысалы, ConditionCPUFeature=rdrand процессордың RDRAND әрекетін қолдайтынын тексеру үшін пайдалануға болады).
  • Қолжетімді ядролар үшін seccomp сүзгілері үшін жүйелік шақыру кестелерін автоматты түрде жасау жүзеге асырылды.
  • Қызметтерді қайта іске қоспай-ақ, қызметтердің бар орнату аттар кеңістігіне жаңа байланыстыру қондырғыларын ауыстыру мүмкіндігі қосылды. Ауыстыру 'systemctl bind пәрмендерімен орындалады ...' және 'systemctl mount-image …'.
  • StandardOutput және StandardError параметрлеріндегі жолдарды көрсету үшін «қию: » қолданар алдында тазалау үшін.
  • SD-автобусқа жергілікті контейнердегі көрсетілген пайдаланушы сеансына қосылым орнату мүмкіндігі қосылды. Мысалы, "systemctl -user -M lennart@ start quux".
  • Келесі параметрлер [Сілтеме] бөліміндегі systemd.link файлдарында жүзеге асырылады:
    • Азғындық - барлық желілік пакеттерді, соның ішінде ағымдағы жүйеге бағытталмағандарды өңдеу үшін құрылғыны «жеңіл» режиміне ауыстыруға мүмкіндік береді;
    • TX және RX кезектерінің санын орнату үшін TransmitQueues және ReceiveQueues;
    • TX кезегінің өлшемін орнату үшін TransmitQueueLength; GenericSegmentOffloadMaxBytes және GenericSegmentOffloadMaxSegment GRO (Generic Receive Offload) технологиясын пайдалану шектеулерін орнатуға арналған.
  • systemd.network файлдарына жаңа параметрлер қосылды:
    • [Network] Маршруттау кестесін таңдау үшін RouteTable;
    • [RoutingPolicyRule] Маршруттау түріне арналған теріңіз («қара тесік, «қолжетімсіз», «тыйым салу»);
    • [IPv6AcceptRA] RouteDenyList және RouteAllowList рұқсат етілген және тыйым салынған маршруттық жарнамалардың тізімдері үшін;
    • [DHCPv6] DHCP шығарған мекенжайды елемеу үшін Adres пайдаланыңыз;
    • [DHCPv6PrefixDelegation] Уақытша мекенжайды басқару;
    • Интерфейс әрекетіне қатысты саясатты анықтауға арналған ActivationPolicy (әрдайым ЖОҒАРЫ немесе ТӨМЕН күйінде ұстаңыз немесе пайдаланушыға «ip link set dev» пәрменімен күйлерді өзгертуге рұқсат беріңіз).
  • VLAN пакеттерін өңдеуді конфигурациялау үшін systemd.netdev файлдарына [VLAN] протоколы, IngressQOSMaps, EgressQOSMaps және [MACVLAN] BroadcastMulticastQueueLength опциялары қосылды.
  • /dev/ каталогын noexec режимінде орнату тоқтатылды, себебі ол /dev/sgx файлдарымен орындалатын жалаушаны пайдалану кезінде қақтығыс тудырады. Ескі әрекетті қайтару үшін NoExecPaths=/dev параметрін пайдалануға болады.
  • /dev/vsock файлының рұқсаттары 0o666 болып өзгертілді, ал /dev/vhost-vsock және /dev/vhost-net файлдары kvm тобына жылжытылды.
  • Аппараттық құрал идентификаторының дерекқоры ұйқы режимін дұрыс қолдайтын USB саусақ ізін оқу құралдарымен кеңейтілді.
  • systemd-resolved DNSSEC сұрауларына нақтылаушы арқылы жауаптарды шығаруға арналған қосымша қолдау. Жергілікті клиенттер DNSSEC тексеруін өздері орындай алады, ал сыртқы клиенттер негізгі DNS серверіне өзгеріссіз проксиге жіберіледі.
  • Resoled.conf файлына CacheFromLocalhost опциясы қосылды, орнатылған кезде systemd-resolved 127.0.0.1 мекенжайындағы DNS серверіне қоңыраулар үшін де кэштеуді пайдаланады (әдепкі бойынша, қос кэштеуді болдырмау үшін мұндай сұрауларды кэштеу өшірілген).
  • systemd-resolved жергілікті DNS шешушіде RFC-5001 NSID қолдауын қосады, бұл клиенттерге жергілікті шешуші және басқа DNS серверімен өзара әрекеттесулерді ажыратуға мүмкіндік береді.
  • Resolctl утилитасы деректер көзі (жергілікті кэш, желі сұрауы, жергілікті процессордың жауабы) және деректерді беру кезінде шифрлауды пайдалану туралы ақпаратты көрсету мүмкіндігін жүзеге асырады. Атауды анықтау процесін басқару үшін --кэш, --синтез, --желі, --аймақ, --сенім-анчор және --validate опциялары берілген.
  • systemd-nspawn бар iptables қолдауына қосымша nftables көмегімен брандмауэрді теңшеуге қолдауды қосады. Systemd-networkd ішіндегі IPMasquerade орнатуы nftables негізіндегі серверді пайдалану мүмкіндігін қосты.
  • systemd-localed жетіспейтін тілдерді жасау үшін locale-gen шақыру үшін қосылған қолдау.
  • Пейджинг режимін қосу/өшіру және JSON пішімінде шығару үшін --pager/-no-pager/-json= опциялары әртүрлі утилиталарға қосылды. SYSTEMD_COLORS ортасының айнымалысы («16» немесе «256») арқылы терминалда қолданылатын түстердің санын орнату мүмкіндігі қосылды.
  • Бөлек каталог иерархиялары (бөлу / және /usr) және cgroup v1 қолдауы бар құрастыру ескірген.
  • Гиттегі негізгі филиалдың атауы «шеберден» «негізгіге» өзгертілді.

Ақпарат көзі: opennet.ru

пікір қалдыру