systemd 시스템 관리자 릴리스 250

250개월 간의 개발 끝에 시스템 관리자 systemd XNUMX이 출시되었습니다. 새 릴리스에서는 자격 증명을 암호화된 형식으로 저장하는 기능을 도입하고, 디지털 서명을 사용하여 자동으로 감지된 GPT 파티션의 검증을 구현하고, 지연 원인에 대한 정보를 개선했습니다. 서비스 시작, 특정 파일 시스템 및 네트워크 인터페이스에 대한 서비스 액세스를 제한하는 옵션 추가, dm-integrity 모듈을 사용한 파티션 무결성 모니터링 지원이 제공되고 sd-boot 자동 업데이트 지원이 추가되었습니다.

주요 변경 사항 :

• SSL 키 및 액세스 비밀번호와 같은 민감한 자료를 안전하게 저장하는 데 유용할 수 있는 암호화 및 인증된 자격 증명에 대한 지원이 추가되었습니다. 자격 증명 암호 해독은 필요한 경우에만 로컬 설치 또는 장비와 관련하여 수행됩니다. 데이터는 파일 시스템, TPM2 칩 또는 조합 체계를 사용하여 키를 찾을 수 있는 대칭 암호화 알고리즘을 사용하여 자동으로 암호화됩니다. 서비스가 시작되면 자격 증명이 자동으로 해독되어 서비스에서 일반 형식으로 사용할 수 있게 됩니다. 암호화된 자격 증명을 사용하기 위해 'systemd-creds' 유틸리티가 추가되었으며 서비스에 대해 LoadCredentialEncrypted 및 SetCredentialEncrypted 설정이 제안되었습니다.
• EFI 펌웨어가 Linux 커널을 로드할 수 있게 해주는 EFI 실행 파일인 sd-stub는 이제 LINUX_EFI_INITRD_MEDIA_GUID EFI 프로토콜을 사용한 커널 부팅을 지원합니다. 또한 sd-stub에는 자격 증명과 sysext 파일을 cpio 아카이브로 패키지하고 이 아카이브를 initrd와 함께 커널로 전송하는 기능이 추가되었습니다(추가 파일은 /.extra/ 디렉터리에 있음). 이 기능을 사용하면 sysexts 및 암호화된 인증 데이터로 보완되는 검증 가능한 불변 initrd 환경을 사용할 수 있습니다.
• 검색 가능한 파티션 사양이 크게 확장되어 GPT(GUID 파티션 테이블)를 사용하여 시스템 파티션을 식별, 마운트 및 활성화하는 도구를 제공합니다. 이전 릴리스와 비교하여 이제 사양은 UEFI를 사용하지 않는 플랫폼을 포함하여 대부분의 아키텍처에 대해 루트 파티션 및 /usr 파티션을 지원합니다.

  검색 가능한 파티션은 또한 PKCS#7 디지털 서명을 사용하여 dm-verity 모듈로 무결성이 확인된 파티션에 대한 지원을 추가하여 완전히 인증된 디스크 이미지를 더 쉽게 생성할 수 있도록 합니다. 확인 지원은 systemd-nspawn, systemd-sysext, systemd-dissect, RootImage 서비스, systemd-tmpfiles 및 systemd-sysusers를 포함하여 디스크 이미지를 조작하는 다양한 유틸리티에 통합되어 있습니다.

• 시작하거나 중지하는 데 오랜 시간이 걸리는 장치의 경우 애니메이션 진행률 표시 외에도 현재 서비스에서 정확히 무슨 일이 일어나고 있는지, 시스템 관리자가 어떤 서비스인지 이해할 수 있는 상태 정보 표시가 가능합니다. 현재 완료를 기다리고 있습니다.
• /etc/systemd/system.conf 및 /etc/systemd/user.conf에 DefaultOOMScoreAdjust 매개변수를 추가했습니다. 이를 통해 시스템 및 사용자에 대해 systemd가 시작하는 프로세스에 적용할 수 있는 메모리 부족에 대한 OOM-killer 임계값을 조정할 수 있습니다. 기본적으로 시스템 서비스의 가중치는 사용자 서비스의 가중치보다 높습니다. 메모리가 부족하면 사용자 서비스가 종료될 확률이 시스템 서비스보다 높습니다.
• 특정 유형의 파일 시스템에 대한 서비스의 액세스를 제한할 수 있는 RestrictFileSystems 설정이 추가되었습니다. 사용 가능한 파일 시스템 유형을 보려면 "systemd-analyze filesystems" 명령을 사용할 수 있습니다. 유사하게 RestrictNetworkInterfaces 옵션이 구현되어 특정 네트워크 인터페이스에 대한 액세스를 제한할 수 있습니다. 구현은 커널 개체에 대한 프로세스 그룹의 액세스를 제한하는 BPF LSM 모듈을 기반으로 합니다.
• 예를 들어 암호화된 데이터의 불변성을 보장하기 위해 섹터 수준에서 데이터 무결성을 제어하도록 dm-integrity 모듈을 구성하는 새로운 /etc/integritytab 구성 파일 및 systemd-integritysetup 유틸리티가 추가되었습니다(인증된 암호화는 데이터 블록이 로터리 방식으로 수정되지 않았습니다). /etc/integritytab 파일의 형식은 dm-crypt 및 dm-verity 대신 dm-integrity가 사용된다는 점을 제외하면 /etc/crypttab 및 /etc/veritytab 파일과 유사합니다.
• 새로운 장치 파일 systemd-boot-update.service가 추가되었습니다. 활성화되고 sd-boot 부트로더가 설치되면 systemd는 sd-boot 부트로더 버전을 자동으로 업데이트하여 부트로더 코드를 항상 최신 상태로 유지합니다. sd-boot 자체는 이제 UEFI 보안 부팅에 대한 인증서 취소 문제를 해결하는 SBAT(UEFI 보안 부팅 고급 타겟팅) 메커니즘을 지원하여 기본적으로 구축되었습니다. 또한 sd-boot는 Microsoft Windows 부팅 설정을 구문 분석하여 Windows에서 부팅 파티션 이름을 올바르게 생성하고 Windows 버전을 표시하는 기능을 제공합니다.

  sd-boot는 빌드 시 색 구성표를 정의하는 기능도 제공합니다. 부팅 프로세스 중에 "r" 키를 눌러 화면 해상도를 변경하는 지원이 추가되었습니다. 펌웨어 구성 인터페이스로 이동하기 위한 단축키 "f"가 추가되었습니다. 마지막 부팅 시 선택한 메뉴 항목에 해당하는 시스템을 자동으로 부팅하는 모드를 추가했습니다. ESP(EFI 시스템 파티션) 섹션의 /EFI/systemd/drivers/ 디렉터리에 있는 EFI 드라이버를 자동으로 로드하는 기능이 추가되었습니다.

• 재부팅, 전원 끄기, 일시 중지 및 최대 절전 모드 작업과 유사한 방식으로 systemd-logind에서 처리되고 공장 재설정을 수행하기 위한 핸들러를 생성하는 데 사용되는 새로운 장치 파일 Factory-reset.target이 포함됩니다.
• systemd-resolved 프로세스는 이제 127.0.0.54 외에 127.0.0.53에 추가 청취 소켓을 생성합니다. 127.0.0.54에 도착하는 요청은 항상 업스트림 DNS 서버로 리디렉션되며 로컬로 처리되지 않습니다.
• libgcrypt 대신 OpenSSL 라이브러리를 사용하여 systemd-importd 및 systemd-resolved를 빌드하는 기능을 제공했습니다.
• Loongson 프로세서에 사용되는 LoongArch 아키텍처에 대한 초기 지원이 추가되었습니다.
• systemd-gpt-auto-generator는 LUKS2 하위 시스템으로 암호화된 시스템 정의 스왑 파티션을 자동으로 구성하는 기능을 제공합니다.
• systemd-nspawn, systemd-dissect 및 유사한 유틸리티에 사용되는 GPT 이미지 구문 분석 코드는 다른 아키텍처의 이미지를 디코딩하는 기능을 구현하므로 systemd-nspawn을 사용하여 다른 아키텍처의 에뮬레이터에서 이미지를 실행할 수 있습니다.
• 디스크 이미지를 검사할 때 systemd-dissect는 이제 UEFI를 통한 부팅 또는 컨테이너에서 실행에 대한 적합성과 같은 파티션의 목적에 대한 정보를 표시합니다.
• "SYSEXT_SCOPE" 필드가 system-extension.d/ 파일에 추가되어 시스템 이미지의 범위("initrd", "system" 또는 "portable")를 나타낼 수 있습니다.
• os-release 파일에 "PORTABLE_PREFIXES" 필드가 추가되었습니다. 이 필드는 휴대용 이미지에서 지원되는 단위 파일 접두어를 결정하는 데 사용할 수 있습니다.
• systemd-logind에는 특정 키를 5초 이상 누르고 있을 때 발생하는 상황을 결정하는 데 사용할 수 있는 새로운 설정 HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress 및 HandleHibernateKeyLongPress가 도입되었습니다. 예를 들어 Suspend 키를 빨리 누르면 대기 모드로 전환되도록 구성할 수 있습니다. , 길게 누르면 절전 모드로 전환됩니다).
• 장치의 경우 StartupAllowedCPUs 및 StartupAllowedMemoryNodes 설정이 구현됩니다. 이는 부팅 및 종료 단계에서만 적용되므로 부팅 중에 다른 리소스 제한을 설정할 수 있다는 점에서 시작 접두사가 없는 유사한 설정과 다릅니다.
• PSI 메커니즘이 시스템의 메모리, CPU 및 I/O에서 과도한 로드를 감지하는 경우 장치 활성화를 건너뛰거나 실패할 수 있도록 허용하는 [조건|어설션][메모리|CPU|IO]압력 검사를 추가했습니다.
• /dev 파티션의 경우 기본 최대 inode 제한이 64k에서 1M로, /tmp 파티션의 경우 400k에서 1M으로 늘어났습니다.
• 서비스에 대해 ExecSearchPath 설정이 제안되었습니다. 이를 통해 ExecStart와 같은 설정을 통해 시작된 실행 파일 검색 경로를 변경할 수 있습니다.
• RuntimeRandomizedExtraSec 설정을 추가하여 RuntimeMaxSec 제한 시간에 임의의 편차를 도입하여 유닛의 실행 시간을 제한할 수 있습니다.
• RuntimeDirectory, StateDirectory, CacheDirectory 및 LogsDirectory 설정의 구문이 확장되었습니다. 여기서 콜론으로 구분된 추가 값을 지정하면 이제 여러 경로를 따라 액세스를 구성하기 위해 특정 디렉터리에 대한 기호 링크 생성을 구성할 수 있습니다.
• 서비스의 경우 TTY 장치의 행과 열 수를 설정하기 위해 TTYRows 및 TTYColumns 설정이 제공됩니다.
• 서비스 종료를 결정하는 논리를 변경할 수 있는 ExitType 설정이 추가되었습니다. 기본적으로 systemd는 기본 프로세스의 종료만 모니터링하지만 ExitType=cgroup이 설정된 경우 시스템 관리자는 cgroup의 마지막 프로세스가 완료될 때까지 기다립니다.
• systemd-cryptsetup의 TPM2/FIDO2/PKCS11 지원 구현도 이제 cryptsetup 플러그인으로 구축되어 일반 cryptsetup 명령을 사용하여 암호화된 파티션을 잠금 해제할 수 있습니다.
• systemd-cryptsetup/systemd-cryptsetup의 TPM2 처리기는 ECC 키 외에 RSA 기본 키에 대한 지원을 추가하여 비ECC 칩과의 호환성을 향상시킵니다.
• token-timeout 옵션이 /etc/crypttab에 추가되었습니다. 이를 통해 PKCS#11/FIDO2 토큰 연결을 기다리는 최대 시간을 정의할 수 있으며, 그 후에는 비밀번호나 복구 키를 입력하라는 메시지가 표시됩니다.
• systemd-timesyncd는 SaveIntervalSec 설정을 구현합니다. 이를 통해 현재 시스템 시간을 디스크에 주기적으로 저장할 수 있습니다(예: RTC가 없는 시스템에서 단조 시계 구현).
• systemd-analyze 유틸리티에 옵션이 추가되었습니다: 주어진 이미지 또는 루트 디렉터리 내의 유닛 파일을 확인하기 위한 "--image" 및 "--root", 오류 발생 시 종속 유닛을 고려하기 위한 "--recursive-errors" 디스크에 저장된 단위 파일을 별도로 확인하는 경우 "--offline", JSON 형식으로 출력하는 경우 "-json", 중요하지 않은 메시지를 비활성화하는 경우 "-quiet", 휴대용 프로필에 바인딩하는 경우 "-profile"입니다. 또한 ELF 형식의 코어 파일을 구문 분석하기 위한 Inspection-elf 명령과 해당 이름이 파일 이름과 일치하는지 여부에 관계없이 주어진 단위 이름이 있는 단위 파일을 확인하는 기능도 추가되었습니다.
• systemd-networkd는 CAN(Controller Area Network) 버스에 대한 지원을 확장했습니다. CAN 모드를 제어하기 위한 설정이 추가되었습니다: Loopback, OneShot, PresumeAck 및 ClassicDataLengthCode. CAN 인터페이스의 비트 동기화를 제어하기 위해 TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 및 DataSyncJumpWidth 옵션을 .network 파일의 [CAN] 섹션에 추가했습니다.
• Systemd-networkd에는 DHCPv4 클라이언트에 대한 레이블 옵션이 추가되어 IPv4 주소를 구성할 때 사용되는 주소 레이블을 구성할 수 있습니다.
• "ethtool"에 대한 systemd-udevd는 버퍼 크기를 하드웨어가 지원하는 최대값으로 설정하는 특수 "max" 값에 대한 지원을 구현합니다.
• 이제 systemd-udevd의 .link 파일에서 네트워크 어댑터 결합 및 하드웨어 핸들러 연결(오프로드)을 위한 다양한 매개변수를 구성할 수 있습니다.
• systemd-networkd는 기본적으로 새로운 .network 파일을 제공합니다. "--network-bridge" 또는 "--network-zone" 옵션을 사용하여 systemd-nspawn을 실행할 때 생성된 네트워크 브리지를 정의하는 80-container-vb.network; 80-6rd-tunnel.network는 6RD 옵션으로 DHCP 응답을 수신할 때 자동으로 생성되는 터널을 정의합니다.
• Systemd-networkd 및 systemd-udevd에는 "[IPoIB]" 섹션이 systemd.netdev 파일에 추가되고 "ipoib" 값 처리가 Kind에서 구현된 InfiniBand 인터페이스를 통한 IP 전달에 대한 지원이 추가되었습니다. 환경.
• systemd-networkd는 [WireGuard] 및 [WireGuardPeer] 섹션의 RouteTable 및 RouteMetric 매개 변수를 통해 구성할 수 있는 AllowedIPs 매개 변수에 지정된 주소에 대한 자동 경로 구성을 제공합니다.
• systemd-networkd는 batadv 및 브리지 인터페이스에 대해 변경되지 않는 MAC 주소의 자동 생성을 제공합니다. 이 동작을 비활성화하려면 .netdev 파일에 MACAddress=none을 지정하면 됩니다.
• WoL이 "SecureOn" 모드에서 실행될 때 암호를 결정하기 위해 WakeOnLanPassword 설정이 "[Link]" 섹션의 .link 파일에 추가되었습니다.
• CAKE(Common Application Kept Enhanced) 네트워크 대기열 관리 메커니즘의 매개변수를 정의하기 위해 AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO 및 UseRawPacketSize 설정을 .network 파일의 "[CAKE]" 섹션에 추가했습니다. .
• .network 파일의 "[Network]" 섹션에 IgnoreCarrierLoss 설정을 추가하여 반송파 신호 손실에 반응하기 전에 대기할 시간을 결정할 수 있습니다.
• Systemd-nspawn, homectl, machinectl 및 systemd-run은 "--setenv" 매개변수의 구문을 확장했습니다. 변수 이름만 지정하면("=" 없이) 값은 해당 환경 변수에서 가져옵니다(예: 예를 들어 "--setenv=FOO"를 지정하면 값은 $FOO 환경 변수에서 가져와 컨테이너에 설정된 동일한 이름의 환경 변수에 사용됩니다.
• systemd-nspawn은 컨테이너를 생성할 때 sync()/fsync()/fdatasync() 시스템 호출을 비활성화하는 "--suppress-sync" 옵션을 추가했습니다(속도가 우선순위이고 실패 시 빌드 아티팩트를 보존하는 것이 중요하지 않은 경우에 유용함). 언제든지 다시 생성될 수 있으므로 중요합니다).
• 다양한 유형의 신호 분석기(멀티미터, 프로토콜 분석기, 오실로스코프 등)를 포함하는 새로운 hwdb 데이터베이스가 추가되었습니다. hwdb의 카메라에 대한 정보는 카메라 유형(일반 또는 적외선) 및 렌즈 배치(전면 또는 후면)에 대한 정보가 포함된 필드로 확장되었습니다.
• Xen에서 사용되는 netfront 장치에 대해 변경되지 않는 네트워크 인터페이스 이름 생성이 활성화되었습니다.
• libdw/libelf 라이브러리를 기반으로 하는 systemd-coredump 유틸리티에 의한 코어 파일 분석은 이제 샌드박스 환경에서 격리된 별도의 프로세스에서 수행됩니다.
• systemd-importd에는 환경 변수 $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC에 대한 지원이 추가되었습니다. 이를 통해 Btrfs 하위 파티션 생성을 비활성화하고 할당량 및 디스크 동기화를 구성할 수 있습니다.
• systemd-journald에서는 쓰기 중 복사 모드를 지원하는 파일 시스템에서 COW 모드가 보관된 저널에 대해 다시 활성화되어 Btrfs를 사용하여 압축할 수 있습니다.
• systemd-journald는 메시지를 저널에 배치하기 전 단계에서 수행되는 단일 메시지에서 동일한 필드의 중복 제거를 구현합니다.
• 예약된 종료를 표시하기 위해 shutdown 명령에 "--show" 옵션을 추가했습니다.

출처 : opennet.ru