휴대용 홈 디렉토리 구현과 함께 사용할 수 있는 systemd 245

XNUMX개월간의 개발 끝에 제시된 시스템 관리자 릴리스 systemd 245. 새 릴리스에는 새로운 구성 요소 systemd-homed 및 systemd-repart가 추가되고 JSON 형식의 휴대용 사용자 프로필에 대한 지원이 포함되며 systemd-journald에서 네임스페이스를 정의하는 기능이 제공되고 "pidfd" 메커니즘에 대한 지원이 추가됩니다. . 완전히 새롭게 디자인되었습니다. 프로젝트 웹사이트, 사용 가능한 대부분의 문서를 수집하고 새 로고를 제안합니다.

주요 변경:

• 추가된 서비스 시스템 홈는 마운트된 이미지 파일 형태로 제공되는 휴대용 홈 디렉토리 관리 기능을 제공하며 데이터는 암호화됩니다. Systemd-homed를 사용하면 식별자 동기화 및 기밀성에 대한 걱정 없이 서로 다른 시스템 간에 전송될 수 있는 사용자 데이터에 대한 독립형 환경을 만들 수 있습니다. 사용자 자격 증명은 시스템 설정이 아닌 홈 디렉터리에 연결됩니다. /etc/passwd, /etc/group 및 /etc/shadow 대신 형식의 프로필이 사용됩니다. JSON. 자세한 내용은 다음을 참조하세요. 마지막 발표 시스템 홈.
• systemd-homed 컴패니언 구성 요소 추가 "사용자DB”(“systemd-userdb”)는 UNIX/glibc NSS 계정을 JSON 레코드로 변환하고 레코드 쿼리 및 반복을 위한 통합 Varlink API를 제공합니다. 홈 디렉터리와 연결된 JSON 프로필은 사용자 이름, 비밀번호 해시, 암호화 키, 할당량, 프로비저닝된 리소스를 포함하여 사용자 작업에 필요한 매개변수를 지정합니다. 프로필은 외부 Yubikey 토큰에 저장된 디지털 서명으로 인증될 수 있습니다. 프로필을 관리하기 위해 "userdbctl" 유틸리티가 제안됩니다. JSON 프로필에 대한 지원이 systemd-logind 및 pam-systemd를 포함한 다양한 systemd 구성 요소에 추가되어 휴대용 디렉터리 사용자가 인증, 로그인, 환경 변수 설정, 세션 생성, 제한 설정 등을 수행할 수 있습니다. 앞으로는 sssd 프레임워크가 LDAP에 저장된 사용자 설정을 사용하여 JSON 프로필을 생성할 수 있을 것으로 예상됩니다.
• GPT 형식으로 디스크 파티션 테이블을 다시 분할하도록 설계된 새로운 유틸리티 "systemd-repart"가 추가되었습니다. 파티션 구조는 어떤 파티션이 존재해야 하는지 또는 존재할 수 있는지 설명하는 파일을 통해 선언적 형식으로 정의됩니다. 부팅할 때마다 실제 파티션 테이블이 이러한 파일과 비교된 후 누락된 파티션이 추가되거나, 설정에 정의된 상대 또는 절대 크기가 일치하지 않는 경우 기존 파티션의 크기가 증가됩니다. 증분적인 변경만 허용됩니다. 크기 삭제 및 축소는 불가능하며, 파티션 추가 및 확대만 가능합니다.
  이 유틸리티는 initrd에서 시작되도록 설계되었으며 변경 정의가 있는 파일을 제외하고 추가 구성이 필요하지 않은 루트 파티션이 있는 디스크를 자동으로 감지합니다.

  실제로 systemd-repart는 처음에 최소한의 형태로 제공될 수 있는 운영 체제 이미지에 유용할 수 있으며, 첫 번째 부팅 후에는 기존 블록 장치의 크기로 확장되거나 추가 파티션(예: 루트 파티션)으로 보완될 수 있습니다. 전체 디스크를 포함하도록 파티션을 확장하거나 처음 부팅한 후 스왑 파티션 또는 /home을 생성할 수 있습니다. 또 다른 용도는 두 개의 회전 파티션이 있는 구성입니다. 처음에는 첫 번째 파티션만 제공되고 첫 번째 부팅 시 두 번째 파티션이 생성됩니다.

• 이제 각각 자체 네임스페이스에 로그를 보관하는 systemd-journald의 여러 인스턴스를 시작할 수 있습니다. 기본 systemd-journald.service 외에도 .service 디렉토리는 "LogNamespace" 지시어를 사용하여 네임스페이스에 바인딩된 추가 인스턴스를 생성하기 위한 템플릿을 제공합니다. 각 로그 네임스페이스는 고유한 설정 및 제한 집합이 있는 별도의 백그라운드 프로세스에 의해 제공됩니다. 제안된 기능은 대용량 로그에 대한 로드 밸런싱이나 애플리케이션 격리 강화에 유용할 수 있습니다. 쿼리를 지정된 네임스페이스로만 제한하기 위해 "--namespace" 옵션을 Journalctl에 추가했습니다.
• Systemd-udevd 및 기타 systemd 구성 요소에는 네트워크 인터페이스에 대체 이름을 할당하는 메커니즘에 대한 지원이 추가되어 하나의 인터페이스에 여러 이름을 동시에 사용할 수 있습니다. 이름은 최대 128자까지 가능합니다. 이전에는 네트워크 인터페이스 이름이 16자로 제한되었습니다. 기본적으로 systemd-udevd는 이제 지원되는 명명 체계에 의해 생성된 모든 변형 이름을 각 네트워크 인터페이스에 할당합니다. 이 동작은 .link 파일의 새로운 AlternativeName 및 AlternativeNamesPolicy 설정을 통해 변경할 수 있습니다. systemd-nspawn은 호스트 측에서 생성된 veth 링크에 대한 전체 컨테이너 이름을 사용하여 대체 이름 생성을 구현합니다.
• sd-event.h API는 PID 재사용 상황을 처리하기 위해 Linux 커널 하위 시스템 "pidfd"에 대한 지원을 추가합니다(pidfd는 특정 프로세스와 연결되어 변경되지 않지만 PID는 현재 프로세스 이후에 다른 프로세스와 연결될 수 있음) 이와 연관되어 이 PID를 종료합니다. PID 1을 제외한 모든 시스템 구성 요소는 하위 시스템이 현재 커널에서 지원되는 경우 pidfds를 사용하도록 변환되었습니다.
• Systemd-logind는 PolicyKit을 통해 가상 터미널 변경 작업에 대한 액세스 확인을 제공합니다. 기본적으로 활성 터미널을 변경할 수 있는 권한은 로컬 가상 터미널에서 한 번 이상 세션을 시작한 사용자에게만 부여됩니다.
• systemd를 사용하여 initrd 이미지를 더 쉽게 생성할 수 있도록 이제 PID 1 핸들러는 initrd가 사용되고 있는지 여부를 감지하고 이 경우 default.target 대신 initrd.target을 자동으로 로드합니다. 이 접근 방식을 사용하면 initrd 및 기본 시스템 이미지는 /etc/initrd-release 파일이 있는 경우에만 다를 수 있습니다.
• 새로운 커널 명령줄 매개변수인 "systemd.cpu_affinity"가 추가되었습니다. 이는 /etc/systemd/system.conf의 CPUAffinity 옵션과 동일하며 PID 1 및 기타 프로세스에 대한 CPU 선호도 마스크를 구성할 수 있습니다.
• "systemctl daemon-reload"와 같은 명령을 통해 PID 1을 다시 시작하면서 SELinux 데이터베이스를 다시 로드할 수 있습니다.
• "systemd.show-status=error" 설정이 PID 1 핸들러에 추가되었습니다. 설정하면 로딩 중 오류 메시지와 심각한 지연만 콘솔에 표시됩니다.
• systemd-sysusers는 사용자 이름과 다른 기본 그룹 이름으로 사용자를 생성하는 지원을 추가했습니다.
• systemd-growfs는 이전에 Ext4 및 Btrfs를 통해 파티션 확장을 지원했을 뿐만 아니라 /etc/fstab의 x-systemd.growfs 마운트 옵션을 통해 XFS 파티션 확장을 지원합니다.
• initrd 단계에서 이미 잠금 해제된 암호화된 파티션을 정의하기 위해 x-initrd.attach 옵션을 /etc/crypttab에 추가했습니다.
• systemd-cryptsetup에는 PKCS#11 스마트 카드를 사용하여 암호화된 파티션을 잠금 해제하기 위한 지원(/etc/crypttab의 pkcs11-uri 옵션)이 추가되었습니다(예: YubiKeys에 파티션 암호화 연결).
• local-fs.target 및 원격 대신 호출할 마운트 작업을 정의하는 장치를 명시적으로 구성하기 위해 새로운 마운트 옵션 "x-systemd.required-by" 및 "x-systemd.wanted-by"가 /etc/fstab에 추가되었습니다. -fs.target.
• 새로운 서비스 샌드박싱 옵션인 ProtectClock이 추가되었습니다. 이는 시스템 시계에 대한 쓰기를 제한합니다(액세스는 /dev/rtc, 시스템 호출 및 CAP_SYS_TIME/CAP_WAKE_ALARM 권한 수준에서 차단됩니다).
• 사양에 검색 가능한 파티션 및 systemd-gpt-auto-generator에 파티션 감지 기능이 추가되었습니다.
  /var 및 /var/tmp.

• "systemctl list-unit-files"에서 장치 목록을 표시할 때 이 유형의 장치에 대한 제조업체의 사전 설정에서 제공되는 활성화 상태를 반영하는 새 열이 나타났습니다.
• "-with-dependents" 옵션이 "systemctl"에 추가되었습니다. 설치 시 "systemctl status" 및 "systemctl cat"과 같은 명령은 해당하는 모든 장치뿐만 아니라 해당 장치가 의존하는 장치도 표시합니다.
• systemd-networkd에서 qdisc 구성에는 TBF(Token Bucket Filter), SFQ(Stochastic Fairness Queuing), CoDel(Controlled-Delay Active Queue Management) 및 FQ(Fair Queue) 매개변수를 구성하는 기능이 추가되었습니다.
• systemd-networkd에는 IFB 네트워크 장치에 대한 지원이 추가되었습니다(중급 기능 블록).
• Systemd-networkd는 다중 경로 경로를 구성하기 위해 [Route] 섹션에서 MultiPathRoute 매개 변수를 구현합니다.
• DHCPv4 클라이언트의 systemd-networkd에는 SendDecline 옵션을 지정하면 주소가 포함된 DHCP 응답을 받은 후 중복된 주소를 검사하여 주소 충돌이 감지되면 발급된 주소를 거부하도록 추가되었습니다. RouteMTUBytes 옵션도 DHCPv4 클라이언트에 추가되어 IP 주소 바인딩(임대)에서 생성된 경로의 MTU 크기를 결정할 수 있습니다.
• .network 파일의 [Address] 섹션에 있는 PrefixRoute 설정은 더 이상 사용되지 않습니다. 이는 반대 의미를 갖는 "AddPrefixRoute" 설정으로 대체되었습니다.
• .network 파일에서 "[Route]" 섹션의 게이트웨이 설정에 새 값 "_dhcp"에 대한 지원이 추가되었습니다. 설정 시 DHCP를 통해 구성된 게이트웨이를 기반으로 정적 경로가 선택됩니다.
• "[RoutingPolicyRule]" 섹션의 .network 파일에 설정이 표시되었습니다.
  사용자 및 SuppressPrefixLength는 UID 범위 및 접두사 크기를 기반으로 소스 라우팅을 지정합니다.

• networkctl에서 "status" 명령은 각 네트워크 인터페이스와 관련된 로그를 표시하는 기능을 제공합니다.
• systemd-networkd-wait-online에는 인터페이스가 작동할 때까지 대기하고 인터페이스가 다운될 때까지 기다리는 최대 시간 설정에 대한 지원이 추가되었습니다.
• "[Match]" 섹션이 비어 있거나 주석 처리된 .link 및 .network 파일 처리가 중지되었습니다.
• .link 및 .network 파일의 “[Match]” 섹션에 생성된 랜덤 MAC을 사용할 경우 장치의 영구 MAC 주소를 확인할 수 있도록 “PermanentMACAddress” 설정이 추가되었습니다.
• .network 파일의 "[TrafficControlQueueingDiscipline]" 섹션 이름이 "[NetworkEmulator]"로 변경되었으며 "NetworkEmulator" 접두사가 관련 설정 이름에서 제거되었습니다.
• DNS-over-TLS를 위한 systemd-resolved는 SNI 검사에 대한 지원을 추가합니다.

출처 : opennet.ru