systemd 시스템 관리자 릴리스 242

[:루]

두 달 간의 개발 끝에 제시된 시스템 관리자 릴리스 systemd 242. 혁신 중에는 L2TP 터널 지원, 환경 변수를 통해 재시작 시 systemd-logind의 동작을 제어하는 ​​기능, /boot 마운트를 위한 확장 XBOOTLDR 부팅 파티션 지원, overlayfs에서 루트 파티션으로 부팅하는 기능 등이 있습니다. 다양한 유형의 유닛에 대한 수많은 새로운 설정도 제공됩니다.

주요 변경 사항 :

• systemd-networkd는 L2TP 터널을 지원합니다.
• sd-boot 및 bootctl은 /efi 또는 /boot/efi에 마운트된 ESP 파티션 외에도 /boot에 마운트되도록 설계된 XBOOTLDR(확장 부트 로더) 파티션에 대한 지원을 제공합니다. 이제 커널, 설정, initrd 및 EFI 이미지를 ESP 및 XBOOTLDR 파티션 모두에서 부팅할 수 있습니다. 이 변경을 통해 부트로더 자체가 ESP에 있고 로드된 커널 및 관련 메타데이터가 별도의 섹션에 배치되는 보다 보수적인 시나리오에서 sd-boot 부트로더를 사용할 수 있습니다.
• 커널에 전달된 "systemd.휘발성=overlay" 옵션으로 부팅하는 기능이 추가되었습니다. 이를 통해 오버레이fs에 루트 파티션을 배치하고 변경 사항이 기록된 루트 디렉터리의 읽기 전용 이미지 위에 작업을 구성할 수 있습니다. tmpfs의 별도 디렉토리(이 구성의 변경 사항은 다시 시작한 후 손실됩니다). 유사하게 systemd-nspawn은 컨테이너에서 유사한 기능을 사용하기 위해 "--휘발성=overlay" 옵션을 추가했습니다.
• systemd-nspawn은 OCI(Open Container Initiative) 사양을 준수하는 컨테이너의 격리된 시작을 제공하기 위해 런타임 번들을 사용할 수 있도록 "--oci-bundle" 옵션을 추가했습니다. 명령줄 및 nspawn 장치에서 사용하기 위해 OCI 사양에 설명된 다양한 옵션에 대한 지원이 제안됩니다. 예를 들어 "--inaccessible" 및 "Inaccessible" 옵션을 사용하여 파일 시스템의 일부를 제외할 수 있으며 " 표준 출력 스트림 및 "-pipe"를 구성하기 위해 --console” 옵션이 추가되었습니다.
• 환경 변수 $SYSTEMD_REBOOT_TO_FIRMWARE_SETUP을 통해 systemd-logind의 동작을 제어하는 ​​기능이 추가되었습니다.
  $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU 및
  $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. 이러한 변수를 사용하면 자체 재부팅 프로세스 핸들러(/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu 및
  /run/systemd/reboot-to-boot-loader-entry) 또는 모두 비활성화합니다(값이 false로 설정된 경우).

• "-boot-load-menu=" 옵션이 추가되었으며
  “—boot-loader-entry=”, 재부팅 후 특정 부팅 메뉴 항목이나 부팅 모드를 선택할 수 있습니다.

• SUID/SGID 플래그가 있는 파일 생성을 금지하기 위해 seccomp를 사용하는 새로운 샌드박스 격리 명령 "RestrictSUIDSGID="를 추가했습니다.
• 동적 사용자 ID 생성 모드("DynamicUser" 활성화)가 있는 서비스에서 "NoNewPrivileges" 및 "RestrictSUIDSGID" 제한이 기본적으로 적용되는지 확인했습니다.
• .link 파일의 기본 MACAddressPolicy=percious 설정이 더 많은 장치에 적용되도록 변경되었습니다. 네트워크 브리지, 터널(tun, tap) 및 통합 링크(본드)의 인터페이스는 네트워크 인터페이스 이름을 제외하고는 자신을 식별하지 않으므로 이제 이 이름이 MAC 및 IPv4 주소 바인딩의 기초로 사용됩니다. 또한 "MACAddressPolicy=random" 설정이 추가되어 MAC 및 IPv4 주소를 무작위 순서로 장치에 바인딩하는 데 사용할 수 있습니다.
• systemd-fstab-generator를 통해 생성된 ".device" 유닛 파일은 더 이상 "Wants=" 섹션의 종속성으로 해당 ".mount" 유닛을 포함하지 않습니다. 간단히 장치를 연결하면 더 이상 탑재할 장치가 자동으로 실행되지 않지만 이러한 장치는 local-fs.target의 일부 또는 local-fs.target에 의존하는 다른 장치에 대한 종속성과 같은 다른 이유로 계속 실행될 수 있습니다. ;
• 이름의 일부로 특정 네트워크 인터페이스 그룹을 필터링하기 위해 "networkctl list/status/lldp" 명령에 마스크("*" 등)에 대한 지원이 추가되었습니다.
• $PIDFILE 환경 변수는 이제 "PIDFile=;" 매개변수를 통해 서비스에 구성된 절대 경로를 사용하여 설정됩니다.
• 기본 DNS가 명시적으로 정의되지 않은 경우 사용되는 백업 DNS 서버 수에 Public Cloudflare 서버(1.1.1.1)가 추가되었습니다. 백업 DNS 서버 목록을 재정의하려면 "-Ddns-servers=" 옵션을 사용할 수 있습니다.
• USB 장치 컨트롤러의 존재를 감지하면 새로운 usb-gadget.target 핸들러가 자동으로 시작됩니다(시스템이 USB 주변 장치에서 실행 중인 경우).
• 단위 파일의 경우 "CPUQuotaPeriodSec=" 설정이 구현되었습니다. 이 설정은 "CPUQuota=" 설정을 통해 설정된 CPU 시간 할당량이 측정되는 기간을 결정합니다.
• 유닛 파일의 경우 "ProtectHostname=" 설정이 구현되어 서비스가 적절한 권한을 가지고 있더라도 호스트 이름에 대한 정보를 변경하지 못하도록 합니다.
• 유닛 파일의 경우 "NetworkNamespacePath=" 설정이 구현되었습니다. 이를 통해 pseudo-FS /proc에서 네임스페이스 파일에 대한 경로를 지정하여 네임스페이스를 서비스 또는 소켓 유닛에 바인딩할 수 있습니다.
• 시작 명령 앞에 ":" 문자를 추가하여 "ExecStart=" 설정을 사용하여 시작된 프로세스에 대한 환경 변수 대체를 비활성화하는 기능을 추가했습니다.
• 타이머(.timer 단위)의 경우 새 플래그 "OnClockChange=" 및
  "OnTimezoneChange="를 사용하면 시스템 시간이나 시간대가 변경될 때 장치 호출을 제어할 수 있습니다.

• 메모리 크기 및 CPU 코어 수에 따라 유닛 호출 조건을 결정하는 새로운 설정 "ConditionMemory=" 및 "ConditionCPUs="를 추가했습니다. 예를 들어 리소스 집약적인 서비스는 필요한 양의 경우에만 시작할 수 있습니다. RAM 사용 가능);
• time-sync.target 단위를 사용하여 외부 시간 서버와의 조정을 사용하지 않고 로컬로 설정된 시스템 시간을 허용하는 새로운 time-set.target 단위를 추가했습니다. 새 장치는 동기화되지 않은 로컬 시계의 정확성이 필요한 서비스에서 사용할 수 있습니다.
• "--show-transaction" 옵션이 "systemctl start"에 추가되었으며 유사한 명령을 지정하면 요청된 작업으로 인해 대기열에 추가된 모든 작업의 ​​요약이 표시됩니다.
• systemd-networkd는 집계 링크 또는 네트워크 브리지의 일부인 네트워크 인터페이스에 대해 '성능 저하' 또는 '캐리어' 대신 사용되는 새로운 '노예화' 상태의 정의를 구현합니다. 기본 인터페이스의 경우 복합 링크 중 하나에 문제가 있는 경우 '성능 저하' 상태가 추가되었습니다.
• 연결이 끊어진 경우 네트워크 설정을 저장하기 위해 .network 장치에 "IgnoreCarrierLoss=" 옵션을 추가했습니다.
• .network 단위의 "RequiredForOnline=" 설정을 통해 이제 네트워크 인터페이스를 "온라인"으로 전환하고 systemd-networkd-wait-online 핸들러를 트리거하는 데 필요한 최소 허용 링크 상태를 설정할 수 있습니다.
• 지정된 네트워크 인터페이스 전체가 아닌 일부의 준비 상태를 기다리도록 systemd-networkd-wait-online에 "--any" 옵션을 추가했으며, 상태를 결정하는 "--operational-state=" 옵션도 추가했습니다. 준비 상태를 나타내는 링크;
• 수신 시 접두어를 무시하는 데 사용할 수 있는 "UseAutonomousPrefix=" 및 "UseOnLinkPrefix=" 설정을 .network 단위에 추가했습니다.
  IPv6 라우터로부터의 공지(RA, 라우터 광고);

• .network 단위에는 네트워크 브리지의 작동 매개변수를 변경하기 위한 "MulticastFlood=", "NeighborSuppression=" 및 "Learning=" 설정이 추가되었으며, TRIPLE-SAMPLING 모드를 변경하기 위한 "TripleSampling=" 설정도 추가되었습니다. CAN 가상 인터페이스;
• WireGuard VPN 인터페이스에 대한 개인 및 공유(PSK) 키를 지정할 수 있는 "PrivateKeyFile=" 및 "PresharedKeyFile=" 설정이 .netdev 장치에 추가되었습니다.
• CPU 코어 간에 암호화 관련 작업을 마이그레이션할 때 스케줄러의 동작을 제어하는 ​​same-cpu-crypt 및 submit-from-crypt-cpus 옵션을 /etc/crypttab에 추가했습니다.
• systemd-tmpfiles는 임시 파일이 있는 디렉터리에서 작업을 수행하기 전에 파일 잠금 처리를 제공합니다. 이를 통해 특정 작업 기간 동안 오래된 파일 정리 작업을 비활성화할 수 있습니다(예: /tmp에서 tar 아카이브의 압축을 풀 때 아주 오래된 파일이 삭제될 수 있음). 해당 작업이 끝나기 전에는 삭제할 수 없는 파일이 열려 있음)
• "systemd-analyze cat-config" 명령은 사용자 및 시스템 사전 설정, tmpfiles.d 및 sysusers.d의 내용, udev 규칙 등과 같이 여러 파일로 나누어진 구성을 분석하는 기능을 제공합니다.
• 위치 커서를 로드하고 저장할 파일을 지정하기 위해 "journalctl"에 "--cursor-file=" 옵션을 추가했습니다.
• 조건부 연산자 "ConditionVirtualization"을 사용하여 후속 분기를 위해 systemd-Detect-virt에 ACRN 하이퍼바이저 및 WSL 하위 시스템(Linux용 Windows 하위 시스템) 정의를 추가했습니다.
• systemd 설치 중("ninja install" 실행 시) systemd-networkd.service, systemd-networkd.socket 파일에 대한 심볼릭 링크가 생성됩니다.
  systemd-resolved.service, 원격-cryptsetup.target, 원격-fs.target,
  systemd-networkd-wait-online.service 및 systemd-timesyncd.service. 이러한 파일을 생성하려면 이제 "systemctlpreset-all" 명령을 실행해야 합니다.

출처opennet.ru

[EN]

두 달 간의 개발 끝에 제시된 시스템 관리자 릴리스 systemd 242. 혁신 중에는 L2TP 터널 지원, 환경 변수를 통해 재시작 시 systemd-logind의 동작을 제어하는 ​​기능, /boot 마운트를 위한 확장 XBOOTLDR 부팅 파티션 지원, overlayfs에서 루트 파티션으로 부팅하는 기능 등이 있습니다. 다양한 유형의 유닛에 대한 수많은 새로운 설정도 제공됩니다.

주요 변경 사항 :

• systemd-networkd는 L2TP 터널을 지원합니다.
• sd-boot 및 bootctl은 /efi 또는 /boot/efi에 마운트된 ESP 파티션 외에도 /boot에 마운트되도록 설계된 XBOOTLDR(확장 부트 로더) 파티션에 대한 지원을 제공합니다. 이제 커널, 설정, initrd 및 EFI 이미지를 ESP 및 XBOOTLDR 파티션 모두에서 부팅할 수 있습니다. 이 변경을 통해 부트로더 자체가 ESP에 있고 로드된 커널 및 관련 메타데이터가 별도의 섹션에 배치되는 보다 보수적인 시나리오에서 sd-boot 부트로더를 사용할 수 있습니다.
• 커널에 전달된 "systemd.휘발성=overlay" 옵션으로 부팅하는 기능이 추가되었습니다. 이를 통해 오버레이fs에 루트 파티션을 배치하고 변경 사항이 기록된 루트 디렉터리의 읽기 전용 이미지 위에 작업을 구성할 수 있습니다. tmpfs의 별도 디렉토리(이 구성의 변경 사항은 다시 시작한 후 손실됩니다). 유사하게 systemd-nspawn은 컨테이너에서 유사한 기능을 사용하기 위해 "--휘발성=overlay" 옵션을 추가했습니다.
• systemd-nspawn은 OCI(Open Container Initiative) 사양을 준수하는 컨테이너의 격리된 시작을 제공하기 위해 런타임 번들을 사용할 수 있도록 "--oci-bundle" 옵션을 추가했습니다. 명령줄 및 nspawn 장치에서 사용하기 위해 OCI 사양에 설명된 다양한 옵션에 대한 지원이 제안됩니다. 예를 들어 "--inaccessible" 및 "Inaccessible" 옵션을 사용하여 파일 시스템의 일부를 제외할 수 있으며 " 표준 출력 스트림 및 "-pipe"를 구성하기 위해 --console” 옵션이 추가되었습니다.
• 환경 변수 $SYSTEMD_REBOOT_TO_FIRMWARE_SETUP을 통해 systemd-logind의 동작을 제어하는 ​​기능이 추가되었습니다.
  $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU 및
  $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. 이러한 변수를 사용하면 자체 재부팅 프로세스 핸들러(/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu 및
  /run/systemd/reboot-to-boot-loader-entry) 또는 모두 비활성화합니다(값이 false로 설정된 경우).

• "-boot-load-menu=" 옵션이 추가되었으며
  “—boot-loader-entry=”, 재부팅 후 특정 부팅 메뉴 항목이나 부팅 모드를 선택할 수 있습니다.

• SUID/SGID 플래그가 있는 파일 생성을 금지하기 위해 seccomp를 사용하는 새로운 샌드박스 격리 명령 "RestrictSUIDSGID="를 추가했습니다.
• 동적 사용자 ID 생성 모드("DynamicUser" 활성화)가 있는 서비스에서 "NoNewPrivileges" 및 "RestrictSUIDSGID" 제한이 기본적으로 적용되는지 확인했습니다.
• .link 파일의 기본 MACAddressPolicy=percious 설정이 더 많은 장치에 적용되도록 변경되었습니다. 네트워크 브리지, 터널(tun, tap) 및 통합 링크(본드)의 인터페이스는 네트워크 인터페이스 이름을 제외하고는 자신을 식별하지 않으므로 이제 이 이름이 MAC 및 IPv4 주소 바인딩의 기초로 사용됩니다. 또한 "MACAddressPolicy=random" 설정이 추가되어 MAC 및 IPv4 주소를 무작위 순서로 장치에 바인딩하는 데 사용할 수 있습니다.
• systemd-fstab-generator를 통해 생성된 ".device" 유닛 파일은 더 이상 "Wants=" 섹션의 종속성으로 해당 ".mount" 유닛을 포함하지 않습니다. 간단히 장치를 연결하면 더 이상 탑재할 장치가 자동으로 실행되지 않지만 이러한 장치는 local-fs.target의 일부 또는 local-fs.target에 의존하는 다른 장치에 대한 종속성과 같은 다른 이유로 계속 실행될 수 있습니다. ;
• 이름의 일부로 특정 네트워크 인터페이스 그룹을 필터링하기 위해 "networkctl list/status/lldp" 명령에 마스크("*" 등)에 대한 지원이 추가되었습니다.
• $PIDFILE 환경 변수는 이제 "PIDFile=;" 매개변수를 통해 서비스에 구성된 절대 경로를 사용하여 설정됩니다.
• 기본 DNS가 명시적으로 정의되지 않은 경우 사용되는 백업 DNS 서버 수에 Public Cloudflare 서버(1.1.1.1)가 추가되었습니다. 백업 DNS 서버 목록을 재정의하려면 "-Ddns-servers=" 옵션을 사용할 수 있습니다.
• USB 장치 컨트롤러의 존재를 감지하면 새로운 usb-gadget.target 핸들러가 자동으로 시작됩니다(시스템이 USB 주변 장치에서 실행 중인 경우).
• 단위 파일의 경우 "CPUQuotaPeriodSec=" 설정이 구현되었습니다. 이 설정은 "CPUQuota=" 설정을 통해 설정된 CPU 시간 할당량이 측정되는 기간을 결정합니다.
• 유닛 파일의 경우 "ProtectHostname=" 설정이 구현되어 서비스가 적절한 권한을 가지고 있더라도 호스트 이름에 대한 정보를 변경하지 못하도록 합니다.
• 유닛 파일의 경우 "NetworkNamespacePath=" 설정이 구현되었습니다. 이를 통해 pseudo-FS /proc에서 네임스페이스 파일에 대한 경로를 지정하여 네임스페이스를 서비스 또는 소켓 유닛에 바인딩할 수 있습니다.
• 시작 명령 앞에 ":" 문자를 추가하여 "ExecStart=" 설정을 사용하여 시작된 프로세스에 대한 환경 변수 대체를 비활성화하는 기능을 추가했습니다.
• 타이머(.timer 단위)의 경우 새 플래그 "OnClockChange=" 및
  "OnTimezoneChange="를 사용하면 시스템 시간이나 시간대가 변경될 때 장치 호출을 제어할 수 있습니다.

• 메모리 크기 및 CPU 코어 수에 따라 유닛 호출 조건을 결정하는 새로운 설정 "ConditionMemory=" 및 "ConditionCPUs="를 추가했습니다. 예를 들어 리소스 집약적인 서비스는 필요한 양의 경우에만 시작할 수 있습니다. RAM 사용 가능);
• time-sync.target 단위를 사용하여 외부 시간 서버와의 조정을 사용하지 않고 로컬로 설정된 시스템 시간을 허용하는 새로운 time-set.target 단위를 추가했습니다. 새 장치는 동기화되지 않은 로컬 시계의 정확성이 필요한 서비스에서 사용할 수 있습니다.
• "--show-transaction" 옵션이 "systemctl start"에 추가되었으며 유사한 명령을 지정하면 요청된 작업으로 인해 대기열에 추가된 모든 작업의 ​​요약이 표시됩니다.
• systemd-networkd는 집계 링크 또는 네트워크 브리지의 일부인 네트워크 인터페이스에 대해 '성능 저하' 또는 '캐리어' 대신 사용되는 새로운 '노예화' 상태의 정의를 구현합니다. 기본 인터페이스의 경우 복합 링크 중 하나에 문제가 있는 경우 '성능 저하' 상태가 추가되었습니다.
• 연결이 끊어진 경우 네트워크 설정을 저장하기 위해 .network 장치에 "IgnoreCarrierLoss=" 옵션을 추가했습니다.
• .network 단위의 "RequiredForOnline=" 설정을 통해 이제 네트워크 인터페이스를 "온라인"으로 전환하고 systemd-networkd-wait-online 핸들러를 트리거하는 데 필요한 최소 허용 링크 상태를 설정할 수 있습니다.
• 지정된 네트워크 인터페이스 전체가 아닌 일부의 준비 상태를 기다리도록 systemd-networkd-wait-online에 "--any" 옵션을 추가했으며, 상태를 결정하는 "--operational-state=" 옵션도 추가했습니다. 준비 상태를 나타내는 링크;
• 수신 시 접두어를 무시하는 데 사용할 수 있는 "UseAutonomousPrefix=" 및 "UseOnLinkPrefix=" 설정을 .network 단위에 추가했습니다.
  IPv6 라우터로부터의 공지(RA, 라우터 광고);

• .network 단위에는 네트워크 브리지의 작동 매개변수를 변경하기 위한 "MulticastFlood=", "NeighborSuppression=" 및 "Learning=" 설정이 추가되었으며, TRIPLE-SAMPLING 모드를 변경하기 위한 "TripleSampling=" 설정도 추가되었습니다. CAN 가상 인터페이스;
• WireGuard VPN 인터페이스에 대한 개인 및 공유(PSK) 키를 지정할 수 있는 "PrivateKeyFile=" 및 "PresharedKeyFile=" 설정이 .netdev 장치에 추가되었습니다.
• CPU 코어 간에 암호화 관련 작업을 마이그레이션할 때 스케줄러의 동작을 제어하는 ​​same-cpu-crypt 및 submit-from-crypt-cpus 옵션을 /etc/crypttab에 추가했습니다.
• systemd-tmpfiles는 임시 파일이 있는 디렉터리에서 작업을 수행하기 전에 파일 잠금 처리를 제공합니다. 이를 통해 특정 작업 기간 동안 오래된 파일 정리 작업을 비활성화할 수 있습니다(예: /tmp에서 tar 아카이브의 압축을 풀 때 아주 오래된 파일이 삭제될 수 있음). 해당 작업이 끝나기 전에는 삭제할 수 없는 파일이 열려 있음)
• "systemd-analyze cat-config" 명령은 사용자 및 시스템 사전 설정, tmpfiles.d 및 sysusers.d의 내용, udev 규칙 등과 같이 여러 파일로 나누어진 구성을 분석하는 기능을 제공합니다.
• 위치 커서를 로드하고 저장할 파일을 지정하기 위해 "journalctl"에 "--cursor-file=" 옵션을 추가했습니다.
• 조건부 연산자 "ConditionVirtualization"을 사용하여 후속 분기를 위해 systemd-Detect-virt에 ACRN 하이퍼바이저 및 WSL 하위 시스템(Linux용 Windows 하위 시스템) 정의를 추가했습니다.
• systemd 설치 중("ninja install" 실행 시) systemd-networkd.service, systemd-networkd.socket 파일에 대한 심볼릭 링크가 생성됩니다.
  systemd-resolved.service, 원격-cryptsetup.target, 원격-fs.target,
  systemd-networkd-wait-online.service 및 systemd-timesyncd.service. 이러한 파일을 생성하려면 이제 "systemctlpreset-all" 명령을 실행해야 합니다.

출처 : opennet.ru

[:]