systemd 시스템 관리자 릴리스 243

XNUMX개월간의 개발 끝에 제시된 시스템 관리자 릴리스 systemd 243. 혁신 중에는 시스템 메모리 부족을 위한 핸들러의 PID 1 통합, 단위 트래픽 필터링을 위한 자체 BPF 프로그램 연결 지원, systemd-networkd에 대한 수많은 새로운 옵션, 네트워크 대역폭 모니터링 모드 등이 있습니다. 64비트 시스템에서 기본적으로 22비트 대신 16비트 PID 번호를 활성화하는 인터페이스는 통합 cgroups 계층 구조로 전환되며 systemd-network-generator에 포함됩니다.

주요 변경 사항 :

• 메모리 부족(Out-Of-Memory, OOM)에 대한 커널 생성 신호 인식이 PID 1 핸들러에 추가되어 메모리 소비 제한에 도달한 장치를 강제 종료할 수 있는 선택적 기능과 함께 특수 상태로 전송합니다. 아니면 멈춰라;
• 단위 파일의 경우 새 매개변수 IPIngressFilterPath 및
  IPEgressFilterPath - BPF 프로그램을 임의 핸들러와 연결하여 이 장치와 관련된 프로세스에서 생성된 들어오고 나가는 IP 패킷을 필터링할 수 있습니다. 제안된 기능을 사용하면 시스템 서비스에 대한 일종의 방화벽을 만들 수 있습니다. 작성예 BPF 기반의 간단한 네트워크 필터

• 캐시, 런타임 파일, 상태 정보 및 로그 디렉터리를 삭제하기 위해 "clean" 명령이 systemctl 유틸리티에 추가되었습니다.
• systemd-networkd는 MACsec, nlmon, IPVTAP 및 Xfrm 네트워크 인터페이스에 대한 지원을 추가합니다.
• systemd-networkd는 구성 파일의 "[DHCPv4]" 및 "[DHCPv6]" 섹션을 통해 DHCPv4 및 DHCPv6 스택의 별도 구성을 구현합니다. DHCP 서버에서 수신한 매개변수에 지정된 DNS 서버에 별도의 경로를 추가하는 RoutesToDNS 옵션을 추가했습니다. (DNS로 향하는 트래픽은 DHCP에서 수신한 기본 경로와 동일한 링크를 통해 전송됩니다.) DHCPv4에 대한 새 옵션이 추가되었습니다. MaxAttempts - 주소를 얻기 위한 최대 요청 수, BlackList - DHCP 서버 블랙리스트, SendRelease - 세션이 종료될 때 DHCP RELEASE 메시지 전송을 활성화합니다.
• systemd-analyze 유틸리티에 새로운 명령이 추가되었습니다:
  • "systemd-analyze timestamp" - 시간 분석 및 변환;
  • "systemd-analyze timespan" - 기간 분석 및 변환
  • "systemd-analyze 조건" - ConditionXYZ 표현식을 구문 분석하고 테스트합니다.
  • "systemd-analyze exit-status" - 종료 코드를 숫자에서 이름으로 또는 그 반대로 구문 분석하고 변환합니다.
  • "systemd-analyze unit-files" - 장치 및 장치 별칭에 대한 모든 파일 경로를 나열합니다.
• 옵션 SuccessExitStatus, RestartPreventExitStatus 및
  RestartForceExitStatus는 이제 숫자 반환 코드뿐만 아니라 해당 텍스트 식별자(예: "DATAERR")도 지원합니다. "sytemd-analyze exit-status" 명령을 사용하여 식별자에 할당된 코드 목록을 볼 수 있습니다.

• 가상 네트워크 장치를 삭제하기 위한 "delete" 명령과 장치 통계를 표시하기 위한 "-stats" 옵션이 networkctl 유틸리티에 추가되었습니다.
• 네트워크 인터페이스의 처리량을 주기적으로 측정하기 위해 SpeedMeter 및 SpeedMeterIntervalSec 설정이 networkd.conf에 추가되었습니다. 측정 결과에서 얻은 통계는 'networkctl status' 명령의 출력에서 ​​볼 수 있습니다.
• 파일 생성을 위한 새로운 유틸리티 systemd-network-generator를 추가했습니다.
  .network, .netdev 및 .link는 Dracut 설정 형식의 Linux 커널 명령줄을 통해 시작할 때 전달된 IP 설정을 기반으로 합니다.

• 64비트 시스템의 sysctl "kernel.pid_max" 값은 이제 기본적으로 4194304(22비트 대신 16비트 PID)로 설정되어 PID 할당 시 충돌 가능성을 줄이고 동시에 프로세스를 실행하고 보안에 긍정적인 영향을 미칩니다. 이러한 변경으로 인해 잠재적으로 호환성 문제가 발생할 수 있지만 실제로 그러한 문제는 아직 보고되지 않았습니다.
• 기본적으로 빌드 단계는 통합 계층 cgroups-v2(“-Ddefault-hierarchy=unified”)로 전환됩니다. 이전에는 기본값이 하이브리드 모드(“-Ddefault-hierarchy=hybrid”)였습니다.
• 시스템 호출 필터(SystemCallFilter)의 동작이 변경되었습니다. 금지된 시스템 호출의 경우 개별 스레드를 종료하면 예측할 수 없는 문제가 발생할 수 있으므로 이제 개별 스레드가 아닌 전체 프로세스가 종료됩니다. 변경 사항은 Linux 커널 4.14+ 및 libseccomp 2.4.0+를 사용하는 경우에만 적용됩니다.
• 권한이 없는 프로그램에는 전체 그룹 범위(모든 프로세스에 대해)에 대해 sysctl "net.ipv4.ping_group_range"를 설정하여 ICMP Echo(ping) 패킷을 보낼 수 있는 기능이 제공됩니다.
• 빌드 프로세스 속도를 높이기 위해 기본적으로 man 매뉴얼 생성이 중지되었습니다(전체 문서를 작성하려면 html 형식 매뉴얼의 경우 "-Dman=true" 또는 "-Dhtml=true" 옵션을 사용해야 함). 문서를 더 쉽게 볼 수 있도록 두 개의 스크립트가 포함되어 있습니다. 관심 있는 매뉴얼을 생성하고 미리보기 위한 build/man/man 및 build/man/html;
• 자국어 문자로 도메인 이름을 처리하려면 기본적으로 libidn2 라이브러리가 사용됩니다(libidn을 반환하려면 "-Dlibidn=true" 옵션 사용).
• 배포판에서 널리 배포되지 않은 기능을 제공하는 /usr/sbin/halt.local 실행 파일에 대한 지원이 중단되었습니다. 종료 시 명령 실행을 구성하려면 /usr/lib/systemd/system-shutdown/에 있는 스크립트를 사용하거나 final.target에 의존하는 새 장치를 정의하는 것이 좋습니다.
• 종료의 마지막 단계에서 systemd는 이제 sysctl "kernel.printk"의 로그 수준을 자동으로 높입니다. 이는 일반 로깅 데몬이 이미 완료되었을 때 종료의 후반 단계에서 발생한 로그 이벤트를 표시하는 문제를 해결합니다. ;
• 로그를 표시하는 저널ctl 및 기타 유틸리티에서 경고는 노란색으로 강조 표시되고 감사 기록은 파란색으로 강조 표시되어 시각적으로 강조 표시됩니다.
• $PATH 환경 변수에서 bin/ 경로는 이제 sbin/ 경로 앞에 옵니다. 즉, 두 디렉터리에 동일한 이름의 실행 파일이 있으면 bin/의 파일이 실행됩니다.
• systemd-logind는 세션별로 화면 밝기를 안전하게 변경하기 위해 SetBrightness() 호출을 제공합니다.
• 장치가 초기화될 때까지 기다리기 위해 "--wait-for-initialization" 플래그가 "udevadm info" 명령에 추가되었습니다.
• 시스템 부팅 중에 PID 1 핸들러는 이제 설명이 포함된 줄 대신 장치 이름을 표시합니다. 이전 동작으로 되돌리려면 /etc/systemd/system.conf의 StatusUnitFormat 옵션이나 systemd.status_unit_format 커널 옵션을 사용할 수 있습니다.
• kexec를 사용하여 다시 시작하기 위한 시간 초과를 지정하는 watchdog PID 1에 대한 KExecWatchdogSec 옵션을 /etc/systemd/system.conf에 추가했습니다. 이전 설정
  ShutdownWatchdogSec는 RebootWatchdogSec로 이름이 변경되었으며 종료 또는 정상 재시작 중 작업에 대한 시간 제한을 정의합니다.

• 서비스에 새로운 옵션이 추가되었습니다. 실행조건, ExecStartPre 전에 실행될 명령을 지정할 수 있습니다. 명령에서 반환된 오류 코드에 따라 장치의 추가 실행에 대한 결정이 내려집니다. 코드 0이 반환되면 장치 실행이 계속되고, 1에서 254까지 실패 플래그 없이 자동으로 끝나면 255로 끝납니다. 실패 플래그;
• sys/fs/pstore/에서 데이터를 추출하고 추가 분석을 위해 /var/lib/pstore에 저장하는 새로운 서비스 systemd-pstore.service를 추가했습니다.
• 네트워크 인터페이스와 관련하여 systemd-timesyncd에 대한 NTP 매개변수를 구성하기 위해 timedatectl 유틸리티에 새로운 명령이 추가되었습니다.
• "localectl list-locales" 명령은 더 이상 UTF-8 이외의 로케일을 표시하지 않습니다.
• 변수 이름이 "-" 문자로 시작하는 경우 sysctl.d/ 파일의 변수 할당 오류가 무시되는지 확인합니다.
• 서비스 systemd-random-seed.service 이제 Linux 커널 의사 난수 생성기의 엔트로피 풀 초기화를 전적으로 담당합니다. 올바르게 초기화된 /dev/urandom이 필요한 서비스는 systemd-random-seed.service 이후에 시작되어야 합니다.
• systemd-boot 부트 로더는 다음을 지원하는 선택적 기능을 제공합니다. 시드 파일 EFI 시스템 파티션(ESP)에서 무작위 순서를 사용합니다.
• bootctl 유틸리티에 새로운 명령이 추가되었습니다: ESP에서 시드 파일을 생성하기 위한 "bootctl random-seed" 및 systemd-boot 부트 로더의 설치를 확인하기 위한 "bootctl is-installed". 또한 bootctl은 부팅 항목의 잘못된 구성에 대한 경고를 표시하도록 조정되었습니다(예: 커널 이미지가 삭제되었지만 로드할 항목이 남아 있는 경우).
• 시스템이 절전 모드로 전환되면 스왑 파티션이 자동으로 선택됩니다. 파티션은 구성된 우선순위에 따라 선택되며, 우선순위가 동일한 경우 여유 공간의 양에 따라 선택됩니다.
• 암호화 키가 있는 장치가 암호화된 파티션에 액세스하기 위해 비밀번호를 묻는 메시지를 표시하기 전에 대기하는 시간을 설정하기 위해 /etc/crypttab에 keyfile-timeout 옵션을 추가했습니다.
• BFQ 스케줄러의 I/O 가중치를 설정하는 IOWeight 옵션이 추가되었습니다.
• systemd-resolved는 DNS-over-TLS에 '엄격한' 모드를 추가하고 긍정적인 DNS 응답만 캐시하는 기능을 구현했습니다(resolved.conf의 "Cache no-negative").
• VXLAN의 경우 systemd-networkd에 VXLAN 프로토콜 확장을 활성화하는 GenericProtocolExtension 옵션이 추가되었습니다. VXLAN 및 GENEVE의 경우 나가는 패킷에 대한 조각화 금지 플래그를 설정하기 위해 IPDoNotFragment 옵션이 추가되었습니다.
• systemd-networkd의 "[Route]" 섹션에 FastOpenNoCookie 옵션이 나타나 TTLPropagate 옵션뿐만 아니라 개별 경로와 관련하여 TCP 연결(TFO - TCP Fast Open, RFC 7413)을 빠르게 여는 메커니즘을 활성화합니다. TTL LSP(Label Switched Path)를 구성합니다. "유형" 옵션은 로컬, 브로드캐스트, 애니캐스트, 멀티캐스트, 모든 및 xresolve 라우팅 모드를 지원합니다.
• Systemd-networkd는 "[Network]" 섹션에서 DefaultRouteOnDevice 옵션을 제공하여 특정 네트워크 장치에 대한 기본 경로를 자동으로 구성합니다.
• Systemd-networkd에 ProxyARP 및
  프록시 ARP 동작 설정을 위한 ProxyARPWifi, 멀티캐스트 모드에서 라우팅 매개변수 설정을 위한 MulticastRouter, 멀티캐스트용 IGMP(Internet Group Management Protocol) 버전 변경을 위한 MulticastIGMPVersion;

• Systemd-networkd에는 로컬 및 원격 IP 주소와 네트워크 포트 번호를 구성하기 위해 FooOverUDP 터널에 대한 로컬, 피어 및 PeerPort 옵션이 추가되었습니다. TUN 터널의 경우 GSO(일반 세그먼트 오프로드) 지원을 구성하기 위해 VnetHeader 옵션이 추가되었습니다.
• systemd-networkd의 [Match] 섹션에 있는 .network 및 .link 파일에 udev의 특정 속성으로 장치를 식별할 수 있는 속성 옵션이 나타났습니다.
• systemd-networkd에는 터널에 대해 AssignToLoopback 옵션이 추가되었습니다. 이 옵션은 터널 끝이 루프백 장치 "lo"에 할당되는지 여부를 제어합니다.
• systemd-networkd는 sysctl 비활성화_ipv6을 통해 차단된 경우 IPv6 스택을 자동으로 활성화합니다. - IPv6 설정(정적 또는 DHCPv6)이 네트워크 인터페이스에 대해 정의된 경우 IPv6가 활성화됩니다. 그렇지 않으면 이미 설정된 sysctl 값이 변경되지 않습니다.
• .network 파일에서 CriticalConnection 설정은 systemd-networkd가 수행해야 하는 상황("yes", "static", "dhcp-on-stop", "dhcp")을 정의하기 위한 더 많은 수단을 제공하는 KeepConfiguration 옵션으로 대체되었습니다. 시작할 때 기존 연결을 건드리지 마십시오.
• 취약점이 수정되었습니다. CVE-2019-15718, D-Bus 인터페이스 systemd-resolved에 대한 액세스 제어 부족으로 인해 발생합니다. 이 문제로 인해 권한 없는 사용자가 DNS 설정 변경, 악성 서버로 DNS 쿼리 전달 등 관리자에게만 가능한 작업을 수행할 수 있게 되었습니다.
• 취약점이 수정되었습니다. CVE-2019-9619비대화형 세션에 대해 pam_systemd를 활성화하지 않는 것과 관련되어 활성 세션을 스푸핑할 수 있습니다.

출처 : opennet.ru