systemd 시스템 관리자 릴리스 248

248개월 간의 개발 끝에 시스템 관리자 systemd 2이 출시되었습니다. 새 릴리스에서는 시스템 디렉터리 확장을 위한 이미지, /etc/veritytab 구성 파일, systemd-cryptenroll 유틸리티, TPM2 칩 및 FIDO2를 사용하여 LUKSXNUMX 잠금 해제를 위한 지원을 제공합니다. 토큰, 격리된 IPC 식별자 공간의 실행 유닛, 메시 네트워크용 BATMAN 프로토콜, systemd-nspawn용 nftables 백엔드. Systemd-oomd가 안정화되었습니다.

주요 변경 사항 :

• /usr/ 및 /opt/ 디렉터리의 계층 구조를 확장하고 지정된 디렉터리가 읽기 전용으로 마운트된 경우에도 런타임에 추가 파일을 추가하는 데 사용할 수 있는 시스템 확장 이미지 개념이 구현되었습니다. 시스템 확장 이미지가 마운트되면 해당 콘텐츠는 OverlayFS를 사용하여 /usr/ 및 /opt/ 계층 구조에 오버레이됩니다.

  시스템 확장의 이미지를 연결, 연결 해제, 보기 및 업데이트하기 위해 새로운 유틸리티인 systemd-sysext가 제안되었습니다. 부팅 중에 이미 설치된 이미지를 자동으로 연결하기 위해 systemd-sysext.service 서비스가 추가되었습니다. 지원되는 시스템 확장 수준을 결정하기 위해 os-release 파일에 "SYSEXT_LEVEL=" 매개변수를 추가했습니다.

• 장치의 경우 시스템 확장 이미지를 개별 격리 서비스의 FS 네임스페이스 계층 구조에 연결하는 데 사용할 수 있는 ExtensionImages 설정이 구현되었습니다.
• dm-verity 모듈을 사용하여 블록 수준에서 데이터 확인을 구성하기 위해 /etc/veritytab 구성 파일을 추가했습니다. 파일 형식은 /etc/crypttab - "section_name device_for_data device_for_hashes check_hash_root options"와 유사합니다. 루트 장치에 대한 dm-verity 동작을 구성하기 위해 systemd.verity.root_options 커널 명령줄 옵션이 추가되었습니다.
• systemd-cryptsetup은 LUKS11 메타데이터 헤더에서 JSON 형식으로 PKCS#2 토큰 URI와 암호화된 키를 추출하는 기능을 추가하여 외부 파일을 사용하지 않고도 암호화된 장치 열기에 대한 정보를 장치 자체에 통합할 수 있습니다.
• systemd-cryptsetup은 이전에 지원된 PKCS#2 토큰 외에도 TPM2 칩 및 FIDO2 토큰을 사용하여 LUKS11 암호화 파티션 잠금 해제를 지원합니다. libfido2 로딩은 dlopen()을 통해 수행됩니다. 즉, 가용성은 고정된 종속성이 아닌 즉석에서 확인됩니다.
• 암호화 및 암호 해독과 관련된 I/O의 동기 처리를 활성화하기 위해 systemd-cryptsetup의 /etc/crypttab에 새로운 옵션 "no-write-workqueue" 및 "no-read-workqueue"가 추가되었습니다.
• systemd-repart 유틸리티에는 TPM2 칩을 사용하여 암호화된 파티션을 활성화하는 기능(예: 첫 번째 부팅 시 암호화된 /var 파티션 생성)이 추가되었습니다.
• TPM2, FIDO2 및 PKCS#11 토큰을 LUKS 파티션에 바인딩하고, 토큰을 고정 해제 및 확인하고, 예비 키를 바인딩하고, 액세스를 위한 비밀번호를 설정하기 위해 systemd-cryptenroll 유틸리티가 추가되었습니다.
• 별도의 식별자와 메시지 큐를 사용하여 격리된 IPC 공간에서 프로세스를 실행하도록 단위 파일을 구성할 수 있는 PrivateIPC 매개변수가 추가되었습니다. 이미 생성된 IPC 식별자 공간에 장치를 연결하려면 IPCNamespacePath 옵션이 제안됩니다.
• 파일 시스템의 특정 부분에 noexec 플래그를 적용할 수 있도록 ExecPaths 및 NoExecPaths 설정이 추가되었습니다.
• systemd-networkd는 각 노드가 인접 노드를 통해 연결되는 분산형 네트워크를 생성할 수 있는 BATMAN(Better Approach To Mobile Adhoc Networking) 메시 ​​프로토콜에 대한 지원을 추가합니다. 구성을 위해 .netdev의 [BatmanAdvanced] 섹션, .network 파일의 BatmanAdvanced 매개변수 및 새로운 장치 유형 "batadv"가 제안됩니다.
• systemd-oomd 시스템의 메모리 부족에 대한 조기 대응 메커니즘 구현이 안정화되었습니다. 장치에 영향을 미치기 전에 리소스가 해제될 때까지의 대기 시간을 구성하기 위해 DefaultMemoryPressureDurationSec 옵션을 추가했습니다. Systemd-oomd는 PSI(Pressure Stall Information) 커널 하위 시스템을 사용하여 리소스 부족으로 인한 지연 시작을 감지하고 시스템이 아직 위험 상태에 있지 않고 종료되지 않는 단계에서 리소스 집약적인 프로세스를 선택적으로 종료할 수 있도록 합니다. 집중적으로 캐시를 다듬고 데이터를 스왑 파티션으로 옮기기 시작합니다.
• Tmpfs를 사용하여 RAM에 있는 임시 저장소에 루트 파티션을 마운트할 수 있는 커널 명령줄 매개변수 "root=tmpfs"가 추가되었습니다.
• 이제 키 파일을 지정하는 /etc/crypttab 매개변수가 AF_UNIX 및 SOCK_STREAM 소켓 유형을 가리킬 수 있습니다. 이 경우 소켓에 연결할 때 키를 제공해야 합니다. 예를 들어 키를 동적으로 발급하는 서비스를 만드는 데 사용할 수 있습니다.
• 시스템 관리자 및 systemd-hostnamed에서 사용할 대체 호스트 이름은 이제 os-release의 DEFAULT_HOSTNAME 매개변수와 $SYSTEMD_DEFAULT_HOSTNAME 환경 변수를 통해 두 가지 방법으로 설정할 수 있습니다. systemd-hostnamed는 호스트 이름의 "localhost"도 처리하고 DBus를 통해 호스트 이름과 "HardwareVendor" 및 "HardwareModel" 속성을 내보내는 기능을 추가합니다.
• 노출된 환경 변수가 있는 블록은 이제 커널 명령줄 및 유닛 파일 설정뿐만 아니라 system.conf 또는 user.conf의 새로운 ManagerEnvironment 옵션을 통해 구성할 수 있습니다.
• 컴파일 타임에 execve() 대신 fexecve() 시스템 호출을 사용하여 프로세스를 시작하면 보안 컨텍스트 확인과 적용 사이의 지연 시간을 줄일 수 있습니다.
• 단위 파일의 경우 TPM2 장치 및 개별 CPU 기능의 존재 여부를 확인하기 위해 새로운 조건부 작업 ConditionSecurity=tpm2 및 ConditionCPUFeature가 추가되었습니다(예: ConditionCPUFeature=rdrand를 사용하여 프로세서가 RDRAND 작업을 지원하는지 확인할 수 있음).
• 사용 가능한 커널의 경우 seccomp 필터에 대한 시스템 호출 테이블 자동 생성이 구현되었습니다.
• 서비스를 다시 시작하지 않고도 서비스의 기존 마운트 네임스페이스로 새 바인드 마운트를 대체하는 기능이 추가되었습니다. 대체는 'systemctl bin' 명령으로 수행됩니다. ...' 및 'systemctl 마운트 이미지 …'.
• StandardOutput 및 StandardError 설정에서 "truncate:" 형식으로 경로를 지정하기 위한 지원이 추가되었습니다. » 사용 전 청소를 위해.
• sd-bus에 대한 로컬 컨테이너 내에서 지정된 사용자 세션에 대한 연결을 설정하는 기능이 추가되었습니다. 예를 들면 "systemctl -user -M lennart@ start quux"입니다.
• 다음 매개변수는 [Link] 섹션의 systemd.link 파일에 구현됩니다.
  • 무차별(Promiscuous) - 장치를 "무차별" 모드로 전환하여 현재 시스템에 주소가 지정되지 않은 패킷을 포함하여 모든 네트워크 패킷을 처리할 수 있습니다.
  • TX 및 RX 대기열 수를 설정하기 위한 TransmitQueues 및 ReceiverQueues;
  • TransmitQueueLength는 TX 대기열 크기를 설정합니다. GenericSegmentOffloadMaxBytes 및 GenericSegmentOffloadMaxSegment는 GRO(일반 수신 오프로드) 기술 사용에 대한 제한을 설정합니다.
• systemd.network 파일에 새로운 설정이 추가되었습니다:
  • [네트워크] RouteTable 라우팅 테이블을 선택합니다.
  • [RoutingPolicyRule] 라우팅 유형에 대한 유형입니다("블랙홀, "접근 불가능", "금지").
  • [IPv6AcceptRA] 허용 및 거부된 경로 공지 목록에 대한 RouteDenyList 및 RouteAllowList.
  • [DHCPv6] DHCP에서 발급한 주소를 무시하려면 Addres를 사용하세요.
  • [DHCPv6PrefixDelegation] ManageTemporaryAddress;
  • 인터페이스 활동에 관한 정책을 정의하는 ActivationPolicy(항상 UP 또는 DOWN 상태를 유지하거나 사용자가 "ip link set dev" 명령을 사용하여 상태를 변경할 수 있도록 허용)
• VLAN 패킷 처리를 구성하기 위해 systemd.netdev 파일에 [VLAN] 프로토콜, IngressQOSMaps, EgressQOSMaps 및 [MACVLAN] BroadcastMulticastQueueLength 옵션을 추가했습니다.
• /dev/sgx 파일과 함께 실행 가능 플래그를 사용할 때 충돌이 발생하므로 noexec 모드에서 /dev/ 디렉토리 마운트를 중지했습니다. 이전 동작을 되돌리려면 NoExecPaths=/dev 설정을 사용할 수 있습니다.
• /dev/vsock 파일 권한이 0o666으로 변경되었으며 /dev/vhost-vsock 및 /dev/vhost-net 파일이 kvm 그룹으로 이동되었습니다.
• 하드웨어 ID 데이터베이스는 절전 모드를 올바르게 지원하는 USB 지문 인식기로 확장되었습니다.
• systemd-resolved에는 스텁 확인자를 통해 DNSSEC 쿼리에 대한 응답을 발행하기 위한 지원이 추가되었습니다. 로컬 클라이언트는 자체적으로 DNSSEC 유효성 검사를 수행할 수 있는 반면, 외부 클라이언트는 변경 없이 상위 DNS 서버로 프록시됩니다.
• Resolved.conf에 CacheFromLocalhost 옵션을 추가했습니다. 설정된 경우 systemd-resolved는 127.0.0.1의 DNS 서버에 대한 호출에도 캐싱을 사용합니다(기본적으로 이러한 요청의 캐싱은 이중 캐싱을 방지하기 위해 비활성화됩니다).
• systemd-resolved는 로컬 DNS 확인자에 RFC-5001 NSID에 대한 지원을 추가하여 클라이언트가 로컬 확인자 및 다른 DNS 서버와의 상호 작용을 구별할 수 있도록 합니다.
• resolvectl 유틸리티는 데이터 소스(로컬 캐시, 네트워크 요청, 로컬 프로세서 응답)에 대한 정보를 표시하는 기능과 데이터 전송 시 암호화 사용을 구현합니다. 이름 결정 프로세스를 제어하기 위해 --cache, --synthesize, --network, --zone, --trust-anchor 및 --validate 옵션이 제공됩니다.
• systemd-nspawn은 기존 iptables 지원 외에 nftables를 사용하여 방화벽 구성에 대한 지원을 추가합니다. systemd-networkd의 IPMasquerade 설정에는 nftables 기반 백엔드를 사용하는 기능이 추가되었습니다.
• systemd-localed에는 누락된 로케일을 생성하기 위해 locale-gen을 호출하는 지원이 추가되었습니다.
• --pager/-no-pager/-json= 옵션이 페이징 모드를 활성화/비활성화하고 JSON 형식으로 출력하기 위해 다양한 유틸리티에 추가되었습니다. SYSTEMD_COLORS 환경 변수(“16” 또는 “256”)를 통해 터미널에서 사용되는 색상 수를 설정하는 기능을 추가했습니다.
• 별도의 디렉토리 계층 구조(분할 / 및 /usr)와 cgroup v1 지원이 포함된 빌드는 더 이상 사용되지 않습니다.
• Git의 마스터 브랜치 이름이 '마스터'에서 '메인'으로 변경되었습니다.

출처 : opennet.ru