systemd 시스템 관리자 릴리스 249

249개월 간의 개발 끝에 시스템 관리자 systemd XNUMX가 출시되었습니다. 새 릴리스에서는 JSON 형식으로 사용자/그룹을 정의하는 기능을 제공하고 저널 프로토콜을 안정화하며 연속 디스크 파티션 로드 구성을 단순화하고 BPF 프로그램을 서비스에 연결하고 마운트된 파티션에 사용자 식별자 매핑을 구현하면 새로운 네트워크 설정의 상당 부분과 컨테이너 실행 기회가 제공됩니다.

주요 변경 사항 :

• 저널 프로토콜은 문서화되어 있으며 클라이언트에서 로그 레코드의 로컬 전달을 위해 syslog 프로토콜 대신 사용할 수 있습니다. 저널 프로토콜은 오랫동안 구현되어 일부 클라이언트 라이브러리에서 이미 사용되고 있지만 공식 지원은 이제 막 발표되었습니다.
• Userdb 및 nss-systemd는 JSON 형식으로 지정된 /etc/userdb/, /run/userdb/, /run/host/userdb/ 및 /usr/lib/userdb/ 디렉토리에 있는 추가 사용자 정의를 읽을 수 있도록 지원합니다. 이 기능은 시스템에서 사용자를 생성하기 위한 추가 메커니즘을 제공하여 NSS 및 /etc/shadow와의 완전한 통합을 제공합니다. 사용자/그룹 항목에 대한 JSON 지원을 통해 pam_systemd 및 systemd-logind가 인식하는 사용자에게 다양한 리소스 관리 및 기타 설정을 연결할 수도 있습니다.
• nss-systemd는 systemd-homed의 해시된 비밀번호를 사용하여 /etc/shadow에 있는 사용자/그룹 항목의 합성을 제공합니다.
• 서로 교체하는 디스크 파티션을 사용하여 업데이트 구성을 단순화하는 메커니즘이 구현되었습니다(한 파티션은 활성이고 두 번째 파티션은 예비입니다. 업데이트는 예비 파티션에 복사된 후 활성화됩니다). 디스크 이미지에 두 개의 루트 또는 /usr 파티션이 있고 udev가 'root=' 매개변수의 존재를 감지하지 못했거나 systemd-nspawn 및 systemd의 "--image" 옵션을 통해 지정된 디스크 이미지를 처리하는 경우 -dissect 유틸리티를 사용하면 GPT 레이블을 비교하여 부팅 파티션을 계산할 수 있습니다(GPT 레이블에 파티션 내용의 버전 번호가 언급되어 있고 systemd가 최신 변경 사항이 있는 파티션을 선택한다고 가정).
• BPFProgram 설정이 서비스 파일에 추가되었습니다. 이를 통해 BPF 프로그램을 커널에 로드하는 작업을 구성하고 특정 시스템 서비스에 바인딩하여 관리할 수 있습니다.
• Systemd-fstab-generator 및 systemd-repart는 /usr 파티션만 있고 루트 파티션은 없는 디스크에서 부팅하는 기능을 추가합니다(루트 파티션은 첫 번째 부팅 중에 systemd-repart에 의해 생성됩니다).
• systemd-nspawn에서 "--private-user-chown" 옵션은 "chown" 값을 "--와 동일하게 허용할 수 있는 보다 일반적인 "--private-user-ownership" 옵션으로 대체되었습니다. private-user-chown", "off"는 이전 설정을 비활성화하고, "map"은 마운트된 파일 시스템에 사용자 ID를 매핑하고, "auto"는 필요한 기능이 커널(5.12+)에 있거나 대체되는 경우 "map"을 선택합니다. 그렇지 않으면 "chown"에 대한 재귀 호출로 전환됩니다. 매핑을 사용하면 마운트된 외부 파티션에 있는 한 사용자의 파일을 현재 시스템의 다른 사용자에게 매핑할 수 있으므로 여러 사용자 간에 파일을 더 쉽게 공유할 수 있습니다. systemd-homed 휴대용 홈 디렉터리 메커니즘에서는 매핑을 통해 사용자가 자신의 홈 디렉터리를 외부 미디어로 이동하고 동일한 사용자 ID 레이아웃이 없는 다른 컴퓨터에서 사용할 수 있습니다.
• systemd-nspawn에서 "--private-user" 옵션은 이제 "identity" 값을 사용하여 사용자 네임스페이스를 설정할 때 사용자 ID를 직접 반영할 수 있습니다. 공격 벡터를 줄이기 위해 컨테이너의 UID 0 및 UID 1은 호스트 측의 UID 0 및 UID 1에 반영됩니다(컨테이너는 해당 네임스페이스의 프로세스 기능만 수신합니다).
• 호스트 환경에 존재하는 사용자 계정을 컨테이너에 전달하기 위해 systemd-nspawn에 “--bind-user” 옵션이 추가되었습니다. (홈 디렉터리가 컨테이너에 마운트되고, 사용자/그룹 항목이 추가되고, UID 매핑이 이루어집니다.) 컨테이너와 호스트 환경 사이에서 수행됩니다).
• systemd-ask-password 및 systemd-sysusers에 설정된 비밀번호를 요청하는 지원이 추가되었습니다(passwd.hashed-password. 및 passwd.plaintext-password. ) systemd 247에 도입된 메커니즘을 사용하여 별도의 디렉터리에 있는 중간 파일을 사용하여 민감한 데이터를 안전하게 전송합니다. 기본적으로 자격 증명은 PID1이 있는 프로세스에서 수락됩니다. 예를 들어 첫 번째 부팅 시 사용자 비밀번호를 구성할 수 있는 컨테이너 관리 관리자에서 자격 증명을 받습니다.
• systemd-firstboot는 민감한 데이터의 보안 전송 메커니즘을 사용하여 다양한 시스템 매개변수를 쿼리하는 지원을 추가합니다. 이는 /etc 디렉터리에 필요한 설정이 없는 컨테이너 이미지를 처음 부팅할 때 시스템 설정을 초기화하는 데 사용할 수 있습니다.
• PID 1 프로세스는 부팅 중에 장치 이름과 설명이 모두 표시되도록 합니다. system.conf의 "StatusUnitFormat=combined" 매개변수 또는 커널 명령줄 옵션 "systemd.status-unit-format=combined"를 통해 출력을 변경할 수 있습니다.
• 시스템 ID가 있는 파일을 디스크 이미지로 전송하거나 디스크 이미지의 크기를 늘리기 위해 "--image" 옵션이 systemd-machine-id-setup 및 systemd-repart 유틸리티에 추가되었습니다.
• MakeDirectories 매개변수가 systemd-repart 유틸리티에서 사용하는 파티션 구성 파일에 추가되었습니다. 이 매개변수는 파티션 테이블에 반영되기 전에 생성된 파일 시스템에 임의 디렉터리를 생성하는 데 사용할 수 있습니다(예: 마운트 지점에 대한 디렉터리 생성). 읽기 전용 모드로 파티션을 즉시 마운트할 수 있도록 루트 파티션을 삭제합니다. 생성된 섹션에서 GPT 플래그를 제어하기 위해 해당 Flags, ReadOnly 및 NoAuto 매개변수가 추가되었습니다. CopyBlocks 매개변수에는 블록을 복사할 때(예를 들어 자신의 루트 파티션을 새 미디어로 전송해야 하는 경우) 현재 부팅 파티션을 소스로 자동 선택하기 위한 "auto" 값이 있습니다.
• GPT는 x-systemd.growfs 마운트 옵션과 유사한 "grow-file-system" 플래그를 구현하며 FS 크기가 파티션보다 작은 경우 FS 크기를 블록 장치 경계까지 자동 확장합니다. 이 플래그는 Ext3, XFS 및 Btrfs 파일 시스템에 적용 가능하며 자동으로 감지된 파티션에 적용될 수 있습니다. 이 플래그는 systemd-repart를 통해 자동으로 생성된 쓰기 가능한 파티션에 대해 기본적으로 활성화됩니다. systemd-repart에서 플래그를 구성하기 위해 GrowFileSystem 옵션이 추가되었습니다.
• /etc/os-release 파일은 새로운 IMAGE_VERSION 및 IMAGE_ID 변수에 대한 지원을 제공하여 원자적으로 업데이트된 이미지의 버전과 ID를 결정합니다. %M 및 %A 지정자는 지정된 값을 다양한 명령으로 대체하도록 제안되었습니다.
• 휴대용 시스템 확장 이미지를 활성화하기 위해 "--extension" 매개변수가 Portablectl 유틸리티에 추가되었습니다(예를 들어, 이를 통해 루트 파티션에 통합된 추가 서비스와 함께 이미지를 배포할 수 있습니다).
• systemd-coredump 유틸리티는 프로세스의 코어 덤프를 생성할 때 ELF 빌드 ID 정보 추출을 제공합니다. 이는 deb 또는 rpm 패키지의 이름 및 버전에 대한 정보가 빌드된 경우 실패한 프로세스가 속한 패키지를 확인하는 데 유용할 수 있습니다. ELF 파일에.
• FireWire(IEEE 1394) 장치를 위한 새로운 하드웨어 기반이 udev에 추가되었습니다.
• udev에서는 이전 버전과의 호환성을 위반하는 "net_id" 네트워크 인터페이스 이름 선택 체계에 세 가지 변경 사항이 추가되었습니다. 인터페이스 이름의 잘못된 문자는 이제 "_"로 대체됩니다. s390 시스템의 PCI 핫플러그 슬롯 이름은 65535진수 형식으로 처리됩니다. 최대 16383개의 내장 PCI 장치를 사용할 수 있습니다(이전에는 XNUMX 이상의 숫자가 차단되었습니다).
• systemd-resolved는 로컬 홈 네트워크에 권장되지만 DNSSEC에서는 사용되지 않는 NTA(Negative Trust Anchors) 목록에 "home.arpa" 도메인을 추가합니다.
• CPUAffinity 매개변수는 "%" 지정자의 구문 분석을 제공합니다.
• ManageForeignRoutingPolicyRules 매개변수가 .network 파일에 추가되었습니다. 이는 타사 라우팅 정책 처리에서 systemd-networkd를 제외하는 데 사용할 수 있습니다.
• 네트워크 인터페이스가 "온라인" 상태에 있다는 표시로 IPv4 또는 IPv6 주소의 존재를 확인하기 위해 필수FamilyForOnline 매개변수가 ".network" 파일에 추가되었습니다. Networkctl은 각 링크에 대한 "온라인" 상태 표시를 제공합니다.
• 네트워크 브리지를 구성할 때 나가는 인터페이스를 정의하기 위해 OutgoingInterface 매개변수를 .network 파일에 추가했습니다.
• 그룹 매개변수가 ".network" 파일에 추가되어 "[NextHop]" 섹션의 항목에 대한 다중 경로 그룹을 구성할 수 있습니다.
• 연결 대기를 IPv4 또는 IPv6로만 제한하기 위해 systemd-network-wait-online에 옵션 "-4" 및 "-6"을 추가했습니다.
• 서버를 DHCP Ralay 모드로 전환하는 RelayTarget 매개변수가 DHCP 서버 설정에 추가되었습니다. DHCP 릴레이의 추가 구성을 위해 RelayAgentCircuitId 및 RelayAgentRemoteId 옵션이 제공됩니다.
• ServerAddress 매개변수가 DHCP 서버에 추가되어 서버 IP 주소를 명시적으로 설정할 수 있습니다(그렇지 않으면 주소가 자동으로 선택됨).
• DHCP 서버는 고정 주소 바인딩(DHCP 임대)을 구성하고 MAC 주소에 대한 고정 IP 바인딩을 지정하거나 그 반대로 지정할 수 있는 [DHCPServerStaticLease] 섹션을 구현합니다.
• RestrictAddressFamilies 설정은 "none" 값을 지원합니다. 이는 서비스가 어떤 주소 계열의 소켓에도 액세스할 수 없음을 의미합니다.
• [Address], [DHCPv6PrefixDelegation] 및 [IPv6Prefix] 섹션의 ".network" 파일에는 지정된 주소에 대해 생성된 경로 접두사에 대한 메트릭을 지정할 수 있는 RouteMetric 설정에 대한 지원이 구현되었습니다.
• nss-myhostname 및 systemd-resolved는 나가는 연결에 사용되는 기본 경로에 따라 선택되는 로컬 IP가 항상 발급되는 특수 이름 "_outbound"를 가진 호스트의 주소와 DNS 레코드의 합성을 제공합니다.
• .network 파일의 "[DHCPv4]" 섹션에 기본 활성 RoutesToNTP 설정이 추가되었습니다. 이를 위해서는 DHCP를 사용하여 이 인터페이스에 대해 얻은 NTP 서버 주소에 액세스하기 위해 현재 네트워크 인터페이스를 통해 별도의 경로를 추가해야 합니다(DNS와 유사). , 이 설정을 사용하면 NTP 서버로의 트래픽이 이 주소가 수신된 인터페이스를 통해 라우팅되도록 보장할 수 있습니다.
• 현재 서비스에 바인딩된 소켓에 대한 액세스를 제어하기 위해 SocketBindAllow 및 SocketBindDeny 설정이 추가되었습니다.
• 유닛 파일의 경우 ConditionFirmware라는 조건부 설정이 구현되었습니다. 이를 통해 UEFI 및 device.tree 시스템에서의 작업과 같은 펌웨어 기능을 평가하는 검사를 생성하고 특정 장치 트리 기능과의 호환성을 확인할 수 있습니다.
• /etc/os-release 파일의 필드를 확인하기 위해 ConditionOSRelease 옵션을 구현했습니다. 필드 값 확인 조건을 정의할 때 "=", "!=", "<", "<=", ">=", ">" 연산자를 사용할 수 있습니다.
• Hostnamectl 유틸리티에서 "get-xyz" 및 "set-xyz"와 같은 명령은 예를 들어 "hostnamectl get-hostname" 및 "hostnamectl "set-hostname" 대신 "get" 및 "set" 접두사에서 해제됩니다. 추가 인수(“hostnamectl 호스트 이름 값”)를 지정하여 값을 할당하는 “hostnamectl 호스트 이름” 명령을 사용할 수 있습니다. 호환성을 보장하기 위해 이전 명령에 대한 지원이 유지되었습니다.
• systemd-Detect-virt 유틸리티와 ConditionVirtualization 설정은 Amazon EC2 환경을 올바르게 식별하도록 보장합니다.
• 이제 단위 파일의 LogLevelMax 설정은 서비스에서 생성된 로그 메시지뿐만 아니라 서비스를 언급하는 PID 1 프로세스 메시지에도 적용됩니다.
• systemd-boot EFI PE 파일에 SBAT(UEFI Secure Boot Advanced Targeting) 데이터를 포함하는 기능이 제공되었습니다.
• /etc/crypttab은 "headless" 및 "password-echo"라는 새로운 옵션을 구현합니다. 첫 번째 옵션을 사용하면 사용자에게 비밀번호 및 PIN을 대화식으로 묻는 것과 관련된 모든 작업을 건너뛸 수 있고, 두 번째 옵션을 사용하면 비밀번호 입력 표시 방법을 구성할 수 있습니다. (아무것도 표시하지 않고, 문자별로 표시하고 별표를 표시합니다). 비슷한 목적으로 systemd-ask-password에 "--echo" 옵션이 추가되었습니다.
• systemd-cryptenroll, systemd-cryptsetup 및 systemd-homed는 FIDO2 토큰을 사용하여 암호화된 LUKS2 파티션 잠금 해제에 대한 지원을 확장했습니다. 사용자의 실제 존재 확인, 확인 및 입력 필요성을 제어하기 위해 "--fido2-with-user-presence", "--fido2-with-user-verification" 및 "-fido2-with-client-pin"이라는 새로운 옵션이 추가되었습니다. PIN 코드.
• Journalctl 옵션과 유사하게 systemd-journal-gatewayd에 "--user", "--system", "--merge" 및 "--file" 옵션이 추가되었습니다.
• OnFailure 및 Slice 매개변수를 통해 지정된 유닛 간의 직접적인 종속성 외에도 암시적 역 종속성 OnFailureOf 및 SliceOf에 대한 지원이 추가되었습니다. 이는 예를 들어 슬라이스에 포함된 모든 유닛을 결정하는 데 유용할 수 있습니다.
• 유닛 사이에 새로운 유형의 종속성을 추가했습니다: OnSuccess 및 OnSuccessOf(OnFailure의 반대, 성공적인 완료 시 호출됨). PropagatesStopTo 및 StopPropagatedFrom(장치의 중지 이벤트를 다른 장치에 전파할 수 있음) Upholds 및 UpheldBy(재시작 대체)
• systemd-ask-password 유틸리티에는 이제 비밀번호 입력 줄에 있는 자물쇠 기호(🔐)의 모양을 제어하는 ​​"--emoji" 옵션이 있습니다.
• 시스템 소스 트리 구조에 대한 문서가 추가되었습니다.
• 장치의 경우 MemoryAvailable 속성이 추가되어 MemoryMax, MemoryHigh 또는 MemoryAvailable 매개 변수를 통해 설정된 제한에 도달하기 전에 장치에 남은 메모리 양을 표시합니다.

출처 : opennet.ru