UKI(Unified Kernel Image)를 지원하는 systemd 시스템 관리자 252 출시

252개월간의 개발 끝에 시스템 관리자 systemd XNUMX가 출시되었습니다. 새로운 버전의 주요 변경 사항은 업그레이드된 부팅 프로세스에 대한 지원을 통합한 것입니다. 이를 통해 디지털 서명을 사용하여 커널과 부트로더뿐만 아니라 기본 시스템 환경의 구성 요소도 검증할 수 있습니다.

제안된 방법은 UEFI에서 커널을 로드하는 핸들러(UEFI 부트 스텁)와 커널 이미지를 결합한 통합 커널 이미지 UKI(Unified Kernel Image)를 로드 시 사용하는 것을 포함합니다. Linux initrd는 루트 파일 시스템을 마운트하기 전에 초기화하는 데 사용되는 메모리에 로드되는 시스템 환경입니다. UKI 이미지는 PE 형식의 단일 실행 파일로 패키징되어 있으며, 기존 부트로더를 사용하거나 UEFI 펌웨어에서 직접 호출할 수 있습니다. UEFI에서 호출할 경우, 디지털 서명을 사용하여 커널뿐만 아니라 initrd 내용의 무결성과 진위 여부를 확인할 수 있습니다.

새로운 유틸리티인 systemd-measure가 포함되어 UKI 이미지의 무결성을 모니터링하고 디지털 서명을 생성하는 데 사용되는 TPM PCR(신뢰할 수 있는 플랫폼 모듈 플랫폼 구성 레지스터) 레지스터의 매개변수를 계산합니다. 서명에 사용된 공개 키와 PCR 관련 정보는 UKI 부트 이미지에 직접 내장될 수 있으며(키와 서명은 PE 파일의 '.pcrsig' 및 '.pcrkey' 필드에 저장됨), 외부 또는 내부 유틸리티를 사용하여 UKI 부트 이미지에서 추출할 수 있습니다.

특히, systemd-cryptsetup, systemd-cryptenroll 및 systemd-creds 유틸리티는 이 정보를 사용하도록 조정되었으며, 이를 통해 암호화된 디스크 파티션을 디지털 서명된 커널에 바인딩하는 것이 가능합니다(이 경우 암호화된 파티션에 대한 액세스는 UKI 이미지가 TPM에 배치된 매개변수를 기반으로 하는 디지털 서명에 의한 검증을 통과한 경우에만 제공됩니다).

또한, systemd-pcrphase 유틸리티가 포함되어 있어 TPM 2.0 사양을 지원하는 암호화 프로세서의 메모리에 배치된 매개변수에 대한 다양한 부팅 단계의 바인딩을 관리할 수 있습니다(예를 들어, LUKS2 파티션 암호 해독 키를 initrd 이미지에서만 사용할 수 있도록 설정하고 이후 부팅 단계에서는 해당 키에 대한 액세스를 차단할 수 있음).

기타 변경 사항:

• 설정에서 다른 로케일이 지정되지 않는 한 기본적으로 C.UTF-8 로케일이 사용되도록 했습니다.
• 최초 부팅 시 전체 서비스 사전 설정("systemctl preset")을 수행하는 기능을 구현했습니다. 부팅 시 사전 설정을 활성화하려면 "-Dfirst-boot-full-preset" 옵션을 사용하여 빌드해야 하지만, 향후 릴리스에서는 기본적으로 활성화될 예정입니다.
• 사용자 관리 단위는 CPU 리소스 컨트롤러를 사용하며, 이를 통해 CPUWeight 설정을 시스템 분할에 사용되는 모든 슬라이스 단위(app.slice, background.slice, session.slice)에 적용하여 CPU 리소스를 놓고 경쟁하는 여러 사용자 서비스 간에 리소스를 분리할 수 있습니다. CPUWeight는 적절한 리소스 프로비저닝 모드를 활성화하기 위해 "idle" 값도 지원합니다.
• 임시 장치와 systemd-repart 유틸리티에서는 /etc/systemd/system/name.d/ 디렉토리에 드롭인 파일을 만들어서 설정을 재정의할 수 있습니다.
• 이제 시스템 이미지는 /etc/os-release 파일의 새로운 'SUPPORT_END=' 매개변수 값에 따라 '지원 종료'로 표시됩니다.
• 특정 자격 증명이 시스템에 없는 경우 단위를 무시하거나 중단하는 데 사용할 수 있는 "ConditionCredential=" 및 "AssertCredential=" 설정이 추가되었습니다.
• system.conf와 user.conf에 "DefaultSmackProcessLabel=" 및 "DefaultDeviceTimeoutSec=" 설정을 추가하여 기본 SMACK 보안 수준과 장치 활성화 시간 초과를 정의했습니다.
• "ConditionFirmware=" 및 "AssertFirmware=" 설정에 개별 SMBIOS 필드를 지정하는 기능이 추가되었습니다. 예를 들어, /sys/class/dmi/id/board_name 필드에 "Custom Board" 값이 포함된 경우에만 장치를 실행하려면 "ConditionFirmware=smbios-field(board_name = "Custom Board")"를 지정하면 됩니다.
• 이제 초기화 프로세스(PID 1)는 qemu_fwcfg를 통해 자격 증명을 정의하는 것 외에도 SMBIOS 필드(유형 11, "OEM 공급업체 문자열")에서 자격 증명을 가져올 수 있으므로 자격 증명을 제공하기가 더 쉬워졌습니다. 가상 머신 또한 cloud-init 및 ignition과 같은 타사 도구가 필요하지 않게 됩니다.
• 종료하는 동안 가상 FS(proc, sys)를 마운트 해제하는 로직이 변경되었으며, 파일 시스템의 마운트 해제를 차단하는 프로세스에 대한 정보가 로그에 저장되었습니다.
• SystemCallFilter는 기본적으로 riscv_flush_icache 시스템 호출에 대한 액세스를 허용합니다.
• 이제 sd-boot 부트로더는 64비트 커널이 포함된 혼합 모드로 부팅할 수 있습니다. Linux 32비트 UEFI 펌웨어에서 실행됩니다. ESP(EFI 시스템 파티션)에서 찾은 파일에서 SecureBoot 키를 자동으로 적용하는 실험적인 기능이 추가되었습니다.
• bootctl 유틸리티에 새로운 옵션이 추가되었습니다. "--all-architectures"는 지원되는 모든 EFI 아키텍처에 대한 바이너리를 설치하고, "--root=" 및 "--image="는 디렉토리나 디스크 이미지와 함께 작동하고, "--install-source="는 설치 소스를 지정하고, "--efi-boot-option-description="은 부팅 항목의 이름을 제어합니다.
• systemctl 유틸리티에 이제 자동으로 마운트된 디렉터리 목록을 표시하는 'list-automounts' 명령과 지정된 디스크 이미지에 명령을 실행하는 '--image=' 옵션이 추가되었습니다. 'show' 및 'status' 명령에 이제 '--state=' 및 '--type=' 옵션이 추가되었습니다.
• systemd-networkd에 다음 옵션이 추가되었습니다. TCP 혼잡 제어 알고리즘을 선택하는 "TCPCongestionControlAlgorithm=", TUN/TAP 인터페이스의 파일 디스크립터를 저장하는 "KeepFileDescriptor=", NetLabel 레이블을 설정하는 "NetLabel=", DHCPv6(RFC 3315)를 통한 구성 가속화를 위한 "RapidCommit=". 이제 "RouteTable=" 매개변수를 사용하여 라우팅 테이블 이름을 지정할 수 있습니다.
• systemd-nspawn에서는 "--bind=" 및 "--overlay=" 옵션에서 상대 파일 경로를 사용할 수 있습니다. 호스트 시스템에 마운트된 디렉토리의 소유자에 컨테이너의 루트 사용자 ID를 바인딩하기 위해 "--bind=" 옵션에 'rootidmap' 매개변수에 대한 지원이 추가되었습니다.
• systemd-resolved는 기본 암호화 백엔드로 OpenSSL을 사용합니다(gnutls 지원은 옵션으로 유지됩니다). 지원되지 않는 DNSSEC 알고리즘은 이제 오류(SERVFAIL)를 반환하는 대신 안전하지 않은 것으로 처리됩니다.
• systemd-sysusers, systemd-tmpfiles 및 systemd-sysctl은 자격 증명 저장 메커니즘을 통해 설정을 전달하는 기능을 구현합니다.
• systemd-analyze 유틸리티에 버전 번호가 있는 문자열을 비교하는 'compare-versions' 명령이 추가되었습니다('rpmdev-vercmp' 및 'dpkg --compare-versions'와 유사). 'systemd-analyze dump' 명령에 마스크 기준으로 유닛을 필터링하는 기능이 추가되었습니다.
• 다단계 절전 모드(일시 중지-최대 절전 모드)를 선택할 경우, 일시 중지 모드에 머무르는 시간은 이제 예상 남은 배터리 수명에 따라 결정됩니다. 배터리 잔량이 5% 미만이면 즉시 절전 모드가 실행됩니다.
• 'journalctl'에 새로운 출력 모드 "-o short-delta"가 추가되어 서로 다른 로그 메시지 간의 시간 차이를 표시합니다.
• 이제 systemd-repart는 디지털 서명이 있는 파티션을 포함하여 Squashfs FS를 사용한 파티션과 dm-verity를 ​​사용한 파티션 생성을 지원합니다.
• 지정된 시간 초과 후 유휴 세션을 종료하기 위해 systemd-logind에 "StopIdleSessionSec=" 설정을 추가했습니다.
• systemd-cryptenroll에 "--unlock-key-file=" 옵션을 추가하여 사용자에게 묻지 않고도 파일에서 복호화 키를 추출할 수 있습니다.
• udev가 없는 환경에서 systemd-growfs 유틸리티를 실행할 수 있는 기능이 보장되었습니다.
• systemd-backlight는 여러 개의 그래픽 카드가 있는 시스템에 대한 지원을 개선했습니다.
• 설명서에 제공된 코드 샘플의 라이센스가 CC0에서 MIT-0으로 변경되었습니다.

호환성을 손상하는 변경 사항:

• ConditionKernelVersion 지시어를 사용하여 커널 버전 번호를 확인할 때, '=' 및 '!=' 연산자는 이제 간단한 문자열 비교를 사용합니다. 비교 연산자가 지정되지 않은 경우, '*', '?' 및 '[', ']' 문자를 사용하여 글로벌 마스크 비교를 사용할 수 있습니다. stverscmp() 스타일의 버전 비교에는 '<', '>', '<=' 및 '>=' 연산자를 사용해야 합니다.
• SE 라벨Linux유닛 파일의 접근 권한을 확인하는 데 사용되던 해당 정보는 이제 접근 권한 확인 단계가 아닌 파일 로딩 단계에서 읽힙니다.
• "ConditionFirstBoot" 조건은 이제 부팅 단계 자체 동안만 시스템을 처음 부팅할 때 실행되고 부팅이 완료된 후 단위를 호출하면 "false"를 반환합니다.
• systemd는 2024년에 systemd 1 버전에서 지원이 중단된 cgroup v248 리소스 제한 메커니즘에 대한 지원을 중단할 계획입니다. 관리자는 cgroup v2을 사용하는 서비스를 cgroup v1로 미리 마이그레이션하는 것을 고려해 보는 것이 좋습니다. cgroup v2와 v1의 주요 차이점은 CPU 리소스 할당, 메모리 제한 및 I/O에 별도의 계층 구조를 사용하는 대신, 모든 유형의 리소스에 공통된 cgroup 계층 구조를 사용한다는 것입니다. 별도의 계층 구조는 핸들러 간 상호 작용을 구성하는 데 어려움을 초래하고, 서로 다른 계층 구조에서 참조되는 프로세스에 규칙을 적용할 때 추가적인 커널 리소스를 발생시킵니다.
• /usr이 루트와 별도로 마운트되거나 /bin과 /usr/bin, /lib과 /usr/lib가 분리되는 별도의 디렉토리 계층에 대한 지원은 2023년 하반기에 제거될 예정입니다.

출처 : opennet.ru