UKI(Unified Kernel Image)를 지원하는 systemd 시스템 관리자 252 출시

252개월 간의 개발 끝에 시스템 관리자 systemd XNUMX가 출시되었습니다. 새 버전의 주요 변경 사항은 커널과 부트로더뿐만 아니라 구성 요소도 확인할 수 있는 현대화된 부팅 프로세스에 대한 지원 통합이었습니다. 디지털 서명을 이용한 기본 시스템 환경의 모습입니다.

제안된 방법은 UEFI(UEFI boot stub)에서 커널을 로딩하기 위한 핸들러, 리눅스 커널 이미지, 메모리에 로딩된 initrd 시스템 환경을 결합한 통합 커널 이미지 UKI(Unified Kernel Image)를 로딩 시 사용하는 것이다. 루트 FS를 마운트하기 전 단계에서 초기 초기화를 위해. UKI 이미지는 PE 형식의 단일 실행 파일로 패키지되어 있으며, 이는 기존 부트로더를 사용하여 로드하거나 UEFI 펌웨어에서 직접 호출할 수 있습니다. UEFI에서 호출하면 커널뿐만 아니라 initrd의 내용에 대한 디지털 서명의 무결성과 신뢰성을 검증할 수 있습니다.

무결성을 모니터링하고 UKI 이미지의 디지털 서명을 생성하는 데 사용되는 TPM PCR(신뢰할 수 있는 플랫폼 모듈 플랫폼 구성 레지스터) 레지스터의 매개변수를 계산하기 위해 새로운 유틸리티 systemd-measure가 포함되어 있습니다. 서명에 사용된 공개 키와 그에 수반되는 PCR 정보는 UKI 부팅 이미지에 직접 삽입될 수 있으며(키와 서명은 PE 파일의 '.pcrsig' 및 '.pcrkey' 필드에 저장됨) 외부에서 추출할 수 있습니다. 또는 내부 유틸리티.

특히, systemd-cryptsetup, systemd-cryptenroll 및 systemd-creds 유틸리티는 이 정보를 사용하도록 조정되었으며, 이를 통해 암호화된 디스크 파티션이 디지털 서명된 커널에 바인딩되도록 할 수 있습니다(이 경우 암호화된 파티션에 대한 액세스). UKI 이미지가 TPM에 있는 매개변수를 기반으로 하는 디지털 서명으로 검증을 통과한 경우에만 제공됩니다.

또한 systemd-pcrphase 유틸리티가 포함되어 있어 TPM 2.0 사양을 지원하는 암호화 프로세서의 메모리에 있는 매개변수에 대한 다양한 부팅 단계의 바인딩을 제어할 수 있습니다. initrd 이미지를 삭제하고 이후 단계 다운로드 시 해당 이미지에 대한 액세스를 차단합니다.

기타 변경 사항:

• 설정에서 다른 로케일이 지정되지 않는 한 기본 로케일이 C.UTF-8인지 확인합니다.
• 이제 처음 부팅하는 동안 전체 서비스 사전 설정 작업("systemctl Preset")을 수행할 수 있습니다. 부팅 시 사전 설정을 활성화하려면 "-Dfirst-boot-full-preset" 옵션을 사용하여 빌드해야 하지만 향후 릴리스에서는 기본적으로 활성화될 예정입니다.
• 사용자 관리 장치에는 CPU 리소스 컨트롤러가 포함되어 있어 시스템을 여러 부분(app.slice, background.slice, session.slice)으로 분할하는 데 사용되는 모든 슬라이스 단위에 CPUWeight 설정이 적용되어 리소스를 격리할 수 있습니다. CPU 리소스를 놓고 경쟁하는 다양한 사용자 서비스. CPUWeight는 적절한 리소스 프로비저닝 모드를 활성화하기 위해 "유휴" 값도 지원합니다.
• 임시("임시") 장치 및 systemd-repart 유틸리티에서는 /etc/systemd/system/name.d/ 디렉터리에 드롭인 파일을 생성하여 설정을 재정의할 수 있습니다.
• 시스템 이미지의 경우 지원 종료 플래그가 설정되어 /etc/os-release 파일의 새 매개변수 “SUPPORT_END=” 값을 기반으로 이 사실을 결정합니다.
• 시스템에 특정 자격 증명이 없는 경우 장치를 무시하거나 충돌시키는 데 사용할 수 있는 "ConditionCredential=" 및 "AssertCredential=" 설정이 추가되었습니다.
• 기본 SMACK 보안 수준 및 장치 활성화 시간 제한을 정의하기 위해 system.conf 및 user.conf에 "DefaultSmackProcessLabel=" 및 "DefaultDeviceTimeoutSec=" 설정을 추가했습니다.
• "ConditionFirmware=" 및 "AssertFirmware=" 설정에 개별 SMBIOS 필드를 지정하는 기능이 추가되었습니다. 예를 들어 /sys/class/dmi/id/board_name 필드에 "Custom" 값이 포함된 경우에만 장치를 시작합니다. Board”인 경우 “ConditionFirmware=smbios” -field(board_name = "Custom Board")"를 지정할 수 있습니다.
• 초기화 프로세스(PID 1) 중에 qemu_fwcfg를 통한 정의 외에도 SMBIOS 필드(유형 11, "OEM 공급업체 문자열")에서 자격 증명을 가져오는 기능이 추가되었습니다. cloud -init 및ignition과 같은 타사 도구가 필요합니다.
• 종료 중에 가상 파일 시스템(proc, sys) 마운트 해제 로직이 변경되었으며 파일 시스템 마운트 해제를 차단하는 프로세스에 대한 정보가 로그에 저장됩니다.
• 시스템 호출 필터(SystemCallFilter)는 기본적으로 riscv_flush_icache 시스템 호출에 대한 액세스를 허용합니다.
• sd-boot 부트로더는 64비트 Linux 커널이 32비트 UEFI 펌웨어에서 실행되는 혼합 모드에서 부팅하는 기능을 추가합니다. ESP(EFI 시스템 파티션)에 있는 파일에서 SecureBoot 키를 자동으로 적용하는 실험적 기능이 추가되었습니다.
• bootctl 유틸리티에 새로운 옵션이 추가되었습니다. 지원되는 모든 EFI 아키텍처에 대해 바이너리를 설치하기 위한 "-all-architectures", 디렉터리 또는 디스크 이미지 작업을 위한 "-root=" 및 "-image=", "-install-source ="는 설치 소스를 정의하고, "-efi-boot-option-description="은 부팅 항목 이름을 제어합니다.
• 자동으로 마운트된 디렉터리 목록을 표시하는 'list-automounts' 명령과 지정된 디스크 이미지와 관련된 명령을 실행하는 "--image=" 옵션이 systemctl 유틸리티에 추가되었습니다. 'show' 및 'status' 명령에 "--state=" 및 "--type=" 옵션을 추가했습니다.
• systemd-networkd에는 TCP 혼잡 제어 알고리즘을 선택하는 "TCPCongestionControlAlgorithm=" 옵션, TUN/TAP 인터페이스의 파일 설명자를 저장하는 "KeepFileDescriptor=", NetLabels를 설정하는 "NetLabel=", DHCPv6를 통해 구성 속도를 높이는 "RapidCommit=" 옵션이 추가되었습니다. (RFC 3315). "RouteTable=" 매개변수를 사용하면 라우팅 테이블의 이름을 지정할 수 있습니다.
• systemd-nspawn을 사용하면 "--bind=" 및 "--overlay=" 옵션에서 상대 파일 경로를 사용할 수 있습니다. 컨테이너의 루트 사용자 ID를 호스트 측에 마운트된 디렉터리의 소유자에 바인딩하기 위해 '--bind=" 옵션에 'rootidmap' 매개변수에 대한 지원이 추가되었습니다.
• systemd-resolved는 기본적으로 OpenSSL을 암호화 백엔드로 사용합니다(gnutls 지원은 옵션으로 유지됩니다). 지원되지 않는 DNSSEC 알고리즘은 이제 오류(SERVFAIL)를 반환하는 대신 안전하지 않은 것으로 처리됩니다.
• systemd-sysusers, systemd-tmpfiles 및 systemd-sysctl은 자격 증명 저장 메커니즘을 통해 설정을 전송하는 기능을 구현합니다.
• 문자열을 버전 번호와 비교하기 위해 systemd-analyze에 'compare-versions' 명령을 추가했습니다('rpmdev-vercmp' 및 'dpkg --compare-versions'와 유사). 'systemd-analyze dump' 명령에 마스크별로 장치를 필터링하는 기능이 추가되었습니다.
• 다단계 절전 모드(일시 중지 후 최대 절전 모드)를 선택하면 이제 남은 배터리 수명 예측에 따라 대기 모드에서 소요되는 시간이 선택됩니다. 배터리 충전량이 5% 미만으로 남아 있으면 절전 모드로 즉시 전환됩니다.
• 새로운 출력 모드 "-o short-delta"가 'journalctl'에 추가되어 로그에 있는 여러 메시지 간의 시간 차이를 표시합니다.
• systemd-repart는 디지털 서명을 포함하여 Squashfs 파일 시스템과 dm-verity용 파티션을 사용하여 파티션 생성에 대한 지원을 추가합니다.
• 지정된 시간 초과 후 비활성 세션을 종료하기 위해 systemd-logind에 "StopIdleSessionSec=" 설정을 추가했습니다.
• Systemd-cryptenroll은 사용자에게 메시지를 표시하는 대신 파일에서 암호 해독 키를 추출하기 위해 "--unlock-key-file=" 옵션을 추가했습니다.
• 이제 udev가 없는 환경에서 systemd-growfs 유틸리티를 실행할 수 있습니다.
• systemd-backlight는 여러 그래픽 카드가 있는 시스템에 대한 지원을 개선했습니다.
• 문서에 제공된 코드 예제에 대한 라이센스가 CC0에서 MIT-0으로 변경되었습니다.

호환성을 손상시키는 변경 사항:

• ConditionKernelVersion 지시문을 사용하여 커널 버전 번호를 확인할 때 이제 '=' 및 '!=' 연산자에서 간단한 문자열 비교가 사용되며, 비교 연산자가 전혀 지정되지 않은 경우 다음을 사용하여 glob-mask 일치를 사용할 수 있습니다. 문자 '*', '?' 그리고 '[', ']'. stverscmp() 스타일 버전을 비교하려면 '<', '>', '<=' 및 '>=' 연산자를 사용하십시오.
• 유닛 파일에서 액세스를 확인하는 데 사용되는 SELinux 태그는 이제 액세스 확인 시점이 아닌 파일이 로드될 때 읽혀집니다.
• 이제 "ConditionFirstBoot" 조건은 시스템의 첫 번째 부팅 시 부팅 단계에서만 직접 트리거되고 부팅이 완료된 후 장치를 호출하면 "false"를 반환합니다.
• 2024년에 systemd는 systemd 릴리스 1에서 더 이상 사용되지 않는 cgroup v248 리소스 제한 메커니즘 지원을 중단할 계획입니다. 관리자는 cgroup v2 기반 서비스를 cgroup v1로 마이그레이션하기 전에 주의하는 것이 좋습니다. cgroups v2와 v1의 주요 차이점은 CPU 리소스 할당, 메모리 소비 조절 및 I/O를 위해 별도의 계층 구조 대신 모든 유형의 리소스에 공통 cgroups 계층 구조를 사용한다는 것입니다. 별도의 계층 구조는 처리기 간의 상호 작용을 구성하는 데 어려움을 초래하고 다른 계층에서 참조되는 프로세스에 대한 규칙을 적용할 때 추가 커널 리소스 비용을 발생시킵니다.
• 2023년 하반기에는 /usr이 루트와 별도로 마운트되거나 /bin과 /usr/bin, /lib와 /usr/lib가 분리되는 분할 디렉터리 계층 구조에 대한 지원을 종료할 계획입니다.

출처 : opennet.ru