systemd 시스템 관리자 릴리스 257

257개월 간의 개발 끝에 시스템 관리자 systemd XNUMX이 출시되었습니다. 주요 변경 사항은 새로운 유틸리티 systemd-sbsign 및 systemd-keyutil, 소켓을 통해 활성화될 때 MPTCP 지원, Musl C 라이브러리를 사용한 구축을 위한 초기 지원입니다. systemd-sysupdate를 통해 업데이트 설치를 관리하기 위한 updatectl 유틸리티, 별도의 PID 네임스페이스에서 서비스를 시작하는 기능, "systemd-tmpfiles —purge" 사용 시 실수로 파일이 삭제되는 것을 방지합니다.

새 릴리스의 변경 사항은 다음과 같습니다.

• EFI 보안 부팅 모드에서 사용하기 위한 PE(Portable Executable) 형식의 실행 파일에 디지털 서명을 하는 새로운 유틸리티인 systemd-sbsign이 추가되었습니다. OpenSSL 라이브러리에서 제공하는 엔진과 프로바이더를 사용하여 서명을 생성할 수 있습니다. systemd-sbsign은 UEFI 부트 로더(UEFI 부트 스텁)와 커널 이미지를 단일 파일로 결합한 유니버설 커널 이미지(UKI)를 생성할 때 ukify 유틸리티의 sbsigntool 및 pesign 애플리케이션 대신 사용할 수 있습니다. Linux 그리고 initrd 시스템 환경이 메모리에 로드되었습니다.
• 개인 키 및 X.509 인증서에 대한 다양한 작업을 구현하는 새로운 유틸리티 systemd-keyutil이 추가되었습니다. 예를 들어, systemd-keyutil을 사용하면 개인 키와 인증서를 로드하고 PEM 형식으로 공개 키를 추출하는 기능을 테스트할 수 있습니다.
• 소켓 활성화 메커니즘(네트워크 연결 설정 시 시작 프로세스)의 작동을 보장하는 데 사용되는 ".socket" 유닛에는 MPTCP(멀티패스 TCP) 지원이 구현되어 있습니다. MPTCP는 TCP 프로토콜의 확장으로, 서로 다른 네트워크 인터페이스에 바인딩된 여러 경로를 통해 패킷을 동시에 전송하여 TCP 연결을 구성합니다. IP 주소.
• 표준 Musl C 라이브러리를 사용하여 빌드하는 데 필요한 변경 사항이 포함되어 있습니다.
• 진행률 표시기를 보여주는 다양한 systemd 구성 요소(예: systemd-repart, systemd-sysupdate/updatectl 및 importctl)에서 이제 ANSI 시퀀스를 사용하여 진행률 표시를 애니메이션화할 수 있습니다. 이러한 시퀀스는 현재 다음에서만 지원됩니다. Windows 터미널 (시간이 지남에 따라 유사한 기능이 터미널 에뮬레이터로 이전될 것으로 예상됩니다.) Linux).
• systemd-sysupdate 구성 요소의 기능이 확장되어 파티션, 파일 또는 디렉터리를 교체하기 위한 원자 메커니즘을 사용하여 업데이트를 자동으로 감지, 다운로드 및 설치하는 데 사용됩니다(두 개의 독립적인 파티션/파일/디렉터리가 사용되며 그 중 하나에는 현재 작업이 포함됨). 다른 하나는 다음 업데이트를 설치한 후 섹션/파일/디렉터리가 교체됩니다. 실제로 systemd-sysupdate는 이미 GNOME OS에서 사용되고 있습니다.

  systemd-sysupdate 프로세스 외에도 D-Bus를 사용하여 권한 없는 사용자가 시스템 업데이트를 관리할 수 있도록 하는 동일한 이름의 서비스가 추가되었습니다. 서비스를 관리하기 위해 새로운 updatectl 유틸리티도 포함되어 있습니다. 네트워크를 통한 메타데이터 다운로드를 비활성화하고 로컬 시스템에 이미 다운로드된 버전만 사용하기 위해 systemd-sysupdate에 "--offline" 플래그를 추가했습니다. 모든 명령에 대해 JSON 형식의 출력에 대한 지원이 추가되었습니다.
• 별도의 프로세스 식별자 공간(PID 네임스페이스)에서 PID 1(초기 프로세스)이 있는 프로세스의 시작을 구성할 수 있는 서비스에 대해 새로운 속성 "PrivatePIDs"가 구현되었습니다. 시작된 프로세스에 대해 생성된 환경에서는 해당 프로세스에 대해 생성된 네임스페이스의 프로세스만 표시됩니다.
• udev 규칙에 대소문자를 구분하지 않는 일치에 대한 지원이 추가되었습니다(예: 'ATTR{foo}==i»abcd»'). udev를 사용하면 권한이 없는 로컬 사용자에게 libcamera를 통해 IPMI 카메라 작업에 필요한 /dev/udmabuf 장치에 대한 액세스("uaccess")를 제공할 수 있습니다. udev는 USB 인터페이스를 통해 다양한 하드웨어 암호화폐 지갑을 인식하고 ID_HARDWARE_WALLET 속성을 설정하여 권한이 없는 사용자가 액세스할 수 있도록 "uaccess" 모드를 적용할 수 있도록 해줍니다.
• 새로운 필드 RELEASE_TYPE, EXPERIMENT 및 EXPERIMENT_URL이 /etc/os-release 파일에 추가되었습니다. "RELEASE_TYPE"은 "실험", "개발", "안정" 및 "lts" 값을 사용하여 개발 및 실험 빌드에서 안정 버전을 구분할 수 있습니다. EXPERIMENT 및 EXPERIMENT_URL 매개변수는 실험적 빌드의 본질을 설명하기 위한 것입니다.
• sudo 프로그램을 대체하기 위해 개발된 run0 유틸리티에는 명령 셸 프롬프트의 접두사 문자열을 지정하는 "--shell-prompt-prefix" 옵션이 추가되었습니다. 기본적으로 상승된 세션을 시각적으로 강조하기 위해 이모티콘 “🦸”이 접두어로 표시됩니다.
• systemd-tmpfiles에서 실수로 잘못된 파일을 삭제하는 것을 방지하기 위해 이제 "--purge" 옵션은 "$" 플래그가 명시적으로 설정된 tmpfiles.d/의 설정에만 적용됩니다. "--purge" 작업을 수행하려면 이제 tmpfiles.d/ 디렉터리에서 최소한 하나의 파일을 지정해야 합니다. 'L' 유형의 문자열에 대해 '?' 플래그가 추가되었으며, 이를 지정하면 대상 파일이 존재하는 경우에만 심볼릭 링크가 생성됩니다.
• 서비스 관리자 및 관련 유틸리티에서 프로세스 추적 코드는 PID 대신 PIDFD를 사용하도록 계속 변환됩니다. PIDFD는 특정 프로세스와 연결되어 있으며 변경되지 않는 반면, PID는 해당 PID와 연결된 현재 프로세스가 종료된 후 다른 프로세스와 연결될 수 있습니다.
• 서비스의 경우 이제 "RestartMode" 매개변수에 "debug" 값을 지정할 수 있습니다. 이 경우 실패한 서비스는 디버그 모드가 활성화된 상태로 다시 시작되고(환경 변수 DEBUG_INVOCATION=1이 설정됨) LogLevelMax 값은 다음과 같습니다. 일시적으로 디버그 수준으로 올려졌습니다.
• PID 1 핸들러에는 전체 시스템에 대한 무결성 정책(허용되는 작업 및 구성 요소의 신뢰성을 확인하는 방법)을 정의하는 IPE(무결성 정책 적용) LSM 모듈에 대한 규칙을 로드하는 기능이 있습니다.
• ".timer" 유닛 파일에 "DeferReactivation" 옵션이 추가되었습니다. 이를 통해 마지막 활성화 이후 서비스 실행이 아직 완료되지 않은 경우 다음 타이머 활성화를 건너뛸 수 있습니다.
• 이제 PrivateUsers 유닛 파일 매개변수에서 "identity" 값을 지정하여 사용자 네임스페이스를 생성할 때 사용자 ID 매핑을 활성화할 수 있습니다.
• /tmp/ 및 /var/tmp/ 디렉터리에 대해 별도의 tmpfs 인스턴스를 사용하는 PrivateTmp 단위 파일 매개변수에 "disconnected" 값에 대한 지원이 추가되었습니다.
• 새로운 "private" 및 "strict" 모드에 대한 지원이 ProtectControlGroups 유닛 파일 매개변수에 추가되었습니다. 설정하면 서비스에 대해 새로운 cgroup 네임스페이스가 생성되고 cgroupfs가 마운트됩니다. "strict" 옵션이 설정되면 cgroupfs는 읽기 전용 모드로 마운트됩니다.
• StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory 및 ConfigurationDirectory 매개변수는 ':ro' 플래그를 사용하여 해당 디렉터리에 대한 액세스를 읽기 전용 모드로 제한하는 기능을 제공합니다.
• SMBIOS/DeviceTree의 UUID를 기반으로 시스템 식별자(머신 ID)가 계산되는 "systemd.machine_id" 커널 명령줄 매개변수에 "펌웨어" 값에 대한 지원이 추가되었습니다.
• 최근 커널 릴리스에서 도입된 mseal(), listmount(), statmount() 시스템 호출에 대한 지원이 추가되었습니다. Linux.
• 이제 resolvectl, timedatectl 및 systemd-inhibit 유틸리티는 Polkit을 사용한 대화형 인증을 지원합니다.
• systemctl 유틸리티는 "reenable" 명령에 "--now" 플래그를 사용하는 기능을 추가했습니다.
• JSON 형식으로 출력하기 위해 systemd-mount 유틸리티에 "--json" 옵션을 추가했습니다. 예를 들어 "--list-devices"와 함께 지정하면 장치 목록이 JSON 형식으로 출력됩니다.
• 출력 중 긴 줄 자르기를 비활성화하기 위해 "localectl" 유틸리티에 "-l" 및 "--full" 옵션을 추가했습니다.
• HibernateOnACPower 옵션이 sleep.conf에 추가되었습니다. 이를 통해 장치가 고정 전원에서 연결이 끊어질 때까지 절전 모드로의 전환을 지연할 수 있습니다.
• systemd-sysusers에서는 "u" 줄에 "!" 수정자에 대한 지원이 추가되어 완전히 잠긴 사용자 계정을 만들 수 있습니다(이전에는 잘못된 비밀번호를 설정하여 사용자를 차단했습니다. SSH에서 키 인증 중에 차단이 발생하지 않았습니다.
• Systemd-coredump는 디버깅 기호를 얻기 위해 충돌이 발생한 프로세스의 마운트 지점 공간에 액세스할 수 있는 "EnterNamespace" 옵션을 추가합니다. 실제로 이 옵션은 격리된 컨테이너에서 실행되는 애플리케이션의 핵심 파일 역추적을 구성하는 데 유용할 수 있습니다.
• systemd-logind에는 보안 로그인 대화 상자를 표시하라는 요청과 함께 org.freedesktop.login1.SecureAttentionKey 신호를 사용자 환경 구성 요소에 보내는 Ctrl-Alt-Shift-Esc 조합 처리가 포함됩니다. 지정된 시간에 작업이 완료되도록 자동으로 예약하는 "DesignatedMaintenanceTime" 설정을 구현했습니다. DRM 및 evdev 장치 지원과 유사하게, 권한 없는 사용자가 장치(게임 컨트롤러 및 조이스틱)를 숨기기 위한 액세스를 구성하기 위한 지원이 추가되었습니다.
• systemd-machined에서 이제 권한이 없는 클라이언트 로그인을 지원합니다. 가상 기기 컨테이너도 지원합니다. systemd-machined 기능에 대한 접근은 D-Bus 외에도 Varlink API를 통해 제공됩니다.
• IPv6 주소에 대한 레이블과 접두사를 구성하기 위해 networkd.conf 구성 파일에 새로운 섹션 “[IPv6AddressLabel]”이 추가되었습니다.
• 표준 스트림에서 파일 콘텐츠를 가져오기 위해 'networkctl edit' 명령에 "--stdin" 옵션을 추가했습니다. 'networkctl edit' 및 'networkctl cat' 명령에 네트워크 인터페이스를 지정하여 .netdev 파일을 편집하고 표시하기 위한 지원이 추가되었습니다. 대화형 인증을 비활성화하기 위해 "--no-ask-password" 옵션이 추가되었습니다.
• OpenSSL 공급자에서 직접 로드하는 대신 OpenSSL 공급자를 통해 X.509 인증서를 로드하기 위해 ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart 및 systemd-sbsign 유틸리티에 "--certificate-source" 옵션을 추가했습니다. 파일.
• systemd-boot에는 볼륨 버튼을 사용하여 부팅 메뉴를 위아래로 이동할 수 있는 기능이 추가되어 스마트폰과 같은 장치에서 유용할 수 있습니다. systemd-boot에 대한 ESL(db/dbx/…) 형식의 UEFI 보안 부팅 데이터베이스 설치에 대한 지원이 bootctl 유틸리티에 추가되었습니다.
• 유닛 호출 목록을 표시하는 "--list-invocation" 옵션과 특정 호출과 관련된 로그만 표시하는 "--invocation" 옵션("-I")을 추가했습니다.
• systemd-nspawn은 컨테이너에서 FUSE(사용자 공간의 파일 시스템)의 권한 없는 사용에 대한 지원을 추가합니다. "--bind-user" 옵션을 사용하면 SSH를 통해 액세스하는 데 필요한 사용자의 SSH 키가 컨테이너로 전달됩니다.
• libsystemd에는 JSON 형식을 사용하는 새로운 프로그래밍 인터페이스 "sd-json"과 IPC Varlink를 사용하는 인터페이스 "sd-varlink"가 추가되었습니다.
• 권장되는 기본 커널 버전이 5.4년에 형성된 릴리스 2019로 업그레이드되었습니다. 내년에는 이전 커널 지원을 중단하고 5.4 릴리스를 최소 지원 기본 버전으로 표시할 계획입니다.
• cgroups v1에 대한 지원은 더 이상 사용되지 않으며 기본적으로 비활성화되어 있습니다. 활성화하려면 systemd 설정에서 활성화하는 것 외에도 커널 명령줄에서 SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1을 지정해야 합니다. systemd 258의 다음 릴리스에서는 cgroups v1 관련 코드를 완전히 제거할 계획입니다. Systemd 버전 258에서는 System V 서비스 스크립트에 대한 지원도 제거될 예정입니다.

출처 : opennet.ru