ProHoster > Blog > интернет жаңылыктары > systemd система менеджери релиз 250

systemd система менеджери релиз 250

Беш айлык иштеп чыгуудан кийин, systemd 250 системасынын менеджеринин релизи көрсөтүлдү.Жаңы релиз ишеним грамоталарын шифрленген түрдө сактоо мүмкүнчүлүгүн киргизди, санариптик кол тамганы колдонуу менен автоматтык түрдө аныкталган GPT бөлүмдөрүн текшерүүнү ишке ашырды, кечигүүлөрдүн себептери жөнүндө жакшыртылган маалыматты киргизди. баштоо кызматтары жана айрым файл тутумдарына жана тармактык интерфейстерге кызматтын жеткиликтүүлүгүн чектөө үчүн кошумча опциялар, dm-бүтүндүк модулун колдонуу менен бөлүмдүн бүтүндүгүнө мониторинг жүргүзүү үчүн колдоо көрсөтүлөт жана sd-жүктөөнүн авто-жаңыртылышына колдоо кошулду.

Негизги өзгөрүүлөр:

  • SSL ачкычтары жана кирүү сырсөздөрү сыяктуу сезимтал материалдарды коопсуз сактоо үчүн пайдалуу болушу мүмкүн болгон шифрленген жана аныктыгы текшерилген эсептик дайындарга колдоо кошулду. Эсептик маалыматтарды чечмелөө зарыл болгондо гана жана жергиликтүү орнотууга же жабдууларга байланыштуу жүргүзүлөт. Маалыматтар симметриялуу шифрлөө алгоритмдерин колдонуу менен автоматтык түрдө шифрленет, алардын ачкычы файлдык тутумда, TPM2 чипинде же айкалыштырылган схеманын жардамы менен жайгаштырылышы мүмкүн. Кызмат башталганда, эсептик маалыматтар автоматтык түрдө чечилет жана кызматка кадимки формада жеткиликтүү болот. Шифрленген эсептик дайындар менен иштөө үчүн 'systemd-creds' утилитасы кошулуп, кызматтар үчүн LoadCredentialEncrypted жана SetCredentialEncrypted жөндөөлөрү сунушталган.
  • sd-stub, EFI микропрограммасына Linux ядросун жүктөөгө мүмкүндүк берген EFI аткарылуучу файлы эми LINUX_EFI_INITRD_MEDIA_GUID EFI протоколун колдонуу менен ядрону жүктөөнү колдойт. Ошондой эле sd-stubга cpio архивине эсептик маалыматтарды жана sysext файлдарын топтоо жана бул архивди initrd менен бирге ядрого өткөрүп берүү мүмкүнчүлүгү кошулган (кошумча файлдар /.extra/ каталогуна жайгаштырылат). Бул функция сизге системалык тексттер жана шифрленген аутентификация маалыматтары менен толукталган текшерилүүчү өзгөрүлгүс initrd чөйрөсүн колдонууга мүмкүндүк берет.
  • Discoverable Partitions спецификациясы GPT (GUID Partition Tables) жардамы менен системанын бөлүктөрүн аныктоо, монтаждоо жана активдештирүү үчүн куралдар менен камсыз кылынган кыйла кеңейтилген. Мурунку чыгарылыштарга салыштырмалуу, спецификация азыр көпчүлүк архитектуралар үчүн, анын ичинде UEFI колдонбогон платформалар үчүн тамыр бөлүмүн жана /usr бөлүмүн колдойт.

    Ачыла турган бөлүмдөр ошондой эле бүтүндүгү PKCS#7 санариптик кол тамгалары аркылуу dm-verity модулу тарабынан текшерилген бөлүмдөрдүн колдоосун кошот, бул толугу менен аутентификацияланган диск сүрөттөрүн түзүүнү жеңилдетет. Текшерүү колдоосу дисктин сүрөттөрүн башкарган ар кандай утилиталарга интеграцияланган, анын ичинде systemd-nspawn, systemd-sysext, systemd-dissect, RootImage кызматтары, systemd-tmpfiles жана systemd-sysusers.

  • Иштетүү же токтотуу үчүн көп убакыт талап кылынган бирдиктер үчүн прогресстин жандуу тилкесин көрсөтүүдөн тышкары, учурда кызматта так эмне болуп жатканын жана система менеджери кайсы кызмат экенин түшүнүүгө мүмкүндүк берген статус маалыматын көрсөтүүгө болот. учурда аяктоо күтүүдө.
  • /etc/systemd/system.conf жана /etc/systemd/user.conf үчүн DefaultOOMScoreAdjust параметри кошулду, бул система жана колдонуучулар үчүн системалык башталган процесстерге тиешелүү аз эстутум үчүн OOM өлтүргүч босогосун тууралоого мүмкүндүк берет. Демейки боюнча, системалык кызматтардын салмагы колдонуучу кызматтарынан жогору, б.а. Эстутум жетишсиз болгондо, колдонуучунун кызматтарын токтотуу ыктымалдыгы системалык кызматтарга караганда жогору болот.
  • Кызматтардын файл тутумдарынын айрым түрлөрүнө кирүү мүмкүнчүлүгүн чектөөгө мүмкүндүк берген RestrictFileSystems жөндөөлөрү кошулду. Жеткиликтүү файл системаларынын түрлөрүн көрүү үчүн, сиз "система-анализ файл системалары" буйругун колдонсоңуз болот. Аналогия боюнча, белгилүү бир тармак интерфейстерине кирүү мүмкүнчүлүгүн чектөөгө мүмкүндүк берген RestrictNetworkInterfaces опциясы ишке ашырылды. Ишке ашыруу процесстердин тобунун ядро ​​объекттерине кирүү мүмкүнчүлүгүн чектеген BPF LSM модулуна негизделген.
  • Жаңы /etc/integritytab конфигурация файлы жана systemd-integritysetup утилитасы кошулду, ал dm-integrity модулун сектор деңгээлинде берилиштердин бүтүндүгүн көзөмөлдөө үчүн конфигурациялайт, мисалы, шифрленген маалыматтардын өзгөрбөстүгүн кепилдөө үчүн (Authenticated Encryption, маалымат блогунун бар экенине кепилдик берет) айланма жол менен өзгөртүлгөн эмес). /etc/integritytab файлынын форматы /etc/crypttab жана /etc/veritytab файлдарына окшош, бирок dm-крипт жана dm-verity ордуна dm-integrity колдонулат.
  • Жаңы бирдик файлы systemd-boot-update.service кошулду, иштетилгенде жана sd-жүктөөчү жүктөгүч орнотулганда, systemd жүктөгүчтүн кодун ар дайым жаңыртып туруу менен SD-жүктөөчү жүктөгүчтүн версиясын автоматтык түрдө жаңылайт. sd-жүктөөнүн өзү азыр демейки боюнча SBAT (UEFI Secure Boot Advanced Targeting) механизминин колдоосу менен курулган, ал UEFI Secure Boot үчүн сертификатты жокко чыгаруу көйгөйлөрүн чечет. Мындан тышкары, sd-boot Windows менен жүктөө бөлүмдөрүнүн аттарын туура түзүү жана Windows версиясын көрсөтүү үчүн Microsoft Windows жүктөө орнотууларын талдоо мүмкүнчүлүгүн берет.

    sd-boot ошондой эле куруу учурунда түс схемасын аныктоо мүмкүнчүлүгүн берет. Жүктөө процессинде "r" баскычын басуу менен экрандын чечилишин өзгөртүүгө колдоо кошулду. Микропрограмманын конфигурациясынын интерфейсине өтүү үчүн "f" ысык баскычы кошулду. Акыркы жүктөөдө тандалган меню пунктуна туура келген системаны автоматтык түрдө жүктөө режими кошулду. ESP (EFI Системалык Бөлүмү) бөлүмүндөгү /EFI/systemd/drivers/ каталогунда жайгашкан EFI драйверлерин автоматтык түрдө жүктөө мүмкүнчүлүгү кошулду.

  • Жаңы бирдик файлы factory-reset.target камтылган, ал systemd-logindде кайра жүктөө, өчүрүү, токтотуу жана күтүү режимине окшош жол менен иштетилет жана заводдун баштапкы абалына кайтаруу үчүн иштеткичтерди түзүү үчүн колдонулат.
  • Система менен чечилген процесс эми 127.0.0.54 ге кошумча 127.0.0.53 боюнча кошумча угуу розеткасын түзөт. 127.0.0.54 дарегине келген суроо-талаптар ар дайым жогорудагы DNS серверине багытталат жана жергиликтүү иштетилбейт.
  • Libgcryptдин ордуна OpenSSL китепканасы менен systemd-importd жана systemd-чечилгенди куруу мүмкүнчүлүгү берилген.
  • Loongson процессорлорунда колдонулган LoongArch архитектурасына баштапкы колдоо кошулду.
  • systemd-gpt-auto-generator LUKS2 подсистемасы тарабынан шифрленген система тарабынан аныкталган алмашуу бөлүктөрүн автоматтык түрдө конфигурациялоо мүмкүнчүлүгүн камсыз кылат.
  • systemd-nspawn, systemd-dissect жана ушуга окшош утилиталарда колдонулган GPT сүрөт талдоо коду башка архитектуралар үчүн сүрөттөрдү чечмелөө мүмкүнчүлүгүн ишке ашырат, бул systemd-nspawn башка архитектуралардын эмуляторлорунда сүрөттөрдү иштетүү үчүн колдонууга мүмкүндүк берет.
  • Дисктеги сүрөттөрдү текшерип жатканда, systemd-dissect азыр бөлүмдүн максаты жөнүндө маалыматты көрсөтөт, мисалы, UEFI аркылуу жүктөө же контейнерде иштөөгө ылайыктуу.
  • "SYSEXT_SCOPE" талаасы system-extension.d/ файлдарына кошулду, бул системанын сүрөтүнүн көлөмүн көрсөтүүгө мүмкүндүк берет - "initrd", "система" же "көчмө".
  • Os-релиз файлына "PORTABLE_PREFIXES" талаасы кошулду, аны портативдик сүрөттөрдө колдоого алынган файл префикстерин аныктоо үчүн колдонсо болот.
  • systemd-logind жаңы жөндөөлөрдү киргизет HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress жана HandleHibernateKeyLongPress, алар айрым баскычтар 5 секунддан ашык басып турганда эмне болорун аныктоо үчүн колдонулушу мүмкүн (мисалы, токтоо баскычын басып, тез арада күтүү режимине өтүү үчүн конфигурацияланууга болот. , жана басып турганда, ал уктап калат).
  • Бирдиктер үчүн StartupAllowedCPUs жана StartupAllowedMemoryNodes орнотуулары ишке ашырылган, алар Startup префикси жок окшош жөндөөлөрдөн айырмаланып, алар жүктөө жана өчүрүү стадиясында гана колдонулат, бул жүктөө учурунда башка ресурс чектөөлөрүн коюуга мүмкүндүк берет.
  • Кошулган [Шарт|Assert][Memory|CPU|IO]Эгер PSI механизми тутумдагы эстутумга, процессорго жана киргизүү/чыгарууга оор жүктү аныктаса, блокту активдештирүү өткөрүп жиберүүгө же ишке ашпай калууга мүмкүндүк берүүчү басым текшерүүлөрү.
  • Демейки максималдуу инод чеги /dev бөлүмү үчүн 64ктан 1Мге чейин, ал эми /tmp бөлүмү үчүн 400kдан 1Mге чейин жогорулатылган.
  • Кызматтар үчүн ExecSearchPath жөндөөлөрү сунушталды, ал ExecStart сыяктуу жөндөөлөр аркылуу ишке ашырылуучу аткарылуучу файлдарды издөө жолун өзгөртүүгө мүмкүндүк берет.
  • RuntimeRandomizedExtraSec жөндөөлөрү кошулду, ал RuntimeMaxSec күтүү убактысына туш келди четтөөлөрдү киргизүүгө мүмкүндүк берет, бул бирдиктин аткарылуу убактысын чектейт.
  • RuntimeDirectory, StateDirectory, CacheDirectory жана LogsDirectory орнотууларынын синтаксиси кеңейтилди, мында кош чекит менен бөлүнгөн кошумча маанини көрсөтүү менен, сиз эми бир нече жол боюнча кирүүнү уюштуруу үчүн берилген каталогго символдук шилтеме түзүүнү уюштура аласыз.
  • Кызматтар үчүн TTYRows жана TTYColumns жөндөөлөрү TTY түзмөгүндөгү саптардын жана мамычалардын санын коюу үчүн сунушталат.
  • Кызматтын соңун аныктоо логикасын өзгөртүүгө мүмкүндүк берген ExitType жөндөөсү кошулду. Демейки боюнча, systemd негизги процесстин өлүшүн гана көзөмөлдөйт, бирок ExitType=cgroup орнотулса, система менеджери cgroupтогу акыркы процесстин аягына чыгышын күтөт.
  • systemd-cryptsetup'тун TPM2/FIDO2/PKCS11 колдоосун ишке ашыруусу азыр ошондой эле шифрленген бөлүмдүн кулпусун ачуу үчүн кадимки cryptsetup буйругун колдонууга мүмкүндүк берүүчү крипт орнотуу плагини катары курулган.
  • Systemd-cryptsetup/systemd-cryptsetup ичиндеги TPM2 иштеткичи ECC эмес чиптер менен шайкештикти жакшыртуу үчүн ECC ачкычтарына кошумча RSA негизги ачкычтарын колдоону кошот.
  • Токенди күтүү опциясы /etc/crypttab файлына кошулду, ал сизге PKCS#11/FIDO2 энбелгиси туташуусун күтүүгө максималдуу убакытты аныктоого мүмкүндүк берет, андан кийин сизден сырсөздү же калыбына келтирүүчү ачкычты киргизүү сунушталат.
  • systemd-timesyncd SaveIntervalSec жөндөөсүн ишке ашырат, бул системанын учурдагы убактысын дискке мезгил-мезгили менен үнөмдөөгө мүмкүндүк берет, мисалы, RTC жок системаларда монотондуу саатты ишке ашыруу.
  • Systemd-analyze утилитасына опциялар кошулду: берилген сүрөттүн же түпкү каталогдун ичиндеги бирдик файлдарын текшерүү үчүн "--image" жана "--root", ката болгондо көз каранды бирдиктерди эсепке алуу үчүн "--recursive-errors" аныкталган, дискке сакталган өзүнчө бирдик файлдарын текшерүү үчүн “--оффлайн”, JSON форматында чыгаруу үчүн “-json”, маанилүү эмес билдирүүлөрдү өчүрүү үчүн “-тынч”, көчмө профилге байлоо үчүн “-профиль”. Ошондой эле ELF форматындагы негизги файлдарды талдоо үчүн inspect-elf буйругу жана бул аталыш файлдын аталышына дал келгенине карабастан, берилген бирдик аты менен бирдик файлдарын текшерүү мүмкүнчүлүгү кошулган.
  • systemd-networkd Controller Area Network (CAN) автобусун колдоону кеңейтти. CAN режимдерин башкаруу үчүн жөндөөлөр кошулду: Loopback, OneShot, PresumeAck жана ClassicDataLengthCode. TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 жана DataPhaseBufferSegmentXNUMX жана DataSyncJump файлдарын синхрондоштуруу бөлүмүндө [WC]тин синхрондоштуруу бөлүмүнө кошулду. CAN интерфейси.
  • Systemd-networkd DHCPv4 кардары үчүн Энбелги опциясын кошту, ал сизге IPv4 даректерин конфигурациялоодо колдонулган дарек энбелгисин конфигурациялоого мүмкүндүк берет.
  • "ethtool" үчүн systemd-udevd буфер өлчөмүн аппараттык камсыздоо тарабынан колдоого алынган максималдуу мааниге койгон атайын "макс" баалуулуктарды колдоону ишке ашырат.
  • Systemd-udevd үчүн .link файлдарында сиз азыр тармак адаптерлерин бириктирүү жана аппараттык камсыздоону иштетүүчүлөрдү (жүктөө) бириктирүү үчүн ар кандай параметрлерди конфигурациялай аласыз.
  • systemd-networkd демейки боюнча жаңы .тармак файлдарын сунуштайт: 80-container-vb.network "--network-bridge" же "--тармак-зонасы" опциялары менен systemd-nspawn иштеткенде түзүлгөн тармак көпүрөлөрүн аныктоо үчүн; 80-6rd-tunnel.network 6RD опциясы менен DHCP жообун алганда автоматтык түрдө түзүлүүчү туннелдерди аныктоо үчүн.
  • Systemd-networkd жана systemd-udevd InfiniBand интерфейстери аркылуу IP багыттоосун кошту, алар үчүн systemd.netdev файлдарына “[IPoIB]” бөлүмү кошулду жана “ipoib” маанисин иштетүү Kindде ишке ашырылды. орнотуу.
  • systemd-networkd [WireGuard] жана [WireGuardPeer] бөлүмдөрүндөгү RouteTable жана RouteMetric параметрлери аркылуу конфигурациялануучу AllowedIPs параметринде көрсөтүлгөн даректер үчүн автоматтык маршрут конфигурациясын камсыз кылат.
  • systemd-networkd батадв жана көпүрө интерфейстери үчүн өзгөрбөгөн MAC даректерин автоматтык түрдө түзүүнү камсыз кылат. Бул жүрүм-турумду өчүрүү үчүн, .netdev файлдарында MACAaddress=none белгилесеңиз болот.
  • WoL "SecureOn" режиминде иштеп жатканда сырсөздү аныктоо үчүн "[Link]" бөлүмүндөгү .link файлдарына WakeOnLanPassword жөндөөлөрү кошулду.
  • CAKE (Жалпы Колдонмолорду башкаруу механизми) тармагынын EntQuuehanced параметрлерин аныктоо үчүн .network файлдарынын “[CAKE]” бөлүмүнө AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO жана UseRawPacketSize жөндөөлөрү кошулду. .
  • .тармак файлдарынын "[Network]" бөлүмүнө IgnoreCarrierLoss жөндөөлөрү кошулду, бул оператордун сигналынын жоголушуна реакция кылганга чейин канча убакыт күтүүнү аныктоого мүмкүндүк берет.
  • Systemd-nspawn, homectl, machinectl жана systemd-run "--setenv" параметринин синтаксисин кеңейтти - эгер өзгөрмөнүн аты гана көрсөтүлсө ("="сиз), маани тиешелүү чөйрө өзгөрмөсүнөн алынат (үчүн мисалы, "--setenv=FOO" көрсөтүүдө маани $FOO чөйрө өзгөрмөсүнөн алынат жана контейнерде коюлган ошол эле аталыштагы чөйрө өзгөрмөсүндө колдонулат).
  • systemd-nspawn контейнерди түзүүдө синхрондоштуруу()/fsync()/fdatasync() тутумунун чалууларын өчүрүү үчүн "--suppress-sync" опциясын кошту (тездик приоритеттүү болгондо пайдалуу жана иштебей калган учурда куруу артефакттарын сактоо. маанилүү, анткени алар каалаган убакта кайра түзүлүшү мүмкүн).
  • Жаңы hwdb маалымат базасы кошулду, ал сигнал анализаторлорунун ар кандай түрлөрүн (мультиметрлер, протоколдук анализаторлор, осциллографтар ж.б.) камтыйт. Hwdb ичиндеги камералар жөнүндө маалымат камеранын түрү (кадимки же инфракызыл) жана объективдин жайгашуусу (алдынкы же арткы) жөнүндө маалымат камтылган талаа менен кеңейтилген.
  • Xen'де колдонулган нетфронт түзмөктөрү үчүн өзгөрбөгөн тармак интерфейсинин аталыштарын иштетүү иштетилген.
  • libdw/libelf китепканаларына негизделген systemd-coredump утилитасы тарабынан негизги файлдарды талдоо азыр кум чөйрөсүндө обочолонгон өзүнчө процессте аткарылат.
  • systemd-importd $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC чөйрө өзгөрмөлөрүнүн колдоосун кошту, анын жардамы менен Btrfs бөлүктөрүнүн жаралышын өчүрө аласыз, ошондой эле квоталарды жана диск синхрондоштурууну конфигурациялай аласыз.
  • Systemd-journaldда, жазууга көчүрүү режимин колдогон файл тутумдарында, COW режими архивделген журналдар үчүн кайра иштетилип, аларды Btrfs аркылуу кысууга мүмкүндүк берет.
  • systemd-journald билдирүүнү журналга жайгаштыруудан мурда аткарылуучу бир билдирүүдөгү окшош талааларды дедупликациялоону ишке ашырат.
  • Пландаштырылган өчүрүүнү көрсөтүү үчүн өчүрүү буйругуна "--show" опциясы кошулду.

Source: opennet.ru

Комментарий кошуу