ProHoster > Blog > интернет жаңылыктары > systemd система менеджери релиз 248

systemd система менеджери релиз 248

Төрт ай иштеп чыккандан кийин, система менеджери systemd 248 релиз сунушталат.Жаңы релиз тутум каталогдорун кеңейтүү үчүн сүрөттөрдү, /etc/veritytab конфигурация файлын, systemd-cryptenroll утилитасын, TPM2 чиптерин жана FIDO2ди колдонуу менен LUKS2 кулпусун ачууну камсыз кылат. токендер, обочолонгон IPC идентификатор мейкиндигинде иштеген бирдиктер, B.A.T.M.A.N протоколу тор тармактары үчүн, systemd-nspawn үчүн nftables сервери. Systemd-oomd турукташтырылды.

Негизги өзгөрүүлөр:

  • /usr/ жана /opt/ каталогдорунун иерархиясын кеңейтүү жана көрсөтүлгөн каталогдор окуу үчүн гана орнотулган болсо дагы, иштөө убагында кошумча файлдарды кошуу үчүн колдонулушу мүмкүн болгон тутум кеңейтүү сүрөттөрүнүн концепциясы ишке ашырылды. Системанын кеңейтилген сүрөтү орнотулганда, анын мазмуну OverlayFS аркылуу /usr/ жана /opt/ иерархиясында капталат.

    Системанын кеңейтүүлөрүн туташтыруу, ажыратуу, көрүү жана жаңыртуу үчүн жаңы утилита, systemd-sysext сунушталды. Жүктөө учурунда орнотулган сүрөттөрдү автоматтык түрдө туташтыруу үчүн systemd-sysext.service кызматы кошулду. Колдоого алынган тутум кеңейтүүлөрүнүн деңгээлин аныктоо үчүн os-релиз файлына "SYSEXT_LEVEL=" параметри кошулду.

  • Бирдиктер үчүн ExtensionImages жөндөөлөрү ишке ашырылды, ал системанын кеңейтилген сүрөттөрүн жеке обочолонгон кызматтардын FS аттар мейкиндиги иерархиясына байланыштыруу үчүн колдонулушу мүмкүн.
  • /etc/veritytab конфигурация файлы dm-verity модулу аркылуу блок деңгээлинде маалыматтарды текшерүүнү конфигурациялоо үчүн кошулду. Файлдын форматы /etc/crypttab форматына окшош - “section_name device_for_data device_for_hashes check_hash_root параметрлери”. Түпкү түзмөк үчүн dm-verity жүрүм-турумун конфигурациялоо үчүн systemd.verity.root_options ядросунун буйрук сабы опциясы кошулду.
  • systemd-cryptsetup PKCS#11 токенинин URI жана шифрленген ачкычын JSON форматындагы LUKS2 метаберилиштер аталышынан чыгарып алуу мүмкүнчүлүгүн кошуп, шифрленген түзүлүштү ачуу тууралуу маалыматты тышкы файлдарды тартпастан түзмөктүн өзүнө интеграциялоого мүмкүндүк берет.
  • systemd-cryptsetup мурда колдоого алынган PKCS#2 энбелгилеринен тышкары, TPM2 чиптерин жана FIDO2 токендерин колдонуу менен LUKS11 шифрленген бөлүктөрүнүн кулпусун ачуу үчүн колдоо көрсөтөт. libfido2 жүктөө dlopen(), б.а. жеткиликтүүлүгү катуу зымдуу көз карандылык катары эмес, тез арада текшерилет.
  • Шифрлөө жана чечмелөө менен байланышкан киргизүү/чыгарууну синхрондуу иштетүүнү иштетүү үчүн systemd-cryptsetup үчүн /etc/crypttab үчүн "жазбоо-жумуш кезеги" жана "окуу-иш кезеги" жаңы опциялары кошулду.
  • Systemd-repart утилитасы TPM2 чиптерин колдонуу менен шифрленген бөлүмдөрдү активдештирүү мүмкүнчүлүгүн кошту, мисалы, биринчи жүктөөдө шифрленген /var бөлүмүн түзүү.
  • Systemd-cryptenroll утилитасы TPM2, FIDO2 жана PKCS#11 токендерин LUKS бөлүмдөрүнө туташтыруу үчүн, ошондой эле токендерди бошотуу жана көрүү, запастык ачкычтарды байлоо жана кирүү үчүн сырсөз коюу үчүн кошулган.
  • Жеке идентификаторлору жана билдирүү кезеги менен обочолонгон IPC мейкиндигинде процесстерди иштетүү үчүн бирдик файлын конфигурациялоого мүмкүндүк берген PrivateIPC параметри кошулду. Түзүлгөн IPC идентификатор мейкиндигине бирдикти туташтыруу үчүн IPCNamespacePath опциясы сунушталат.
  • Noexec желегин файл тутумунун белгилүү бөлүктөрүнө колдонууга мүмкүндүк берүү үчүн ExecPaths жана NoExecPaths орнотуулары кошулду.
  • systemd-networkd B.A.T.M.A.N тор протоколуна колдоо кошот. («Mobile Adhoc Networking үчүн жакшыраак мамиле»), бул борбордон ажыратылган тармактарды түзүүгө мүмкүндүк берет, алардын ар бир түйүнү кошуна түйүндөр аркылуу туташкан. Конфигурациялоо үчүн .netdev ичиндеги [BatmanAdvanced] бөлүмү, .тармак файлдарындагы BatmanAdvanced параметри жана жаңы түзмөк түрү “batadv” сунушталат.
  • Systemd-oomd системасында аз эс үчүн эрте жооп механизмин ишке ашыруу турукташтырылган. Биримге таасир этүүдөн мурун ресурстун чыгарылышын күтүү убактысын конфигурациялоо үчүн DefaultMemoryPressureDurationSec опциясы кошулду. Systemd-oomd PSI (Pressure Stall Information) өзөктүк подсистемасын колдонот жана ресурстардын жетишсиздигинен улам кечигүүлөрдүн башталышын аныктоого жана система али критикалык абалда боло элек этапта ресурсту көп талап кылган процесстерди тандап токтотууга мүмкүндүк берет. кэшти интенсивдүү түрдө кыркып, маалыматтарды алмашуу бөлүгүнө алмаштырууну баштаңыз.
  • Tmpfs аркылуу оперативдүү эс тутумда жайгашкан убактылуу сактагычка тамыр бөлүмүн орнотууга мүмкүндүк берген "root=tmpfs" өзөктүк буйрук сабынын параметри кошулду.
  • Ачкыч файлын белгилеген /etc/crypttab параметри эми AF_UNIX жана SOCK_STREAM розетка түрлөрүн көрсөтө алат. Мында ачкыч розеткага туташтырылганда берилиши керек, ал, мисалы, ачкычтарды динамикалык чыгаруучу кызматтарды түзүү үчүн колдонулушу мүмкүн.
  • Системанын башкаргычы жана systemd-hostnamed тарабынан колдонуу үчүн резервдик хост атын эми эки жол менен коюуга болот: os-релиздеги DEFAULT_HOSTNAME параметри жана $SYSTEMD_DEFAULT_HOSTNAME чөйрө өзгөрмөсү аркылуу. systemd-hostnamed ошондой эле хосттун аталышында "localhost" иштетет жана DBus аркылуу хост атын, ошондой эле "HardwareVendor" жана "HardwareModel" касиеттерин экспорттоо мүмкүнчүлүгүн кошот.
  • Ачык чөйрө өзгөрмөлөрү бар блокту эми өзөктүк буйрук сабы жана бирдик файл орнотуулары аркылуу гана эмес, system.conf же user.conf даректериндеги жаңы ManagerEnvironment опциясы аркылуу конфигурациялоого болот.
  • Компиляция убагында, коопсуздук контекстин текшерүү менен аны колдонуунун ортосундагы кечигүүнү азайтуу үчүн execve() ордуна процесстерди баштоо үчүн fexecve() тутумун чакырууну колдонсо болот.
  • Бирдик файлдары үчүн жаңы шарттуу операциялар ConditionSecurity=tpm2 жана ConditionCPUFeature TPM2 түзмөктөрүнүн жана жеке CPU мүмкүнчүлүктөрүнүн бар-жоктугун текшерүү үчүн кошулган (мисалы, ConditionCPUFeature=rdrand процессор RDRAND операциясын колдой тургандыгын текшерүү үчүн колдонулушу мүмкүн).
  • Жеткиликтүү өзөктөр үчүн seccomp чыпкалары үчүн системалык чакыруу таблицаларын автоматтык түрдө түзүү ишке ашырылган.
  • Кызматтарды кайра иштетпестен, кызматтардын учурдагы аттар мейкиндигине жаңы байланыш орнотууларын алмаштыруу мүмкүнчүлүгү кошулду. Алмаштыруу ‘systemctl bind …’ жана ‘systemctl mount-image …’ буйруктары менен аткарылат.
  • Колдонуудан мурун тазалоо үчүн StandardOutput жана StandardError жөндөөлөрүнө "truncate:" формасындагы жолдорду көрсөтүү үчүн колдоо кошулду.
  • SD-автобуска жергиликтүү контейнердин ичинде көрсөтүлгөн колдонуучунун сеансына байланыш түзүү мүмкүнчүлүгү кошулду. Мисалы, "systemctl -user -M lennart@ start quux".
  • Төмөнкү параметрлер [Шилтеме] бөлүмүндөгү systemd.link файлдарында ишке ашырылат:
    • Промискууз - бардык тармактык пакеттерди, анын ичинде учурдагы системага кирбеген пакеттерди иштетүү үчүн аппаратты "промискуздук" режимге которууга мүмкүндүк берет;
    • TX жана RX кезектеринин санын коюу үчүн TransmitQueues жана ReceiveQueues;
    • TransmitQueueLength TX кезегинин өлчөмүн коюу үчүн; GenericSegmentOffloadMaxBytes жана GenericSegmentOffloadMaxSegment GRO (Generic Receive Offload) технологиясын колдонууга чектөөлөрдү коюу үчүн.
  • Жаңы орнотуулар systemd.network файлдарына кошулду:
    • [Network] Маршруттук таблицаны тандоо үчүн RouteTable;
    • [RoutingPolicyRule] Маршрутизация түрү үчүн териңиз ("кара тешик, "жетүү мүмкүн эмес", "тыюу салуу");
    • [IPv6AcceptRA] RouteDenyList жана RouteAllowList уруксат берилген жана четке кагылган маршруттук жарнамалардын тизмеси үчүн;
    • [DHCPv6] UseAdres DHCP тарабынан берилген дарекке көңүл бурбоо;
    • [DHCPv6PrefixDelegation] Убактылуу даректи башкаруу;
    • Интерфейс аракетине байланыштуу саясатты аныктоо үчүн ActivationPolicy (ар дайым ЖОГОРУ же ТӨМӨН абалын сактаңыз же колдонуучуга “ip link set dev” буйругу менен абалды өзгөртүүгө уруксат бериңиз).
  • VLAN пакеттерин иштетүүнү конфигурациялоо үчүн systemd.netdev файлдарына [VLAN] протоколу, IngressQOSMaps, EgressQOSMaps жана [MACVLAN] BroadcastMulticastQueueLength опциялары кошулду.
  • /dev/ каталогун noexec режиминде монтаждоо токтотулду, анткени ал /dev/sgx файлдары менен аткарылуучу желекти колдонууда конфликтти жаратат. Эски жүрүм-турумду кайтаруу үчүн NoExecPaths=/dev жөндөөсүн колдонсоңуз болот.
  • /dev/vsock файл уруксаттары 0o666га өзгөртүлдү жана /dev/vhost-vsock жана /dev/vhost-net файлдары kvm тобуна жылдырылды.
  • Аппараттык ID маалымат базасы уйку режимин туура колдогон USB манжа изин окугучтары менен кеңейтилген.
  • systemd тарабынан чечилген кошумча колдоо DNSSEC сурамдарына stub чечүүчү аркылуу жооп берүү. Жергиликтүү кардарлар DNSSEC валидациясын өз алдынча аткара алышат, ал эми тышкы кардарлар негизги DNS серверине өзгөрүүсүз проксиге кошулат.
  • CacheFromLocalhost опциясы solutiond.conf файлына кошулду, орнотулганда, systemd-resolved 127.0.0.1 дарегиндеги DNS серверине чалуулар үчүн да кэшти колдонот (демейки шартта, кош кэштештирүүнү болтурбоо үчүн мындай сурамдарды кэштөө өчүрүлгөн).
  • systemd-resolved жергиликтүү DNS чечүүчүдө RFC-5001 NSIDдер үчүн колдоону кошот, бул кардарларга жергиликтүү чечүүчү жана башка DNS сервери менен өз ара аракеттенүүнү айырмалоого мүмкүндүк берет.
  • Resolctl утилитасы маалыматтардын булагы (локалдык кэш, тармактык суроо, локалдык процессордун жообу) жана маалыматтарды берүү учурунда шифрлөөнүн колдонулушу жөнүндө маалыматты көрсөтүү мүмкүнчүлүгүн ишке ашырат. Аталышын аныктоо процессин көзөмөлдөө үчүн --кэш, --синтез, --тармак, --зона, --trust-anchor жана --validate опциялары берилген.
  • systemd-nspawn учурдагы iptables колдоосуна кошумча nftables аркылуу брандмауэрди конфигурациялоо үчүн колдоону кошот. Systemd-networkd ичиндеги IPMasquerade орнотуусу nftables негизиндеги серверди колдонуу мүмкүнчүлүгүн кошту.
  • systemd-localed жетишпеген тилдерди түзүү үчүн locale-genди чакыруу үчүн кошумча колдоо.
  • Параметрлер --pager/-no-pager/-json= ар кандай утилиталарга пейджинг режимин иштетүү/өчүрүү жана JSON форматында чыгаруу үчүн кошулган. SYSTEMD_COLORS ("16" же "256") чөйрө өзгөрмөлөрү аркылуу терминалда колдонулган түстөрдүн санын коюу мүмкүнчүлүгү кошулду.
  • Өзүнчө каталог иерархиялары (бөлүнгөн / жана /usr) жана cgroup v1 үчүн колдоо менен куруу эскирди.
  • Гиттеги башкы филиалдын аталышы "мастер" дегенден "негизги" деп өзгөртүлдү.

Source: opennet.ru

Комментарий кошуу