ProHoster > Blog > Internet Neiegkeeten > Verëffentlechung vum systemd System Manager 252 mat UKI (Unified Kernel Image) Support

Verëffentlechung vum systemd System Manager 252 mat UKI (Unified Kernel Image) Support

No fënnef Méint vun der Entwécklung gouf d'Verëffentlechung vum Systemmanager systemd 252 presentéiert. De Schlësselännerung an der neier Versioun war d'Integratioun vun der Ënnerstëtzung fir e moderniséierte Bootprozess, deen Iech erlaabt net nëmmen de Kernel an de Bootloader z'iwwerpréiwen, awer och Komponenten. vun der Basis System Ëmfeld benotzt digital Ënnerschrëften.

Déi proposéiert Method beinhalt d'Benotzung vun engem vereenegt Kernel Image UKI (Unified Kernel Image) beim Luede, deen en Handler kombinéiert fir de Kernel vun UEFI (UEFI Bootstub) ze lueden, e Linux Kernel Image an d'initrd Systemëmfeld an d'Erënnerung gelueden, benotzt fir initial Initialiséierung op der Bühn ier Dir de Root FS montéiert. D'UKI Bild ass als eenzeg ausführbar Datei am PE-Format verpackt, déi mat traditionelle Bootloader gelueden ka ginn oder direkt vun der UEFI Firmware genannt gëtt. Wann Dir vun UEFI opgeruff ass, ass et méiglech d'Integritéit an d'Zouverlässegkeet vun der digitaler Ënnerschrëft vun net nëmmen dem Kernel z'iwwerpréiwen, awer och den Inhalt vun der Initrd.

Fir d'Parameteren vun den TPM PCR (Trusted Platform Module Platform Configuration Register) Registere ze berechnen, déi benotzt gi fir d'Integritéit ze iwwerwaachen an eng digital Ënnerschrëft vum UKI Bild ze generéieren, ass eng nei Utility Systemd-Mesure abegraff. Den ëffentleche Schlëssel an déi begleedend PCR-Informatioun, déi an der Ënnerschrëft benotzt gëtt, kann direkt an d'UKI-Bootbild agebonne ginn (de Schlëssel an d'Ënnerschrëft ginn an enger PE-Datei an de Felder '.pcrsig' an '.pcrkey' gespäichert) an dovunner extrahéiert vun externen oder intern Utilities.

Besonnesch d'Systemd-cryptsetup, systemd-cryptenroll a systemd-creds Utilities goufen ugepasst fir dës Informatioun ze benotzen, mat deenen Dir kënnt garantéieren datt verschlësselte Diskpartitionen un engem digital ënnerschriwwenen Kernel gebonnen sinn (an dësem Fall Zougang zu der verschlësselter Partition gëtt nëmmen zur Verfügung gestallt wann d'UKI-Bild d'Verifizéierung duerch digital Ënnerschrëft passéiert huet baséiert op Parameteren an TPM).

Zousätzlech ass d'Systemd-pcrphase Utility abegraff, wat Iech erlaabt d'Bindung vu verschiddene Bootstadien un Parameteren ze kontrolléieren déi an der Erënnerung vu Kryptoprozessoren lokaliséiert sinn, déi d'TPM 2.0 Spezifizéierung ënnerstëtzen (zum Beispill kënnt Dir de LUKS2 Partition Decryption Key verfügbar maachen nëmmen an d'Initrd Bild a blockéiert Zougang zu spéider Downloads).

E puer aner Ännerungen:

  • Assuréiert datt d'Standardlokale C.UTF-8 ass, ausser wann eng aner Lokalitéit an den Astellungen uginn ass.
  • Et ass elo méiglech eng komplett Service Preset Operatioun ("systemctl preset") während dem éischte Boot auszeféieren. Presets aktivéiere bei der Bootzäit erfuerdert Gebaier mat der "-Dfirst-boot-full-preset" Optioun, awer ass geplangt als Standard an zukünfteg Verëffentlechungen aktivéiert ze ginn.
  • D'Benotzerverwaltungsunitéiten involvéieren e CPU Ressource Controller, deen et méiglech gemaach huet ze garantéieren datt d'CPUWeight Astellunge fir all Slice-Eenheeten applizéiert ginn, déi benotzt gi fir de System an Deeler opzedeelen (app.slice, background.slice, session.slice) fir Ressourcen ze isoléieren tëscht verschidde Benotzer Servicer, konkurréiere fir CPU Ressourcen. CPUWeight ënnerstëtzt och den "Idle" Wäert fir de passenden Ressourcebestëmmungsmodus z'aktivéieren.
  • An temporäre ("transient") Eenheeten an am Systemd-Repart Utility sinn d'Iwwerschreiden Astellunge erlaabt andeems Dir Drop-in Dateien am /etc/systemd/system/name.d/ Verzeechnes erstellt.
  • Fir Systembiller gëtt de Support-End Fändel gesat, a bestëmmt dës Tatsaach baséiert op de Wäert vum neie Parameter "SUPPORT_END=" an der /etc/os-release Datei.
  • "ConditionCredential =" an "AssertCredential =" Astellunge bäigefüügt, déi benotzt kënne ginn fir Eenheeten ze ignoréieren oder ze crashen, wa verschidde Umeldungsinformatiounen net am System präsent sinn.
  • Derbäigesat "DefaultSmackProcessLabel =" an "DefaultDeviceTimeoutSec =" Astellungen zu system.conf an user.conf fir de Standard SMACK Sécherheetsniveau an Eenheet Aktivéierung Timeout ze definéieren.
  • An den Astellungen "ConditionFirmware=" an "AssertFirmware=" ass d'Fäegkeet fir eenzel SMBIOS-Felder ze spezifizéieren bäigefüügt, zum Beispill fir eng Eenheet nëmmen ze starten wann d' /sys/class/dmi/id/board_name Feld de Wäert "Custom" enthält Board", kënnt Dir "ConditionFirmware=smbios" -field(board_name = "Custom Board") spezifizéieren.
  • Wärend dem Initialiséierungsprozess (PID 1) ass d'Fäegkeet fir Umeldungsinformatiounen aus SMBIOS Felder z'importéieren (Typ 11, "OEM Vendor Strings") zousätzlech zu hirer Definitioun iwwer qemu_fwcfg bäigefüügt, wat d'Bereetstellung vun Umeldungsinformatiounen op virtuelle Maschinnen vereinfacht an eliminéiert de brauchen fir Drëtt Partei Tools wéi Cloud -init an ignition.
  • Wärend dem Shutdown ass d'Logik fir d'Unmounting vun de virtuelle Dateiesystemer (proc, sys) geännert ginn an d'Informatioun iwwer Prozesser, déi d'Demontage vu Dateisystemer blockéieren, gëtt am Logbuch gespäichert.
  • De System Opruff Filter (SystemCallFilter) erlaabt Zougang zu der Riscv_flush_icache System Opruff als Standard.
  • De sd-Boot Bootloader füügt d'Fäegkeet fir am Mixed Modus ze booten, an deem de 64-Bit Linux Kernel aus 32-Bit UEFI Firmware leeft. Zousätzlech experimentell Fäegkeet fir automatesch SecureBoot Schlësselen aus Dateien an ESP (EFI System Partition) anzeféieren.
  • Nei Optiounen goufen zum Bootctl Utility bäigefüügt: "-all-Architekturen" fir Binären fir all ënnerstëtzt EFI-Architekturen z'installéieren, "—root=" an "—image=" fir mat engem Verzeechnes oder Disk Image ze schaffen, "-install-source =" fir d'Quell fir d'Installatioun ze definéieren, "-efi-boot-option-description=" fir d'Nimm vun der Bootentrée ze kontrolléieren.
  • De Kommando 'list-automounts' gouf an d'Systemctl Utility bäigefüügt fir eng Lëscht vun automatesch montéierte Verzeichnisser ze weisen an d'Optioun "--image=" fir Befehle par rapport zum spezifizéierte Scheifbild auszeféieren. Added "--state=" an "--type=" Optiounen un d''show' an 'Status' Kommandoen.
  • systemd-networkd huet Optiounen "TCPCongestionControlAlgorithm =" bäigefüügt fir den TCP Stau Kontroll Algorithmus ze wielen, "KeepFileDescriptor =" fir de Dateidescriptor vun TUN / TAP Interfaces ze späicheren, "NetLabel =" fir NetLabels ze setzen, "RapidCommit =" fir d'Konfiguratioun iwwer DHCPv6 ze beschleunegen (RFC 3315). De "RouteTable =" Parameter erlaabt d'Nimm vun de Routingtabellen ze spezifizéieren.
  • systemd-nspawn erlaabt d'Benotzung vu relativen Dateiweeër an den "--bind=" an "--overlay=" Optiounen. Ënnerstëtzung fir de Parameter 'rootidmap' op d'Optioun "--bind=" bäigefüügt fir d'Root Benotzer ID am Container un de Besëtzer vum montéierte Verzeechnes op der Host Säit ze binden.
  • systemd-geléist benotzt OpenSSL als säi Verschlësselungsbackend par défaut (gnutls Support gëtt als Optioun behalen). Net ënnerstëtzte DNSSEC Algorithmen ginn elo als onsécher behandelt anstatt e Feeler zréckzeginn (SERVFAIL).
  • systemd-sysusers, systemd-tmpfiles a systemd-sysctl implementéieren d'Fäegkeet fir Astellungen duerch e Credential-Späichermechanismus ze transferéieren.
  • D'Kommando 'vergläichen-Versiounen' bäigefüügt fir systemd-analyze fir Strings mat Versiounsnummeren ze vergläichen (ähnlech wéi 'rpmdev-vercmp' an 'dpkg --compare-versions'). D'Fäegkeet bäigefüügt fir Eenheeten no Mask ze filteren an de Kommando 'systemd-analyze dump'.
  • Wann Dir e Multi-Etapp Schlofmodus auswielt (suspendéieren-dan-hibernate), gëtt d'Zäit, déi am Standby-Modus verbraucht gëtt, elo ausgewielt op Basis vun der Prognose vum verbleiwen Batterieliewen. Direkten Iwwergang zum Schlofmodus geschitt wann manner wéi 5% Batterieladung bleift.
  • En neien Ausgangsmodus "-o short-delta" gouf op 'journalctl' bäigefüügt, wat den Zäitdifferenz tëscht verschiddene Messagen am Logbuch weist.
  • systemd-repart füügt Ënnerstëtzung fir d'Schafe vu Partitionen mam Squashfs Dateiesystem a Partitionen fir dm-verity, och mat digitale Ënnerschrëften.
  • Added "StopIdleSessionSec=" Astellung op systemd-login fir eng inaktiv Sessioun no engem spezifizéierte Timeout ofzeschléissen.
  • Systemd-cryptenroll huet eng "--unlock-key-file=" Optioun derbäigesat fir den Entschlësselschlëssel aus enger Datei ze extrahieren anstatt de Benotzer ze froen.
  • Et ass elo méiglech de Systemd-growfs Utility an Ëmfeld ouni udev ze lafen.
  • systemd-backlight huet verbessert Ënnerstëtzung fir Systemer mat Multiple Grafiken Kaarte.
  • D'Lizenz fir de Code Beispiller, déi an der Dokumentatioun geliwwert ginn, gouf vun CC0 op MIT-0 geännert.

Ännerungen déi d'Kompatibilitéit briechen:

  • Wann Dir d'Kernel Versiounsnummer iwwerpréift mat der ConditionKernelVersion Direktiv, gëtt en einfache Stringverglach elo an den '=' an '!=' Bedreiwer benotzt, a wann de Vergläichsbedreiwer guer net spezifizéiert ass, kann Glob-Mask Matching benotzt ginn Zeeche '*', '?' An '[', ']'. Fir Stverscmp () Stil Versiounen ze vergläichen, benotzt d'Bedreiwer '<', '>', '<=' an '>='.
  • De SELinux Tag benotzt fir den Zougang vun enger Eenheetsdatei z'iwwerpréiwen gëtt elo gelies an der Zäit wou d'Datei gelueden ass, anstatt zum Zäitpunkt vum Zougangscheck.
  • Den Zoustand "ConditionFirstBoot" gëtt elo um éischte Boot vum System nëmmen direkt an der Bootstadium ausgeléist a gëtt "falsch" zréck wann d'Unitéiten ruffen nodeems de Boot fäerdeg ass.
  • Am Joer 2024 plangt Systemd fir de cgroup v1 Ressource Limitatiounsmechanismus z'ënnerstëtzen, deen an der systemd release 248 ofgeschaaft gouf. Administrateure ginn ugeroden sech am Viraus ze këmmeren fir cgroup v2-baséiert Servicer op cgroup v1 ze migréieren. De Schlësselunterscheed tëscht cgroups v2 a v1 ass d'Benotzung vun enger gemeinsamer cgroups Hierarchie fir all Zorte vu Ressourcen, anstatt getrennten Hierarchien fir CPU Ressourcen ze allocéieren, fir Erënnerungsverbrauch ze reguléieren, a fir I / O. Separat Hierarchie féieren zu Schwieregkeeten bei der Organisatioun vun Interaktioun tëscht Handler an zu zousätzleche Kärressourcekäschte wann Dir Reegele fir e Prozess ugewannt, deen a verschiddenen Hierarchien referenzéiert gëtt.
  • An der zweeter Halschent vum 2023 plangen mir d'Ënnerstëtzung fir gespléckt Verzeechnes Hierarchien ofzeschléissen, wou /usr getrennt vun der Root montéiert ass, oder /bin an /usr/bin, /lib an /usr/lib getrennt sinn.

Source: opennet.ru

Setzt e Commentaire