ProHoster > Blog > Internet Neiegkeeten > Systemd System Manager Verëffentlechung 250

Systemd System Manager Verëffentlechung 250

No fënnef Méint Entwécklung gouf d'Verëffentlechung vum Systemmanager systemd 250 presentéiert. Déi nei Verëffentlechung huet d'Fähigkeit agefouert fir Umeldungsinformatiounen a verschlësselte Form ze späicheren, d'Verifizéierung vun automatesch detektéierten GPT-Partitionen mat Hëllef vun enger digitaler Ënnerschrëft, verbessert Informatioun iwwer d'Ursaache vu Verspéidungen. Startservicer, an dobäi Optiounen fir eng Limite Service Zougang zu bestëmmte Fichier Systemer an Reseau Schnëttplazen, Ënnerstëtzung fir Partitur Integritéit Iwwerwachung benotzt dm-Integritéit Modul gëtt gëtt, an Ënnerstëtzung fir sd-Boot Auto-Update gëtt dobäi.

Main Ännerungen:

  • Zousätzlech Ënnerstëtzung fir verschlësselte an authentifizéiert Umeldungsinformatiounen, déi nëtzlech kënne sinn fir sensibel Materialien wéi SSL Schlësselen an Zougangspasswierder sécher ze späicheren. D'Entschlësselung vun Umeldungsinformatiounen gëtt nëmme gemaach wann néideg an a Verbindung mat der lokaler Installatioun oder Ausrüstung. Date verschlësselt automatesch mat symmetresche Verschlësselungsalgorithmen, de Schlëssel fir déi am Dateiesystem, am TPM2 Chip oder mat engem Kombinatiounsschema lokaliséiert ka ginn. Wann de Service ufänkt, ginn d'Umeldungsinformatiounen automatesch dekryptéiert a ginn dem Service a senger normaler Form verfügbar. Fir mat verschlësselte Umeldungsinformatiounen ze schaffen, ass d'Utility 'systemd-creds' bäigefüügt, an d'LoadCredentialEncrypted a SetCredentialEncrypted Astellunge goufen fir Servicer proposéiert.
  • sd-stub, den EFI ausführbar deen d'EFI Firmware erlaabt de Linux Kernel ze lueden, ënnerstëtzt elo d'Booting vum Kernel mam LINUX_EFI_INITRD_MEDIA_GUID EFI Protokoll. Och op sd-stub bäigefüügt ass d'Fäegkeet fir Umeldungsinformatiounen a Sysext Dateien an e cpio Archiv ze packen an dëst Archiv op de Kärel zesumme mam initrd ze transferéieren (zousätzlech Dateie ginn am /.extra/ Verzeichnis gesat). Dës Fonktioun erlaabt Iech e verifizéierbar onverännert Initrd Ëmfeld ze benotzen, ergänzt vu Sysexts a verschlësselte Authentifikatiounsdaten.
  • D'Entdeckbar Partitions Spezifizéierung gouf wesentlech erweidert, déi Tools ubitt fir Systempartitionen z'identifizéieren, ze montéieren an ze aktivéieren mat GPT (GUID Partition Tables). Am Verglach mat fréiere Verëffentlechungen ënnerstëtzt d'Spezifikatioun elo d'Root-Partition an /usr Partition fir déi meescht Architekturen, dorënner Plattformen déi net UEFI benotzen.

    Entdeckbar Partitionen füügt och Ënnerstëtzung fir Partitionen, deenen hir Integritéit vum dm-verity Modul verifizéiert gëtt mat PKCS # 7 digital Ënnerschrëften, wat et méi einfach mécht fir voll authentifizéiert Diskbiller ze kreéieren. Verifizéierungsunterstëtzung ass a verschiddenen Utilities integréiert, déi Disk-Biller manipuléieren, dorënner systemd-nspawn, systemd-sysext, systemd-dissect, RootImage Servicer, systemd-tmpfiles, a systemd-sysusers.

  • Fir Unitéiten déi laang daueren fir ze starten oder ze stoppen, zousätzlech zu der animéierter Fortschrëttsbar ze weisen, ass et méiglech Statusinformatioun ze weisen, déi Iech erlaabt ze verstoen wat genau mam Service am Moment geschitt a wéi en Service de Systemmanager ass Moment gewaart fir komplett.
  • Den DefaultOOMScoreAdjust Parameter op /etc/systemd/system.conf an /etc/systemd/user.conf bäigefüügt, wat Iech erlaabt den OOM-Killer-Schwell fir niddereg Erënnerung unzepassen, applicabel fir Prozesser déi systemd fir de System an d'Benotzer ufänkt. Par défaut ass d'Gewiicht vu Systemservicer méi héich wéi dat vun de Benotzerservicer, d.h. Wann et net genuch Erënnerung ass, ass d'Wahrscheinlechkeet fir d'Kënnegung vun de Benotzerservicer méi héich wéi déi vu Systemer.
  • D'RestrictFileSystems-Astellung bäigefüügt, wat Iech erlaabt den Zougang vun de Servicer op verschidden Aarte vu Dateisystemer ze beschränken. Fir déi verfügbar Dateisystemtypen ze gesinn, kënnt Dir de Kommando "systemd-analyze filesystems" benotzen. Analogie ass d'Optioun RestrictNetworkInterfaces ëmgesat ginn, wat Iech erlaabt den Zougang zu bestëmmten Netzwierkschnëttplazen ze beschränken. D'Ëmsetzung baséiert op dem BPF LSM Modul, deen den Zougang vun enger Grupp vu Prozesser op Kernelobjekte beschränkt.
  • Eng nei /etc/integritytab Konfiguratiounsdatei a Systemd-integritysetup Utility bäigefüügt, déi den dm-integrity-Modul konfiguréieren fir d'Datenintegritéit um Sektorniveau ze kontrolléieren, zum Beispill, fir d'Immutabilitéit vu verschlësselte Donnéeën ze garantéieren (Authenticated Encryption, garantéiert datt en Dateblock huet net op engem Rondpoint geännert ginn). D'Format vun der /etc/integritytab Datei ass ähnlech wéi d' /etc/crypttab an /etc/veritytab Dateien, ausser datt dm-integrity benotzt gëtt anstatt dm-crypt an dm-verity.
  • Eng nei Eenheetsdatei systemd-boot-update.service gouf bäigefüügt, wann aktivéiert an de sd-boot Bootloader installéiert ass, wäert systemd automatesch d'Versioun vum sd-boot Bootloader aktualiséieren, de Bootloader Code ëmmer um neiste Stand halen. sd-Boot selwer ass elo als Standard gebaut mat Ënnerstëtzung fir den SBAT (UEFI Secure Boot Advanced Targeting) Mechanismus, deen d'Problemer mat der Zertifikatrevocatioun fir UEFI Secure Boot léist. Zousätzlech bitt sd-boot d'Fäegkeet fir Microsoft Windows Boot-Astellungen ze analyséieren fir d'Nimm vun de Bootpartitionen mat Windows korrekt ze generéieren an d'Windows Versioun ze weisen.

    sd-boot bitt och d'Fäegkeet fir e Faarfschema bei der Bauzäit ze definéieren. Wärend dem Bootprozess huet d'Ënnerstëtzung bäigefüügt fir d'Bildschirmaopléisung z'änneren andeems Dir op de "r" Schlëssel dréckt. Hotkey "f" bäigefüügt fir op d'Firmware Konfiguratiounsinterface ze goen. E Modus bäigefüügt fir automatesch de System ze booten entsprécht dem Menüpunkt, deen am leschte Boot ausgewielt gouf. Füügt d'Fäegkeet fir automatesch EFI Treiber ze lueden, déi am /EFI/systemd/drivers/ Verzeichnis an der ESP (EFI System Partition) Sektioun läit.

  • Eng nei Eenheetsdatei factory-reset.target ass mat abegraff, déi am systemd-login op eng ähnlech Manéier veraarbecht gëtt wéi d'Restart, Poweroff, Suspensioun an Hibernate Operatiounen, a gëtt benotzt fir Handler ze kreéieren fir e Fabrécksreset auszeféieren.
  • De systemd-geléiste Prozess erstellt elo eng zousätzlech Nolauschtersocket um 127.0.0.54 zousätzlech zu 127.0.0.53. Ufroen, déi um 127.0.0.54 ukommen, ginn ëmmer op en Upstream DNS-Server ëmgeleet a ginn net lokal veraarbecht.
  • Gitt d'Fäegkeet fir systemd-importéiert a systemd-opléist mat der OpenSSL Bibliothéik ze bauen anstatt libgcrypt.
  • Éischt Ënnerstëtzung bäigefüügt fir d'LoongArch Architektur déi a Loongson Prozessoren benotzt gëtt.
  • systemd-gpt-auto-generator bitt d'Fäegkeet fir automatesch systemdefinéiert Swap-Partitionen ze konfiguréieren, verschlësselte vum LUKS2 Subsystem.
  • De GPT Bild Parsing Code benotzt an systemd-nspawn, systemd-dissect, an ähnlechen Utilities implementéiert d'Fäegkeet Biller fir aner Architekturen ze decodéieren, wat Systemd-nspawn erlaabt fir Biller op Emulatoren vun aneren Architekturen ze lafen.
  • Wann Dir Disk-Biller iwwerpréift, weist systemd-dissect elo Informatioun iwwer den Zweck vun der Partition, sou wéi d'Eegeschafte fir iwwer UEFI ze booten oder an engem Container ze lafen.
  • De Feld "SYSEXT_SCOPE" gouf an d'System-extension.d/ Dateien bäigefüügt, wat Iech erlaabt den Ëmfang vum Systembild ze weisen - "initrd", "system" oder "portable".
  • E "PORTABLE_PREFIXES" Feld gouf an d'OS-Release-Datei bäigefüügt, déi a portable Biller benotzt ka ginn fir ënnerstëtzt Eenheetsdatei Präfixe ze bestëmmen.
  • systemd-logind stellt nei Astellungen vir HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress an HandleHibernateKeyLongPress, déi benotzt kënne ginn fir ze bestëmmen wat geschitt wann verschidde Schlëssele fir méi wéi 5 Sekonnen gehal ginn (zum Beispill d'Press vum Suspend-Schlëssel fir séier a Standby ze konfiguréieren kann konfiguréiert ginn , a wann et gedréckt gëtt, geet et schlofen).
  • Fir Unitéiten sinn d'StartupAllowedCPUs an StartupAllowedMemoryNodes Astellunge implementéiert, déi sech vun ähnlechen Astellungen ouni de Startup Präfix ënnerscheeden, datt se nëmmen op der Boot- a Shutdownstadium applizéiert ginn, wat Iech erlaabt aner Ressourcebeschränkungen beim Boot ze setzen.
  • Added [Conditioun|Assert][Memory|CPU|IO]Drockkontrollen déi d'Eenheetsaktivéierung iwwersprangen oder gescheitert erlaben wann de PSI Mechanismus eng schwéier Belaaschtung op Erënnerung, CPU, an I/O am System erkennt.
  • D'Standard maximal Inode Limit gouf fir d'/dev Partition vun 64k op 1M erhéicht, a fir d'/tmp Partition vu 400k op 1M.
  • Eng ExecSearchPath-Astellung gouf fir Servicer proposéiert, wat et méiglech mécht de Wee fir d'Sich no ausführbare Dateien z'änneren, déi duerch Astellunge wéi ExecStart lancéiert ginn.
  • D'Astellung RuntimeRandomizedExtraSec bäigefüügt, wat Iech erlaabt zoufälleg Ofwäichungen an de RuntimeMaxSec Timeout aféieren, wat d'Ausféierungszäit vun enger Eenheet limitéiert.
  • D'Syntax vun den RuntimeDirectory, StateDirectory, CacheDirectory a LogsDirectory Astellunge gouf erweidert, an deem Dir, andeems Dir en zousätzleche Wäert spezifizéiert, getrennt vun engem Colon, elo d'Schafung vun engem symbolesche Link op e bestëmmte Verzeechnes organiséieren fir den Zougang laanscht verschidde Weeër z'organiséieren.
  • Fir Servicer, TTYRows an TTYColumns Astellunge ginn ugebueden fir d'Zuel vun de Reihen a Spalten am TTY Apparat ze setzen.
  • D'ExitType-Astellung bäigefüügt, wat Iech erlaabt d'Logik z'änneren fir d'Enn vun engem Service ze bestëmmen. Par défaut iwwerwaacht systemd nëmmen den Doud vum Haaptprozess, awer wann ExitType = cgroup agestallt ass, waart de Systemmanager op de leschte Prozess an der cgroup fir ze kompletéieren.
  • systemd-cryptsetup d'Ëmsetzung vun TPM2 / FIDO2 / PKCS11 Ënnerstëtzung ass elo och als cryptsetup Plugin gebaut, et erlaabt de normale cryptsetup Kommando benotzt ginn eng verschlësselte Partition ze Spär.
  • Den TPM2 Handler am systemd-cryptsetup/systemd-cryptsetup füügt Ënnerstëtzung fir RSA Primärschlësselen zousätzlech zu ECC Schlësselen fir d'Kompatibilitéit mat Net-ECC Chips ze verbesseren.
  • D'Token-Timeout-Optioun gouf op /etc/crypttab bäigefüügt, wat Iech erlaabt Iech déi maximal Zäit ze definéieren fir op eng PKCS#11/FIDO2-Tokenverbindung ze waarden, duerno gitt Dir gefrot fir e Passwuert oder Erhuelungsschlëssel anzeginn.
  • systemd-timesyncd implementéiert de SaveIntervalSec-Astellung, wat Iech erlaabt periodesch déi aktuell Systemzäit op Disk ze späicheren, zum Beispill fir eng monoton Auer op Systemer ouni RTC ëmzesetzen.
  • Optiounen goufen an d'Systemd-Analyse Utility bäigefüügt: "--image" an "--root" fir Eenheetsdateien an engem bestëmmte Bild oder Root-Verzeichnis ze kontrolléieren, "--rekursive-Feeler" fir ofhängeg Eenheeten ze berücksichtegen wann e Feeler festgestallt gëtt, "--offline" fir separat Eenheetsdateien op Disk gespäichert ze kontrolléieren, "—json" fir Ausgang am JSON-Format, "—quiet" fir onwichteg Messagen auszeschalten, "—Profil" fir un e portable Profil ze binden. Och bäigefüügt ass den Inspect-elf Kommando fir Kärdateien am ELF Format ze analyséieren an d'Fäegkeet Eenheetsdateien mat engem bestëmmten Eenheetsnumm ze kontrolléieren, egal ob dësen Numm mam Dateinumm entsprécht.
  • systemd-networkd huet d'Ënnerstëtzung fir de Controller Area Network (CAN) Bus erweidert. Astellunge bäigefüügt fir CAN Modi ze kontrolléieren: Loopback, OneShot, PresumeAck a ClassicDataLengthCode. Dobäigesat TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 an DataSyncJumpWidth Optiounen op d'.Synchroniséierungs-Sektioun vun der CAN-Sektioun vun der Synchroniséierungs-Sektioun vun der CAN-Sektioun ze kontrolléieren.
  • Systemd-networkd huet eng Labeloptioun fir den DHCPv4 Client bäigefüügt, wat Iech erlaabt den Adresslabel ze konfiguréieren deen benotzt gëtt wann Dir IPv4 Adressen konfiguréiert.
  • systemd-udevd fir "ethtool" implementéiert Ënnerstëtzung fir speziell "max" Wäerter déi d'Puffergréisst op de maximale Wäert setzen, deen vun der Hardware ënnerstëtzt gëtt.
  • An .link Dateien fir systemd-udevd kënnt Dir elo verschidde Parameteren konfiguréieren fir d'Kombinatioun vun Netzwierkadapteren an d'Verbindung vun Hardware-Handler (Offload).
  • systemd-networkd offréiert nei .network-Dateien par défaut: 80-container-vb.network fir Netzwierkbrécke ze definéieren déi erstallt ginn wann Dir systemd-nspawn mat den Optiounen "--network-bridge" oder "--network-zone" leeft; 80-6rd-tunnel.network fir Tunnelen ze definéieren déi automatesch erstallt ginn wann Dir eng DHCP Äntwert mat der 6RD Optioun kritt.
  • Systemd-networkd a systemd-udevd hunn Ënnerstëtzung fir IP Forwarding iwwer InfiniBand Schnëttplazen bäigefüügt, fir déi d'"[IPoIB]" Sektioun an d'systemd.netdev Dateien bäigefüügt gouf, an d'Veraarbechtung vum "ipoib" Wäert ass an der Aart ëmgesat ginn. Astellung.
  • systemd-networkd bitt automatesch Routekonfiguratioun fir Adressen, déi am Parameter AllowedIPs spezifizéiert sinn, déi duerch d'RouteTable a RouteMetric Parameteren an den [WireGuard] an [WireGuardPeer] Sektiounen konfiguréiert kënne ginn.
  • systemd-networkd bitt automatesch Generatioun vun net verännerende MAC Adressen fir Batadv a Bréck Interfaces. Fir dëst Verhalen auszeschalten, kënnt Dir MACAddress=keen an .netdev Dateien uginn.
  • Eng WakeOnLanPassword-Astellung gouf op .link Dateien an der Rubrik "[Link]" hinzugefügt fir d'Passwuert ze bestëmmen wann WoL am "SecureOn" Modus leeft.
  • AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO an UseRawPacketSize Astellungen an d'Sektioun "[CAKE]" vun .network Dateien bäigefüügt fir d'Parameter vum CAKE (Common Applications Kept Enhanced Mechanismus) ze definéieren. .
  • Eng IgnoreCarrierLoss-Astellung op d'Sektioun "[Network]" vun .network Dateien bäigefüügt, wat Iech erlaabt ze bestëmmen wéi laang Dir sollt waarden ier Dir op e Verloscht vum Carrier Signal reagéiert.
  • Systemd-nspawn, homectl, machinectl a systemd-run hunn d'Syntax vum "--setenv" Parameter verlängert - wann nëmmen de Variabelnumm uginn ass (ouni "="), gëtt de Wäert vun der entspriechender Ëmfeldvariabel geholl (fir Zum Beispill, wann Dir "--setenv = FOO" spezifizéiert, gëtt de Wäert vun der $FOO Ëmfeldvariabel geholl an an der Ëmfeldvariabel mam selwechten Numm am Container benotzt).
  • systemd-nspawn huet eng "--suppress-sync" Optioun bäigefüügt fir d'Sync()/fsync()/fdatasync() System rifft auszeschalten wann Dir e Container erstellt (nëtzlech wann d'Geschwindegkeet eng primär Suerg ass an d'Erhaalung vun Bauartefakter am Fall vun engem Feeler ass net wichteg, well se kënnen zu all Moment nei erstallt ginn).
  • Eng nei hwdb Datebank gouf bäigefüügt, déi verschidden Aarte vu Signalanalysatoren enthält (Multimeter, Protokollanalysator, Oszilloskope, etc.). Informatioun iwwer Kameraen an hwdb gouf erweidert mat engem Feld mat Informatioun iwwer d'Zort vun der Kamera (regelméisseg oder Infrarout) a Lensplazéierung (virun oder hënnescht).
  • Aktivéiert Generatioun vun net verännerend Netzwierk Interface Nimm fir Netfront Geräter déi am Xen benotzt ginn.
  • D'Analyse vu Kärdateien vum systemd-coredump Utility baséiert op de libdw/libelf Bibliothéike gëtt elo an engem separaten Prozess gemaach, isoléiert an engem Sandbox Ëmfeld.
  • systemd-importd huet Ënnerstëtzung fir d'Ëmfeldsvariablen $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC bäigefüügt, mat deenen Dir d'Generatioun vu Btrfs Ënnerpartitionen auszeschalten, wéi och Quoten an Disksynchroniséierung konfiguréieren.
  • Am systemd-journald, op Dateisystemer déi Copy-on-Write Modus ënnerstëtzen, gëtt COW Modus fir archivéiert Zäitschrëften nei aktivéiert, wat et erlaabt datt se mat Btrfs kompriméiert ginn.
  • systemd-journald implementéiert Deduplikatioun vun identesche Felder an engem eenzege Message, deen op der Bühn gemaach gëtt ier de Message an de Journal plazéiert gëtt.
  • Added "--show" Optioun fir de Shutdown Kommando fir geplangte Shutdown ze weisen.

Source: opennet.ru

Setzt e Commentaire