ProHoster > Blog > Internet Neiegkeeten > Systemd System Manager Verëffentlechung 243

Systemd System Manager Verëffentlechung 243

No fënnef Méint Entwécklung presentéiert System Manager Verëffentlechung systemt 243. Ënnert den Innovatiounen kënne mir d'Integratioun an PID 1 vun engem Handler fir niddereg Erënnerung am System notéieren, Ënnerstëtzung fir Är eege BPF Programmer ze befestigen fir Eenheetsverkéier ze filteren, vill nei Optiounen fir systemd-networkd, e Modus fir d'Bandbreedung vum Netzwierk ze iwwerwaachen. Schnëttplazen, aktivéiert Par défaut op 64-bëssen Systemer 22-bëssen PID Zuelen amplaz 16-bëssen, Iwwergank zu enger vereenegt cgroups Hierarchie, Inclusioun am systemd-Netzwierk-generator.

Main Ännerungen:

  • Unerkennung vu Kernel-generéierte Signaler iwwer aus Erënnerung (Out-Of-Memory, OOM) gouf dem PID 1 Handler bäigefüügt fir Eenheeten ze transferéieren déi d'Erënnerungsverbrauchslimit an e speziellen Zoustand erreecht hunn mat der optionaler Fäegkeet fir se ze zwéngen ze behalen oder ophalen;
  • Fir Eenheet Fichieren, nei Parameteren IPIngressFilterPath an
    IPEgressFilterPath, wat Iech erlaabt BPF Programmer mat arbiträren Handler ze verbannen fir erakommen an erausginn IP Päckchen ze filteren, déi duerch Prozesser verbonne mat dëser Eenheet generéiert ginn. Déi proposéiert Funktiounen erlaben Iech eng Zort Firewall fir Systemdéngschtleeschtungen ze kreéieren. Schreiwen Beispill en einfachen Netzwierkfilter baséiert op BPF;

  • De Kommando "propper" gouf an d'Systemctl Utility bäigefüügt fir de Cache, Runtime Dateien, Statusinformatioun a Logbicher ze läschen;
  • systemd-networkd füügt Ënnerstëtzung fir MACsec, nlmon, IPVTAP an Xfrm Netzwierk Interfaces;
  • systemd-networkd implementéiert separat Konfiguratioun vun DHCPv4- an DHCPv6-Stacken duerch d'Sektiounen "[DHCPv4]" an "[DHCPv6]" an der Konfiguratiounsdatei. D'Optioun RoutesToDNS bäigefüügt fir eng separat Streck op den DNS-Server ze addéieren, deen an de Parameteren, déi vum DHCP-Server empfänkt sinn, bäigefüügt (sou datt de Verkéier op d'DNS duerch dee selwechte Link geschéckt gëtt wéi d'Haaptroute vum DHCP kritt). Nei Optiounen goufen fir DHCPv4 dobäigesat: MaxAttempts - maximal Unzuel vun Ufroe fir eng Adress ze kréien, BlackList - schwaarz Lëscht vun DHCP Server, SendRelease - aktivéiert d'Schécken vun DHCP RELEASE Messagen wann d'Sessioun eriwwer ass;
  • Nei Befehle goufen an d'Systemd-Analyse Utility bäigefüügt:
    • "Systemd-Analyse Zäitstempel" - Zäit Parsing a Konversioun;
    • "Systemd-Analyse Zäitspan" - Analyse an Konversioun vun Zäitperioden;
    • "Systemd-Analyse Conditioun" - Parsing an Test ConditionXYZ Ausdréck;
    • "Systemd-Analyse Ausgangsstatus" - Parsing an Ëmwandlung vun Ausgangscoden vun Zuelen op Nimm a vice versa;
    • "systemd-analyze unit-dates" - Lëscht all Dateiweeër fir Eenheeten an Eenheetsaliasen.
  • Optiounen SuccessExitStatus, RestartPreventExitStatus an
    RestartForceExitStatus ënnerstëtzt elo net nëmmen numeresch Retourcoden, awer och hir Textidentifizéierer (zum Beispill "DATAERR"). Dir kënnt d'Lëscht vun de Coden, déi un Identifizéierer zougewisen sinn, mat dem Kommando "sytemd-analyze exit-status" gesinn;

  • De Kommando "läschen" gouf an d'Networkctl Utility bäigefüügt fir virtuell Netzwierkapparater ze läschen, wéi och d'Optioun "—Stats" fir Apparatstatistiken ze weisen;
  • SpeedMeter a SpeedMeterIntervalSec Astellunge goufen op networkd.conf bäigefüügt fir periodesch den Duerchgang vun Netzwierkschnëttplazen ze moossen. Statistiken, déi aus de Miessresultater kritt goufen, kënnen am Ausgang vum 'networkctl status' Kommando gekuckt ginn;
  • Neien Utility Systemd-Network-Generator bäigefüügt fir Dateien ze generéieren
    .network, .netdev an .link baséiert op IP-Astellunge passéiert wann se iwwer d'Linux-Kernel Kommandozeil am Dracut-Astellungsformat lancéiert ginn;

  • De sysctl "kernel.pid_max" Wäert op 64-Bit Systemer ass elo als Standard op 4194304 gesat (22-Bit PIDs amplaz 16-Bit), wat d'Wahrscheinlechkeet vu Kollisiounen reduzéiert wann Dir PIDs zougewisen, erhéicht d'Limite op d'Zuel vu gläichzäiteg Lafen Prozesser, an huet e positiven Impakt op Sécherheet. D'Ännerung kéint potenziell zu Kompatibilitéitsprobleemer féieren, awer esou Themen sinn nach net an der Praxis gemellt ginn;
  • Par défaut wiesselt d'Baustadium op déi vereenegt Hierarchie cgroups-v2 ("-Ddefault-hierarchy = unified"). Virdrun war de Standard Hybridmodus ("-Ddefault-Hierarchie = Hybrid");
  • D'Behuele vum Systemrufffilter (SystemCallFilter) gouf geännert, wat am Fall vun engem verbuedenen Systemruff elo de ganze Prozess ofschléisst, anstatt eenzel Threads, well d'Ofschloss vun eenzel Threads zu onberechenbaren Probleemer kéint féieren. D'Ännerungen gëllen nëmmen wann Dir Linux Kernel 4.14+ a libsecomp 2.4.0+ hutt;
  • Onprivilegéierte Programmer ginn d'Fäegkeet fir ICMP Echo (Ping) Pakete ze schécken andeems de sysctl "net.ipv4.ping_group_range" fir déi ganz Palette vu Gruppen (fir all Prozesser) setzt;
  • Fir de Bauprozess ze beschleunegen, ass d'Generatioun vu Mann-Handbuch Standard gestoppt (fir voll Dokumentatioun ze bauen, musst Dir d'Optioun "-Dman=true" oder "-Dhtml=true" fir Handbücher am HTML-Format benotzen). Fir et méi einfach ze maachen, d'Dokumentatioun ze gesinn, sinn zwee Skripte mat abegraff: bauen / Mann / Mann a bauen / Mann / HTML fir Handbuch vun Interessi ze generéieren an ze kucken;
  • Fir Domain Nimm mat Zeeche vun nationalen Alfabeten ze veraarbechten, gëtt d'Libidn2 Bibliothéik als Standard benotzt (fir Libidn zréckzekommen, benotzt d'Optioun "-Dlibidn=true");
  • Ënnerstëtzung fir d'/usr/sbin/halt.local ausführbar Datei, déi Funktionalitéit ubitt, déi net wäit an de Verdeelunge verdeelt gouf, gouf gestoppt. Fir d'Start vun de Befehle beim Ofschalten z'organiséieren, ass et recommandéiert Scripten an /usr/lib/systemd/system-shutdown/ ze benotzen oder eng nei Eenheet ze definéieren déi vun final.target hänkt;
  • Op der leschter Stuf vum Shutdown erhéicht systemd elo automatesch de Logniveau am sysctl "kernel.printk", wat de Problem léist fir an de Log-Evenementer ze weisen, déi an de spéider Stadien vum Shutdown geschitt sinn, wann déi regulär Log-Dämone scho fäerdeg sinn. ;
  • An journalctl an aner Utilitys, déi Logbicher weisen, sinn d'Warnungen a giel markéiert, an d'Auditrecords sinn blo markéiert fir se visuell aus der Masse ze markéieren;
  • An der $PATH Ëmfeld Variabel kënnt de Wee op bin/ elo virum Wee op sbin/, d.h. wann et identesch Nimm vun ausféierbaren Dateien a béide Verzeichnisser sinn, gëtt d'Datei vu bin/ ausgefouert;
  • systemd-login stellt e SetBrightness () Opruff fir sécher d'Bildschirmhellegkeet op enger Per-Sessiounsbasis z'änneren;
  • De Fändel "--wait-for-Initialization" gouf op de Kommando "udevadm info" bäigefüügt fir ze waarden bis den Apparat initialiséiert gëtt;
  • Wärend dem Systemboot weist de PID 1 Handler elo d'Nimm vun den Eenheeten anstatt eng Zeil mat hirer Beschreiwung. Fir zréck op fréier Verhalen zréckzekommen, kënnt Dir d'Optioun StatusUnitFormat an /etc/systemd/system.conf oder d'Systemd.status_unit_format Kerneloptioun benotzen;
  • Derbäigesat KExecWatchdogSec Optioun ze /etc/systemd/system.conf fir Iwwerwaachung PID 1, déi spezifizéiert den Timeout fir Restart mat kexec. Al Kader
    ShutdownWatchdogSec gouf op RebootWatchdogSec ëmbenannt an definéiert e Timeout fir Aarbechtsplaze beim Ofschalten oder normalen Neistart;

  • Eng nei Optioun gouf fir Servicer bäigefüügt ExecCondition, wat Iech erlaabt Kommandoen ze spezifizéieren déi virum ExecStartPre ausgefouert ginn. Baséierend op de Feelercode, dee vum Kommando zréckkomm ass, gëtt eng Entscheedung iwwer eng weider Ausféierung vun der Eenheet geholl - wann de Code 0 zréckgeet, geet d'Eenheetstart weider, wann vun 1 bis 254 et roueg ophält ouni Feelerflag, wann 255 endet mat engem Echec Fändel;
  • En neie Service bäigefüügt systemd-pstore.service fir Daten aus sys/fs/pstore/ ze extrahieren a vu Spueren op /var/lib/pstore fir weider Analyse;
  • Nei Befehle goufen an d'Timedatectl Utility bäigefüügt fir d'Konfiguratioun vun NTP-Parameteren fir systemd-timesyncd a Relatioun mat Netzwierkschnëttplazen;
  • De Kommando "localectl list-locales" weist keng aner Lokaler méi wéi UTF-8;
  • Assuréiert datt d'Variabel Uweisungsfehler an sysctl.d/ Dateien ignoréiert ginn wann de Variabelnumm mam Charakter "-" ufänkt;
  • Service systemd-random-seed.service ass elo ganz verantwortlech fir d'Initialiséierung vum Entropiepool vum Linux Kernel Pseudorandom Number Generator. Servicer déi e korrekt initialiséierte /dev/urandom erfuerderen, sollten no systemd-random-seed.service gestart ginn;
  • De systemd-boot Bootloader bitt d'optional Fäegkeet fir z'ënnerstëtzen Som Datei mat zoufälleg Sequenz an der EFI System Partition (ESP);
  • Nei Befehle goufen zum Bootctl Utility bäigefüügt: "bootctl random-seed" fir eng Seeddatei am ESP ze generéieren an "bootctl is-installed" fir d'Installatioun vum systemd-boot Bootloader ze kontrolléieren. bootctl gouf och ugepasst fir Warnungen iwwer falsch Konfiguratioun vu Bootentréeën ze weisen (zum Beispill wann d'Kernelbild geläscht gëtt, awer d'Entrée fir ze lueden ass lénks);
  • Bitt automatesch Auswiel vun der Swap-Partition wann de System an de Schlofmodus geet. D'Partition gëtt ausgewielt ofhängeg vun der Prioritéit déi dofir konfiguréiert ass, an am Fall vun identesche Prioritéiten, d'Quantitéit vum fräie Raum;
  • Zousätzlech Keyfile-Timeout-Optioun op /etc/crypttab bäigefüügt fir ze setzen wéi laang den Apparat mam Verschlësselungsschlëssel waart ier Dir e Passwuert freet fir op déi verschlësselte Partition ze kommen;
  • Zousätzlech IOWeight Optioun fir den I / O Gewiicht fir de BFQ Scheduler ze setzen;
  • systemd-geléist addéiert 'strikt' Modus fir DNS-iwwer-TLS an huet d'Fäegkeet implementéiert fir nëmme positiv DNS-Äntwerten ze cache ("Cache net-negativ" an resolved.conf);
  • Fir VXLAN huet systemd-networkd eng GenericProtocolExtension Optioun bäigefüügt fir VXLAN Protokollverlängerungen z'aktivéieren. Fir VXLAN an GENEVE ass d'IPDoNotFragment Optioun bäigefüügt fir de Fragmentéierungsverbuet Fändel fir erausginn Paketen ze setzen;
  • Am systemd-networkd, an der Rubrik "[Route]" ass d'Optioun FastOpenNoCookie erschéngt fir de Mechanismus fir séier TCP Verbindungen z'erméiglechen (TFO - TCP Fast Open, RFC 7413) a Relatioun zu eenzelne Strecken, souwéi d'TTLPropagate Optioun. fir TTL LSP (Label Switched Path) ze konfiguréieren. D'Optioun "Typ" bitt Ënnerstëtzung fir lokal, Broadcast, Anycast, Multicast, all an xresolve Routing Modi;
  • Systemd-networkd bitt eng DefaultRouteOnDevice Optioun an der Rubrik "[Network]" fir automatesch eng Standardroute fir e bestëmmten Netzwierkapparat ze konfiguréieren;
  • Systemd-networkd huet ProxyARP an
    ProxyARPWifi fir Proxy ARP Verhalen ze setzen, MulticastRouter fir Routingparameter am Multicast Modus ze setzen, MulticastIGMPVersion fir d'IGMP (Internet Group Management Protocol) Versioun fir Multicast z'änneren;

  • Systemd-networkd huet Lokal, Peer a PeerPort Optiounen fir FooOverUDP Tunnel bäigefüügt fir déi lokal a Fern IP Adressen ze konfiguréieren, souwéi d'Netzwierkportnummer. Fir TUN-Tunnel ass d'VnetHeader-Optioun hinzugefügt fir GSO (Generic Segment Offload) Support ze konfiguréieren;
  • Am systemd-networkd, an den .network- an .link-Dateien an der [Match] Sektioun, ass eng Propertyoptioun erschéngt, déi Iech erlaabt Apparater duerch hir spezifesch Eegeschaften an udev z'identifizéieren;
  • Am systemd-networkd ass eng AssignToLoopback Optioun fir Tunnel bäigefüügt, déi kontrolléiert ob d'Enn vum Tunnel dem Loopback Apparat "lo" zougewisen ass;
  • systemd-networkd aktivéiert automatesch den IPv6 Stack wann et iwwer sysctl disable_ipv6 blockéiert ass - IPv6 gëtt aktivéiert wann IPv6 Astellunge (statesch oder DHCPv6) fir d'Netzwierk-Interface definéiert sinn, soss ännert de scho festgeluechte sysctl-Wäert net;
  • An .network-Dateien ass d'CriticalConnection-Astellung duerch d'Optioun KeepConfiguration ersat ginn, déi méi Mëttel fir Situatiounen ze definéieren ("jo", "statesch", "dhcp-on-stop", "dhcp") an deenen systemd-networkd soll net existéierend Verbindunge beréieren beim Start;
  • Schwachstelle fix CVE-2019-15718, verursaacht duerch Mangel un Zougangskontroll op d'D-Bus Interface systemd-opléist. D'Thema erlaabt en onprivilegéierten Benotzer Operatiounen auszeféieren, déi nëmme fir Administrateuren verfügbar sinn, wéi z.
  • Schwachstelle fix CVE-2019-9619am Zesummenhang mat der Pam_systemd net aktivéieren fir net-interaktiv Sessiounen, wat Spoofing vun der aktiver Sessioun erlaabt.

Source: opennet.ru

Setzt e Commentaire