ProHoster > Blog > Internet Neiegkeeten > Systemd System Manager Verëffentlechung 248

Systemd System Manager Verëffentlechung 248

No véier Méint Entwécklung gëtt d'Verëffentlechung vum Systemmanager systemd 248 presentéiert. Déi nei Verëffentlechung bitt Ënnerstëtzung fir Biller fir d'Erweiderung vum Systemverzeichnisser, d' /etc/veritytab Konfiguratiounsdatei, d'Systemd-cryptenroll Utility, d'Entspärung vun LUKS2 mat TPM2 Chips a FIDO2 Tokens, Lafen Eenheeten an engem isoléierten IPC Identifizéierer Raum, BATMAN Protokoll fir Mesh Netzwierker, nftables Backend fir systemd-nspawn. Systemd-oomd gouf stabiliséiert.

Main Ännerungen:

  • D'Konzept vun System Extensioun Biller gouf implementéiert, déi benotzt kënne fir d'Hierarchie vun den /usr/ an /opt/ Verzeichnungen ze verlängeren, an zousätzlech Dateie beim Runtime bäizefügen, och wann déi spezifizéiert Verzeichnisser just read-only montéiert sinn. Wann e Systemverlängerungsbild montéiert ass, gëtt säin Inhalt op der /usr/ an /opt/ Hierarchie mat OverlayFS iwwerlagert.

    En neit Utility, systemd-sysext, gouf proposéiert fir d'Biller vun Systemerweiterungen ze verbannen, ze trennen, ze gesinn an ze aktualiséieren. Fir automatesch installéiert Biller beim Boot ze verbannen, ass de Service systemd-sysext.service dobäigesat ginn. "SYSEXT_LEVEL=" Parameter an d'OS-Release-Datei bäigefüügt fir den Niveau vun den ënnerstëtzte Systemerweiterungen ze bestëmmen.

  • Fir Eenheeten ass d'ExtensionImages-Astellung ëmgesat ginn, déi benotzt ka ginn fir Systemverlängerungsbiller mat der FS Nummraumhierarchie vun individuellen isoléierte Servicer ze verbannen.
  • /etc/veritytab Konfiguratiounsdatei bäigefüügt fir Datenverifizéierung um Blockniveau mat dem dm-verity Modul ze konfiguréieren. De Dateiformat ass ähnlech wéi /etc/crypttab - "section_name device_for_data device_for_hashes check_hash_root options." Systemd.verity.root_options Kernel Kommandozeil Optioun bäigefüügt fir dm-verity Verhalen fir de Root-Apparat ze konfiguréieren.
  • systemd-cryptsetup füügt d'Fäegkeet fir den PKCS # 11 Token URI an de verschlësselte Schlëssel aus dem LUKS2 Metadaten Header am JSON Format ze extrahieren, sou datt Informatioun iwwer d'Ouverture vun engem verschlësselten Apparat an den Apparat selwer integréiert gëtt ouni extern Dateien matzemaachen.
  • systemd-cryptsetup bitt Ënnerstëtzung fir LUKS2 verschlësselte Partitionen ze spären mat TPM2 Chips a FIDO2 Tokens, zousätzlech zu virdrun ënnerstëtzte PKCS # 11 Tokens. Luede libfido2 gëtt via dlopen gemaach (), i.e. Disponibilitéit gëtt op der Flucht gepréift, anstatt als eng haart-wired Ofhängegkeet.
  • Nei Optiounen "no-write-workqueue" an "no-read-workqueue" goufen op /etc/crypttab fir systemd-cryptsetup bäigefüügt fir synchron Veraarbechtung vun I/O verbonne mat Verschlësselung an Entschlësselung z'erméiglechen.
  • De Systemd-Repart Utility huet d'Fäegkeet bäigefüügt fir verschlësselte Partitionen mat TPM2 Chips ze aktivéieren, zum Beispill, fir eng verschlësselte / var Partition beim éischte Boot ze kreéieren.
  • D'Systemd-cryptenroll Utility gouf bäigefüügt fir TPM2, FIDO2 an PKCS # 11 Tokens un LUKS Partitionen ze binden, souwéi Tokens ze verbannen an ze gesinn, Ersatzschlësselen ze binden an e Passwuert fir Zougang ze setzen.
  • De PrivateIPC Parameter bäigefüügt, wat Iech erlaabt d'Eenheetsdatei ze konfiguréieren fir Prozesser an engem isoléierten IPC Raum mat hiren eegene separaten Identifizéierer a Messageschlaang ze lafen. Fir eng Eenheet mat engem scho geschafenen IPC Identifizéiererraum ze verbannen, gëtt d'IPCNamespacePath Optioun proposéiert.
  • ExecPaths an NoExecPaths Astellunge bäigefüügt fir datt den Noexec Fändel op spezifesch Deeler vum Dateiesystem applizéiert gëtt.
  • systemd-networkd füügt Ënnerstëtzung fir de BATMAN (Better Approach To Mobile Adhoc Networking) Mesh Protokoll, wat d'Schafung vun dezentraliséierten Netzwierker erlaabt, an deenen all Node duerch Nopeschnoden verbonne sinn. Fir d'Konfiguratioun gëtt d'Sektioun [BatmanAdvanced] an .netdev, de BatmanAdvanced Parameter an .network Dateien, an en neien Apparattyp "batadv" proposéiert.
  • D'Ëmsetzung vum fréie Reaktiounsmechanismus fir geréng Gedächtnis am Systemd-oomd System gouf stabiliséiert. D'Optioun DefaultMemoryPressureDurationSec bäigefüügt fir d'Waardezäit ze konfiguréieren fir eng Ressource ze befreien ier se eng Eenheet beaflosst. Systemd-oomd benotzt de PSI (Pressure Stall Information) Kernel Subsystem an erlaabt Iech den Ufank vu Verspéidungen wéinst Mangel u Ressourcen z'entdecken a selektiv Ressourceintensiv Prozesser ofzeschléissen an enger Phase wou de System nach net an engem kriteschen Zoustand ass an net fänken un intensiv de Cache ze trimmen an d'Donnéeën an d'Swappartition ze verdrängen.
  • Zousätzlech Kernel Kommandozeil Parameter "root = tmpfs", wat Iech erlaabt d'Root Partition an enger temporärer Späichere am RAM mat Tmpfs ze montéieren.
  • De Parameter /etc/crypttab, deen d'Schlësseldatei spezifizéiert, kann elo op AF_UNIX an SOCK_STREAM Sockettypen weisen. An dësem Fall muss de Schlëssel gegeben ginn wann Dir mat der Socket verbënnt, déi zum Beispill benotzt ka ginn fir Servicer ze kreéieren déi dynamesch Schlësselen ausginn.
  • De Fallback Hostnumm fir de Systemmanager an systemd-hostnamed ze benotzen kann elo op zwou Weeër gesat ginn: duerch den DEFAULT_HOSTNAME Parameter an der os-release an duerch d'$SYSTEMD_DEFAULT_HOSTNAME Ëmfeldvariabel. systemd-hostnamed handhabt och "localhost" am Hostnumm a füügt d'Fäegkeet fir den Hostnumm souwéi d'"HardwareVendor" an "HardwareModel" Eegeschafte iwwer DBus ze exportéieren.
  • De Block mat exponéierten Ëmfeldvariablen kann elo duerch déi nei ManagerEnvironment-Optioun an system.conf oder user.conf konfiguréiert ginn, an net nëmmen duerch d'Kernel Kommandozeil an Eenheetsdatei-Astellungen.
  • An der Zesummesetzungszäit ass et méiglech de fexecve () System Uruff ze benotzen fir Prozesser ze starten anstatt execve () fir d'Verspéidung tëscht der Kontroll vum Sécherheetskontext an der Uwendung ze reduzéieren.
  • Fir Eenheetsdateien sinn nei bedingt Operatiounen ConditionSecurity = tpm2 an ConditionCPUFeature bäigefüügt fir d'Präsenz vun TPM2-Geräter an eenzel CPU-Fäegkeeten ze kontrolléieren (zum Beispill, ConditionCPUFeature = rdrand kann benotzt ginn fir ze kontrolléieren ob de Prozessor d'RDRAND-Operatioun ënnerstëtzt).
  • Fir verfügbare Kärelen ass automatesch Generatioun vu Systemrufftabelle fir seccomp Filteren ëmgesat ginn.
  • D'Kapazitéit bäigefüügt fir nei Bind Mounts an existent Mount Nummraim vu Servicer z'ersetzen, ouni d'Servicer nei ze starten. Ersatz gëtt mat de Kommandoen 'systemctl bind ...' an 'systemctl mount-image …'.
  • Ënnerstëtzung bäigefüügt fir Weeër an de StandardOutput a StandardError Astellungen an der Form "Truncate: »fir ze botzen virum Gebrauch.
  • D'Fäegkeet bäigefüügt fir eng Verbindung mat enger spezifizéierter Benotzer Sessioun an engem lokalen Container op sd-Bus opzebauen. Zum Beispill "systemctl -user -M lennart@ start quux".
  • Déi folgend Parameteren ginn an de systemd.link Dateien an der [Link] Sektioun implementéiert:
    • Promiscuous - erlaabt Iech den Apparat op de "promiskuösen" Modus ze wiesselen fir all Netzwierkspäck ze veraarbecht, och déi net un den aktuelle System adresséiert;
    • TransmitQueues an ReceiveQueues fir d'Zuel vun TX an RX Schlaangen ze setzen;
    • TransmitQueueLength fir d'TX Queue Gréisst ze setzen; GenericSegmentOffloadMaxBytes an GenericSegmentOffloadMaxSegment fir Limite fir d'Benotzung vun der GRO (Generic Receive Offload) Technologie ze setzen.
  • Nei Astellunge goufen op systemd.network Dateien bäigefüügt:
    • [Netzwierk] RouteTable fir e Routing-Table ze wielen;
    • [RoutingPolicyRule] Typ fir de Routing-Typ ("Blackhole, "unreachable", "verbueden");
    • [IPv6AcceptRA] RouteDenyList a RouteAllowList fir Lëschte vun erlaabten a refuséierte Wee Annoncë;
    • [DHCPv6] Benotzt Adressen fir d'Adress vun DHCP erausginn ze ignoréieren;
    • [DHCPv6PrefixDelegatioun] ManageTemporaryAddress;
    • ActivationPolicy fir d'Politik iwwer d'Interfaceaktivitéit ze definéieren (ëmmer den UP oder DOWN Zoustand erhalen, oder erlaabt de Benotzer Staaten z'änneren mam Kommando "ip Link set dev").
  • Zousätzlech [VLAN] Protokoll, IngressQOSMaps, EgressQOSMaps, an [MACVLAN] BroadcastMulticastQueueLength Optiounen fir systemd.netdev Dateien fir VLAN Pakethandhabung ze konfiguréieren.
  • Gestoppt d'Montage vum /dev/ Verzeichnis am noexec Modus ze montéieren well et e Konflikt verursaacht wann Dir den ausführbare Fändel mat /dev/sgx Dateien benotzt. Fir dat alt Verhalen zréckzebréngen, kënnt Dir d'NoExecPaths=/dev Astellung benotzen.
  • D'/dev/vsock-Datei Permissiounen goufen op 0o666 geännert, an d'/dev/vhost-vsock an /dev/vhost-net Dateien goufen an d'kvm-Grupp geplënnert.
  • D'Hardware ID Datebank gouf mat USB Fangerofdrock Lieser erweidert déi de Schlofmodus korrekt ënnerstëtzen.
  • systemd-geléist zousätzlech Ënnerstëtzung fir Äntwerten op DNSSEC Ufroen iwwer e Stub Resolver auszeginn. Lokal Clientë kënnen DNSSEC Validatioun op sech selwer maachen, während extern Clientë onverännert un den Elterendeel DNS Server proxéiert ginn.
  • D'Optioun CacheFromLocalhost op resolved.conf bäigefüügt, wann se agestallt ass, wäert systemd-resolved Cache benotzen och fir Uruff un den DNS-Server um 127.0.0.1 (par défaut, Cache vun esou Ufroen ass ausgeschalt fir duebel Caching ze vermeiden).
  • systemd-resolved füügt Ënnerstëtzung fir RFC-5001 NSIDs am lokalen DNS-Resolver un, wat Clienten erlaabt tëscht Interaktiounen mam lokalen Resolver an engem aneren DNS-Server z'ënnerscheeden.
  • D'Resolvectl Utility implementéiert d'Fäegkeet fir Informatioun iwwer d'Quell vun Daten ze weisen (lokale Cache, Netzwierk Ufro, lokal Prozessor Äntwert) an d'Benotzung vun der Verschlësselung beim Iwwerdroen vun Daten. D'Optiounen --cache, --synthesize, --network, --zone, --trust-anchor, an --validate ginn zur Verfügung gestallt fir den Nummbestëmmungsprozess ze kontrolléieren.
  • systemd-nspawn füügt Ënnerstëtzung fir d'Konfiguratioun vun enger Firewall mat nftables zousätzlech zu der existéierender iptables Support. Den IPMasquerade Setup am systemd-networkd huet d'Fäegkeet bäigefüügt fir en nftables-baséiert Backend ze benotzen.
  • systemd-lokaliséiert zousätzlech Ënnerstëtzung fir Locale-gen ze ruffen fir fehlend Lokaler ze generéieren.
  • Optiounen --pager/-no-pager/-json= goufen zu verschiddenen Utilitys bäigefüügt fir de Paging-Modus z'aktivéieren / auszeschalten an d'Ausgab am JSON-Format. D'Fäegkeet bäigefüügt fir d'Zuel vun de Faarwen, déi am Terminal benotzt ginn, iwwer d'SYSTEMD_COLORS Ëmfeldvariabel ("16" oder "256") ze setzen.
  • De Build mat getrennten Verzeechnes Hierarchien (Split / an / usr) an cgroup v1 Support goufen ofgeschaaft.
  • D'Meeschterzweig am Git gouf vun 'Master' op 'Main' ëmbenannt.

Source: opennet.ru

Setzt e Commentaire