ProHoster > Dienoraštis > interneto naujienos > systemd sistemos tvarkyklės leidimas 250

systemd sistemos tvarkyklės leidimas 250

Po penkių mėnesių kūrimo buvo pristatytas sistemos tvarkyklės systemd 250 leidimas. Naujojoje laidoje buvo įdiegta galimybė saugoti kredencialus šifruota forma, įdiegtas automatiškai aptinkamų GPT skaidinių patikrinimas naudojant skaitmeninį parašą, patobulinta informacija apie vėlavimų priežastis. paleidžiamos paslaugos ir pridedamos galimybės apriboti paslaugų prieigą prie tam tikrų failų sistemų ir tinklo sąsajų, teikiamas skaidinio vientisumo stebėjimo palaikymas naudojant dm vientisumo modulį ir pridedamas sd-boot automatinio atnaujinimo palaikymas.

Pagrindiniai pakeitimai:

  • Pridėtas šifruotų ir autentifikuotų kredencialų palaikymas, kuris gali būti naudingas saugiai saugojant jautrią medžiagą, pvz., SSL raktus ir prieigos slaptažodžius. Kredencialų iššifravimas atliekamas tik esant būtinybei ir susijusiam su vietiniu įrenginiu ar įranga. Duomenys užšifruojami automatiškai, naudojant simetrinius šifravimo algoritmus, kurių raktas gali būti failų sistemoje, TPM2 mikroschemoje arba naudojant kombinuotą schemą. Kai paslauga paleidžiama, kredencialai automatiškai iššifruojami ir tampa prieinami paslaugai įprasta forma. Norint dirbti su užšifruotais kredencialais, buvo pridėta „systemd-creds“ priemonė, o paslaugoms pasiūlyti LoadCredentialEncrypted ir SetCredentialEncrypted nustatymai.
  • sd-stub, EFI vykdomasis failas, leidžiantis EFI programinei įrangai įkelti Linux branduolį, dabar palaiko branduolio paleidimą naudojant LINUX_EFI_INITRD_MEDIA_GUID EFI protokolą. Taip pat prie sd-stub pridedama galimybė supakuoti kredencialus ir sysext failus į cpio archyvą ir perkelti šį archyvą į branduolį kartu su initrd (papildomi failai dedami į /.extra/ katalogą). Ši funkcija leidžia naudoti patikrinamą nekeičiamą initrd aplinką, papildytą sistemomis ir užšifruotais autentifikavimo duomenimis.
  • Aptinkamų skaidinių specifikacija buvo gerokai išplėsta, suteikiant įrankius sistemos skaidiniams identifikuoti, montuoti ir aktyvuoti naudojant GPT (GUID skaidinių lenteles). Palyginti su ankstesniais leidimais, specifikacija dabar palaiko šakninį skaidinį ir /usr skaidinį daugumoje architektūrų, įskaitant platformas, kurios nenaudoja UEFI.

    Aptinkami skaidiniai taip pat palaiko skaidinius, kurių vientisumą patikrina dm-verity modulis, naudodamas PKCS#7 skaitmeninius parašus, todėl lengviau sukurti visiškai autentifikuotus disko vaizdus. Patvirtinimo palaikymas yra integruotas į įvairias disko atvaizdus manipuliuojančias programas, įskaitant systemd-nspawn, systemd-sysext, systemd-dissect, RootImage paslaugas, systemd-tmpfiles ir systemd-sysusers.

  • Įrenginiams, kurių paleidimas arba sustabdymas užtrunka ilgai, be animuotos eigos juostos rodymo galima rodyti būsenos informaciją, leidžiančią suprasti, kas tiksliai šiuo metu vyksta su paslauga ir kokia paslauga yra sistemos valdytojas. šiuo metu laukiama, kol bus baigta.
  • Prie /etc/systemd/system.conf ir /etc/systemd/user.conf pridėtas parametras DefaultOOMScoreAdjust, kuris leidžia koreguoti mažos atminties OOM žudiko slenkstį, taikomą procesams, kuriuos systemd paleidžia sistemai ir vartotojams. Pagal numatytuosius nustatymus sistemos paslaugų svoris yra didesnis nei vartotojų paslaugų, t.y. Kai nepakanka atminties, vartotojų paslaugų nutraukimo tikimybė yra didesnė nei sisteminių.
  • Pridėtas RestrictFileSystems nustatymas, leidžiantis apriboti paslaugų prieigą prie tam tikrų tipų failų sistemų. Norėdami peržiūrėti galimus failų sistemų tipus, galite naudoti komandą „systemd-analyze filesystems“. Pagal analogiją buvo įdiegta RestrictNetworkInterfaces parinktis, kuri leidžia apriboti prieigą prie tam tikrų tinklo sąsajų. Diegimas pagrįstas BPF LSM moduliu, kuris riboja procesų grupės prieigą prie branduolio objektų.
  • Pridėtas naujas /etc/integritytab konfigūracijos failas ir systemd-integritysetup įrankis, kuris sukonfigūruoja dm-integrity modulį, kad valdytų duomenų vientisumą sektoriaus lygiu, pavyzdžiui, kad būtų garantuotas užšifruotų duomenų nekintamumas (autentifikuotas šifravimas, užtikrina, kad duomenų blokas turi nebuvo pakeistas žiedine sankryža) . Failo /etc/integritytab formatas yra panašus į /etc/crypttab ir /etc/veritytab failus, išskyrus tai, kad vietoj dm-crypt ir dm-verity naudojamas dm-integrity.
  • Pridėtas naujas vienetinis failas systemd-boot-update.service, suaktyvinus ir įdiegus sd-boot bootloader, systemd automatiškai atnaujins sd-boot bootloader versiją, nuolat atnaujindama įkrovos įkrovos kodą. Pats sd-boot dabar sukurtas pagal numatytuosius nustatymus su SBAT (UEFI Secure Boot Advanced Targeting) mechanizmu, kuris išsprendžia UEFI saugaus įkrovos sertifikato atšaukimo problemas. Be to, sd-boot suteikia galimybę išanalizuoti „Microsoft Windows“ įkrovos parametrus, kad būtų teisingai sugeneruoti įkrovos skaidinių pavadinimus naudojant „Windows“ ir būtų rodoma „Windows“ versija.

    sd-boot taip pat suteikia galimybę apibrėžti spalvų schemą kūrimo metu. Įkrovos proceso metu papildomas ekrano skiriamosios gebos keitimo palaikymas paspaudus „r“ klavišą. Pridėtas spartusis klavišas „f“, kad patektumėte į programinės įrangos konfigūracijos sąsają. Pridėtas režimas, leidžiantis automatiškai paleisti sistemą, atitinkančią paskutinio įkrovimo metu pasirinktą meniu elementą. Pridėta galimybė automatiškai įkelti EFI tvarkykles, esančias /EFI/systemd/drivers/ kataloge ESP (EFI sistemos skaidinio) skyriuje.

  • Įtrauktas naujas vieneto failas factory-reset.target, kuris apdorojamas systemd-logind panašiai kaip perkrovimo, išjungimo, sustabdymo ir užmigdymo operacijos, ir naudojamas kuriant tvarkykles, skirtas gamykliniams atstatymams atlikti.
  • Sistemos išspręstas procesas dabar sukuria papildomą klausymosi lizdą 127.0.0.54, be 127.0.0.53. Užklausos, gautos adresu 127.0.0.54, visada nukreipiamos į aukščiau esantį DNS serverį ir nėra apdorojamos vietoje.
  • Suteikta galimybė kurti systemd-importd ir systemd-resolved naudojant OpenSSL biblioteką, o ne libgcrypt.
  • Pridėtas pradinis palaikymas LoongArch architektūrai, naudojamai Loongson procesoriuose.
  • systemd-gpt-auto-generator suteikia galimybę automatiškai konfigūruoti sistemos apibrėžtas apsikeitimo skaidinius, užšifruotus LUKS2 posistemio.
  • GPT vaizdų analizės kodas, naudojamas systemd-nspawn, systemd-dissect ir panašiose programose, įgyvendina galimybę iššifruoti vaizdus kitoms architektūroms, todėl systemd-nspawn galima naudoti vaizdams paleisti kitų architektūrų emuliatoriuose.
  • Tikrinant disko vaizdus, ​​systemd-dissect dabar rodo informaciją apie skaidinio paskirtį, pvz., tinkamumą paleisti per UEFI arba paleisti konteineryje.
  • Laukas "SYSEXT_SCOPE" buvo įtrauktas į system-extension.d/ failus, leidžiančius nurodyti sistemos vaizdo apimtį - "initrd", "system" arba "portable".
  • „PORTABLE_PREFIXES“ laukas buvo įtrauktas į OS-release failą, kuris gali būti naudojamas nešiojamuosiuose vaizduose, siekiant nustatyti palaikomus vieneto failo priešdėlius.
  • systemd-logind pristato naujus nustatymus HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress ir HandleHibernateKeyLongPress, kuriuos galima naudoti norint nustatyti, kas atsitiks, kai tam tikri klavišai laikomi nuspausti ilgiau nei 5 sekundes (pavyzdžiui, paspaudus klavišą galima greitai pereiti į budėjimo režimą , o paspaudus, jis užmigs).
  • Įrenginiams įdiegti StartupAllowedCPUs ir StartupAllowedMemoryNodes nustatymai, kurie nuo panašių nustatymų be Startup prefikso skiriasi tuo, kad taikomi tik įkrovos ir išjungimo stadijoje, o tai leidžia įkrovos metu nustatyti kitus resursų apribojimus.
  • Pridėta [Condition|Assert][Memory|CPU|IO]Slėgio patikrinimai, leidžiantys praleisti arba nepavykti suaktyvinti įrenginio, jei PSI mechanizmas aptinka didelę sistemos atminties, procesoriaus ir įvesties/išvesties apkrovą.
  • Numatytasis maksimalus inode limitas buvo padidintas /dev skaidiniui nuo 64k iki 1M, o /tmp skaidiniui - nuo 400k iki 1M.
  • Paslaugoms buvo pasiūlytas ExecSearchPath nustatymas, leidžiantis pakeisti vykdomųjų failų, paleidžiamų naudojant nustatymus, pvz., ExecStart, paieškos kelią.
  • Pridėtas RuntimeRandomizedExtraSec nustatymas, leidžiantis įvesti atsitiktinius nukrypimus į RuntimeMaxSec skirtąjį laiką, kuris riboja vieneto vykdymo laiką.
  • Išplėsta RuntimeDirectory, StateDirectory, CacheDirectory ir LogsDirectory nustatymų sintaksė, kurioje, nurodę papildomą reikšmę, atskirtą dvitaškiu, dabar galite organizuoti simbolinės nuorodos sukūrimą į nurodytą katalogą, kad būtų galima organizuoti prieigą keliais keliais.
  • Paslaugoms siūlomi TTYRows ir TTYColumns nustatymai, skirti nustatyti eilučių ir stulpelių skaičių TTY įrenginyje.
  • Pridėtas ExitType nustatymas, leidžiantis pakeisti paslaugos pabaigos nustatymo logiką. Pagal numatytuosius nustatymus systemd stebi tik pagrindinio proceso mirtį, bet jei nustatyta ExitType=cgroup, sistemos tvarkyklė lauks, kol baigsis paskutinis procesas cgroup.
  • Systemd-cryptsetup TPM2/FIDO2/PKCS11 palaikymo diegimas dabar taip pat sukurtas kaip kriptografijos įskiepis, leidžiantis naudoti įprastą kripto nustatymo komandą šifruotam skaidiniui atrakinti.
  • TPM2 tvarkytuvas sistemoje systemd-cryptsetup/systemd-cryptsetup, be ECC raktų, papildo RSA pirminių raktų palaikymą, kad pagerintų suderinamumą su ne ECC lustais.
  • Prie /etc/crypttab pridėta parinktis Token-timeout, kuri leidžia nustatyti maksimalų PKCS#11/FIDO2 prieigos rakto ryšio laukimo laiką, po kurio būsite paraginti įvesti slaptažodį arba atkūrimo raktą.
  • systemd-timesyncd įdiegia SaveIntervalSec nustatymą, kuris leidžia periodiškai išsaugoti esamą sistemos laiką diske, pavyzdžiui, norint įdiegti monotoninį laikrodį sistemose be RTC.
  • Prie systemd-analyze įrankio buvo pridėtos parinktys: „--image“ ir „--root“, skirtos vienetų failams tikrinti duotame paveikslėlyje arba šakniniame kataloge, „--recursive-errors“, kad būtų atsižvelgta į priklausomus vienetus, kai įvyksta klaida. aptiktas, „--offline“, skirtas atskirai tikrinti diske išsaugotus vieneto failus, „-json“ išvesties JSON formatu, „-quiet“, kad išjungtų nesvarbius pranešimus, „-profile“, kad būtų galima susieti su nešiojamu profiliu. Taip pat pridėta komanda inspect-elf, skirta analizuoti pagrindinius failus ELF formatu, ir galimybė patikrinti vieneto failus su nurodytu vieneto pavadinimu, neatsižvelgiant į tai, ar šis pavadinimas atitinka failo pavadinimą.
  • systemd-networkd išplėtė valdiklio srities tinklo (CAN) magistralės palaikymą. Pridėta CAN režimų valdymo nustatymų: Loopback, OneShot, PresumeAck ir ClassicDataLengthCode. Pridėta „TimeQuantansec“, „PlafationSegment“, „PhaseBufferSegment1“, „PhaseBufferSegment2“, „SyncJumpWidth“, „DatatimeQuantANSEC“, „DataPropagationSegmentsegment“, „DataPhaseBufferSegment1“, „DataPhaseBuFErSEMENT2“ ir „DataSyncjumpWidth“ parinktys, kad būtų galima naudoti.
  • Systemd-networkd pridėjo DHCPv4 kliento parinktį Label, kuri leidžia konfigūruoti adreso etiketę, naudojamą konfigūruojant IPv4 adresus.
  • systemd-udevd, skirtas "ethtool", palaiko specialias "max" reikšmes, kurios nustato buferio dydį iki didžiausios aparatinės įrangos palaikomos vertės.
  • .link failuose, skirtuose systemd-udevd, dabar galite konfigūruoti įvairius tinklo adapterių derinimo ir aparatinės įrangos tvarkyklių prijungimo (iškrovimo) parametrus.
  • systemd-networkd pagal numatytuosius nustatymus siūlo naujus .tinklo failus: 80-container-vb.network, kad apibrėžtų tinklo tiltus, sukurtus paleidžiant systemd-nspawn su "--network-bridge" arba "--network-zone" parinktimis; 80-6rd-tunnel.network, kad nustatytų tunelius, kurie automatiškai sukuriami, kai gaunamas DHCP atsakymas su 6RD parinktimi.
  • Systemd-networkd ir systemd-udevd pridėjo palaikymą IP persiuntimui per InfiniBand sąsajas, kurių skiltis „[IPoIB]“ buvo įtraukta į systemd.netdev failus, o „ipoib“ reikšmės apdorojimas įdiegtas Kind nustatymą.
  • systemd-networkd teikia automatinę maršruto konfigūraciją adresams, nurodytiems parametre AllowedIPs, kuriuos galima konfigūruoti naudojant RouteTable ir RouteMetric parametrus skyriuose [WireGuard] ir [WireGuardPeer].
  • systemd-networkd suteikia automatinį nekintamų MAC adresų generavimą batadv ir tilto sąsajoms. Norėdami išjungti šį veiksmą, .netdev failuose galite nurodyti MACAddress=none.
  • WakeOnLanPassword nustatymas buvo pridėtas prie .link failų skiltyje „[Link]“, kad būtų galima nustatyti slaptažodį, kai WoL veikia „SecureOn“ režimu.
  • Prie .network failų skilties „[CAKE]“ pridėti AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO ir UserRawPacketSize parametrai, siekiant apibrėžti CAKE (bendrųjų programų valdymo mechanizmo) tinklo parametrus. .
  • .network failų skiltyje „[Tinklas]“ pridėtas nustatymas „IgnoreCarrierLoss“, leidžiantis nustatyti, kiek laiko reikia laukti prieš reaguojant į nešiklio signalo praradimą.
  • Systemd-nspawn, homectl, machinectl ir systemd-run išplėtė parametro „--setenv“ sintaksę – jei nurodytas tik kintamojo pavadinimas (be „="), reikšmė bus paimta iš atitinkamo aplinkos kintamojo (skirta Pavyzdžiui, nurodant "--setenv=FOO", reikšmė bus paimta iš $FOO aplinkos kintamojo ir naudojama to paties pavadinimo aplinkos kintamajame, nustatytame konteineryje).
  • systemd-nspawn pridėjo parinktį "--suppress-sync", kad išjungtumėte sync()/fsync()/fdatasync() sistemos iškvietimus kuriant konteinerį (naudinga, kai greitis yra prioritetas ir kūrimo artefaktų išsaugojimas gedimo atveju svarbu, nes juos bet kada galima sukurti iš naujo).
  • Pridėta nauja hwdb duomenų bazė, kurioje yra įvairių tipų signalų analizatoriai (multimetrai, protokolų analizatoriai, osciloskopai ir kt.). Informacija apie kameras hwdb buvo išplėsta laukeliu su informacija apie kameros tipą (įprasta arba infraraudonųjų spindulių) ir objektyvo vietą (priekinis arba galinis).
  • Įgalintas nesikeičiančių tinklo sąsajų pavadinimų generavimas tinklo įrenginiams, naudojamiems Xen.
  • Pagrindinių failų analizė, kurią atlieka programa systemd-coredump, pagrįsta libdw/libelf bibliotekomis, dabar atliekama atskiru procesu, izoliuotu smėlio dėžės aplinkoje.
  • systemd-importd pridėjo palaikymą aplinkos kintamiesiems $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, su kuriais galite išjungti Btrfs poskyrių generavimą, taip pat konfigūruoti kvotas ir disko sinchronizavimą.
  • Sistemoje „systemd-journald“ failų sistemose, kurios palaiko kopijavimo ir rašymo režimą, COW režimas vėl įjungiamas archyvuotiems žurnalams, todėl juos galima suspausti naudojant Btrfs.
  • systemd-journald įgyvendina identiškų laukų dubliavimo panaikinimą viename pranešime, kuris atliekamas etape prieš įdedant pranešimą į žurnalą.
  • Prie išjungimo komandos pridėta parinktis „--show“, kad būtų rodomas suplanuotas išjungimas.

Šaltinis: opennet.ru

Добавить комментарий