ProHoster > Dienoraštis > interneto naujienos > systemd 261 ir išlaisvinta-systemd 261

systemd 261 ir išlaisvinta-systemd 261

Po trijų mėnesių vystymosi prieinama sistemos tvarkyklės leidimas 261Svarbiausi pakeitimai: pasirengimas palaikyti amžiaus patvirtinimo API, „Kexec Handover“ ir „Live Update Orchestration“ posistemių palaikymas, skirtas paleisti iš naujo neprarandant būsenos, IMDS (egzempliorių metaduomenų paslaugos) posistemis, funkcija, skirta apsaugoti paleidimą sistemose be fizinio TPM (patikimos platformos modulio), ir „systemd-sysinstall“ komponentas su diegimo programos įdiegimu.

Tarp pokyčiai naujame leidime:

  • Pridėtas naujas komponentas systemd-sysinstall įdiegus paprastą operacinės sistemos diegimo programą, kurią galima valdyti iš komandinės eilutės arba per interaktyvią tekstinę sąsają. „systemd-sysinstall“ funkcionalumas grindžiamas esamomis „systemd“ galimybėmis: jis naudoja systemd-repart, norėdami įdiegti branduolį ir sugeneruoti įkrovos meniu - komanda "bootctl nuoroda"įdiegti įkrovos tvarkyklę" „systemd-boot“ — komanda „bootctl install“, skirta pradinei įdiegtos sistemos konfigūracijai (pavyzdžiui, lokalės ir klaviatūros išdėstymo pasirinkimui) — systemd-creds.
  • Rengiantis įgyvendinti reikalavimus įstatymai Apie API integravimą į OS, skirtą amžiaus patikrinimui duomenų bazėje userdb Pridėtas laukas „birthDate“, nurodantis vartotojo gimimo datą. Šį lauką galima naudoti „xdg-desktop-portal“ (sukurtame platinamosioms programoms) ir „AccountsService“ paslaugoje, siekiant teikti programoms informaciją apie vartotojo amžiaus kategoriją per „org.freedesktop.AgeVerification1“ arba „org.freedesktop.ParentalControls“ D-Bus sąsają. Į „homectl“ programą, skirtą amžiui nustatyti, pridėta parinktis „--birth-date“.
  • Prižiūrėtojui PID1 Pridėta parama posistemėms Linux-branduoliai LUO (Tiesioginių atnaujinimų orkestravimas) Ir KHO (Kexec perdavimas), leidžia visiškai paleisti iš naujo ir atnaujinti branduolį nesustabdant darbo ir neprarandant sistemos, įrenginių ir procesų būsenos. KHO suteikia galimybę paleisti naują branduolį iš senojo neprarandant sistemos būsenos ir LUO įgyvendina įrenginių ir RAM būsenos išsaugojimą, taip pat užtikrina su DMA ir pertraukimų apdorojimu susijusių operacijų tęstinumą.
    „Systemd“ sistemoje sistemos ir vartotojo vienetai dabar gali išsaugoti failų aprašus prieš iškviečiant „kexec“ ir atkurti juos po branduolio perkrovimo naudojant „kexec“. Vienetai taip pat gali kurti savo sesijas. LUO, išsaugomi ir atkuriami vykdant „kexec“. Norėdami įjungti failų deskriptorių saugyklos būsenos išsaugojimą, naudokite nustatymą „FileDescriptorStorePreserve=yes“.
  • Posistemis buvo įdiegtas systemd-imdsd, kuri teikia „Varlink IPC“ pagrindu veikiančią API, skirtą vietinėms programoms pasiekti įvairių debesijos paslaugų teikėjų siūlomas IMDS (egzempliorių metaduomenų paslaugos) paslaugas. IMDS leidžia virtualioms mašinoms gauti informaciją apie debesijos aplinką, pvz., tinklo konfigūraciją, mazgo geografinę vietą, procesoriaus tipą ir saugyklos dydį. „systemd-imdsd“ teikia tiek žemo lygio API, skirtą prieigai prie atskirų laukų, tiek aukšto lygio sąsają užklausoms pagal standartinius raktus, susietus su konkrečios platformos raktais. Pridėta „systemd-imdsd“ programa, leidžianti importuoti IMDS laukus į vietinę paskyros sistemą, kad būtų galima sąveikauti su „systemd-imdsd“.
    Pridėta nauja duomenų bazė hwdb.d/40-imds.hwdb, skirta debesijos platformoms aptikti pagal SMBIOS informaciją ir nustatyti dabartiniame mazge prieinamas IMDS funkcijas. Atpažįstamos debesijos platformos: „Amazon EC2“, „Microsoft Azure“, „Google Compute Engine“, „Hetzner“, „Oracle Cloud“, „Scaleway“, „Tencent Cloud“, „Alibaba ECS“ ir „Vultr“. „systemd-imds-generator“ tvarkyklė yra prieinama automatiškai pakeisti paslaugą duomenims gauti per IMDS, kai veikia palaikomoje debesijos platformoje. Galima sukurti universalius atvaizdus, ​​kurie palaiko IMDS, kai veikia debesijos aplinkoje, bet taip pat gali veikti be IMDS.
  • В systemd-stub Įdiegta įkrovos slapto rakto funkcija, leidžianti generuoti raktą pagal EFI kintamąjį, saugomą operacinei sistemai nepasiekiamoje srityje ir inicijuotą atsitiktine verte. Raktas perduodamas į initrd per /.extra/boot-secret failą. Ši funkcija gali būti reikalinga norint sugeneruoti sistemai būdingą atsitiktinį raktą įkrovos patikrinimui arba šifravimui sistemose be aparatinės įrangos TPM (patikimos platformos modulio).
  • Pridėta „systemd-tpm2-swtpm.service“, kad būtų paleistas TPM lustų emuliatorius swtpm (programinės įrangos TPM emuliatorius), kurį galima naudoti norint automatiškai grįžti prie programinės įrangos TPM diegimo, kad būtų užtikrintas saugus paleidimas sistemose be aparatinės įrangos TPM. Programinės įrangos TPM veikia vartotojo erdvėje ir nesuteikia tokio paties apsaugos lygio kaip aparatinės įrangos TPM, tačiau kai kuriais atvejais jo naudojimas yra pateisinamas, palyginti su veikimu be TPM. Pavyzdžiui, programinės įrangos TPM gali gauti skaidinio šifravimo raktą naudodamas naują „įkrovimo paslapties“ funkciją ir naudoti ESP (EFI sistemos skaidinį) diske, kad išsaugotų savo būseną. Norint automatiškai įjungti programinės įrangos TPM, siūlomas branduolio komandinės eilutės parametras systemd.tpm2_software_fallback.
  • Paskelbta stabili ir patalpinta /usr/bin/ komponente systemd-sysupdate, skirtas automatiškai aptikti, atsisiųsti ir įdiegti atnaujinimus naudojant atominį mechanizmą sekcijoms, failams ar katalogams pakeisti (naudojami du nepriklausomi skyriai / failai / katalogai, iš kurių viename yra šiuo metu veikiantis išteklius, o kitame – vieta, kur įdiegiamas kitas atnaujinimas, po kurio skyriai / failai / katalogai sukeičiami vietomis).
  • В sistema išspręsta Įdiegta galimybė iš naujo apibrėžti arba nurodyti naujus DNS įrašus įdedant JSON failus į systemd/resolve/static.d/ katalogus. Skirtingai nuo /etc/hosts, šie nauji failai gali ne tik susieti IP adresus su pagrindinių kompiuterių pavadinimais, bet ir apibrėžti išteklių DNS RR įrašus, išskyrus „A“ ir „AAAA“. Be to, „systemd-resolved“ dabar palaiko DNS talpyklos dydžio nustatymus: DNSCacheSize, MulticastDNSCacheSize ir LLMNRCacheSize.
  • Pridėta naudingumo funkcijasaugojimo valdymo pultas„skirta saugojimo įrenginiams tikrinti ir blokinių įrenginių bei failų sistemų ryšiams valdyti.“
  • per iniciatyvas Siekiant sumažinti priklausomybes, libsystemd dabar dinamiškai įkelia bibliotekas libgnutls, libmicrohttpd, libcurl, libcrypto, libssl, libfdisk ir libcryptsetup, iškviesdama dlopen() tais atvejais, kai jų funkcijos iš tikrųjų reikalingos.
  • В systemd-tmp failai Pridėta vėliavėlė „--inline“, leidžianti nustatyti direktyvas komandinėje eilutėje nekuriant konfigūracijos failų faile tmpfiles.d/ ir nesiunčiant nustatymų per STDIN. Pridėtas naujo tipo k/K direktyva, skirta nustatyti galimybesPridėtas konfigūracijos failas „tmpfiles.d/root.conf“, kuris nustato prieigos teises į 0555 (-r-xr-xr-x) šakniniam katalogui (/), kad būtų apsaugota nuo neteisingų teisių nurodymo dinamiškai kuriant šakninę failų sistemą.
  • Komunalinėje programoje bootctl Užtikrinta, kad išsaugota „systemd-boot“ įkrovos tvarkyklės atsarginė kopija ir senoji versija užregistruota UEFI kaip atsarginės įkrovos parinktis.
  • В systemd-vmspawn Pridėta tiesioginio branduolio paleidimo nenaudojant UEFI programinės įrangos palaikymas. Įdiegta parinktis „--firmware-features“, skirta pasirinktinai įjungti arba išjungti atskiras programinės įrangos funkcijas. Pridėtas režimas „--console=headless“, skirtas paleisti virtualią mašiną be konsolės ar ekrano. Pridėta parinktis „--image-disk-type“, skirta pasirinkti virtualioje automobilyje naudojamą blokų saugojimo tipą („virtio-blk“, „virtio-scsi“, „nvme“ arba „scsi-cd“). Pridėta parinktis „--coco“ (konfidencialus skaičiavimas), skirta įjungti virtualios mašinos atminties šifravimą naudojant AMD SEV-SNP technologiją.
  • В systemd-hostnamed Į /etc/machine-info failą naudojant parametrą „Tags“ pridėta galimybė prie dabartinės sistemos pridėti pasirinktines žymas. Šias žymas galima naudoti norint pasirinktinai taikyti nustatymus, patvirtintus išraiška „ConditionMachineTag“.
  • Pridėti „EventLoopRateLimitIntervalSec“ ir „EventLoopRateLimitBurst“ nustatymai, skirti apriboti įvykių apdorojimo ciklo greitį PID1 ir atlaisvinti procesoriaus išteklius ciklinio įvykdymo atveju.
  • Paslaugų tvarkytuvėje dabar yra „MinimumUptimeSec“ nustatymas, skirtas nustatyti minimalų sistemos veikimo laiką (pagal numatytuosius nustatymus – 15 sekundžių). Jei išjungimas arba perkrovimas inicijuojamas nepasibaigus šiam laikui, paskutiniam etapui pridedamas atitinkamas delsimas.
  • Įrenginiams įdiegti nauji nustatymai: „CPUSetPartition“, skirtas procesoriaus skaidinio tipui nustatyti į „cgroup“ (šakninis, izoliuotas, narys), „RestrictFileSystemAccess“, leidžiantis vykdyti tik skaitmeniniu parašu naudojant „dm-verity“ patikrintus vykdomuosius failus, ir „CPUPressureWatch“ / „CPUPressureThresholdSec“ / „IOPressureWatch“ / „IOPressureThresholdSec“, skirtas pranešimams apie didelę procesoriaus ir įvesties / išvesties apkrovą gauti.
  • Išplėstas komunalinės paslaugos teikiamų rodiklių sąrašas. systemd ataskaitaPavyzdžiui, pridėta informacija apie fizinės atminties ir aktyvių procesoriaus branduolių dydį, duomenys apie SMBIOS ir /etc/machine-info laukų turinį, informacija apie konfidencialaus skaičiavimo režimo palaikymą ir informacija apie TPM2 lusto gamintoją.
  • В systemd-oomd Įdiegta galimybė apibrėžti taisykles procesams filtruoti, kai sistemoje trūksta atminties. Taisykles galima apibrėžti kataloge /etc/systemd/oomd/rules.d/ arba paslaugų vienetuose naudojant OOMRule direktyvą.
  • В systemd-socket-proxy Pridėta PROXY protokolo, kuris atitinka pirmąją haproxy protokolo versiją, parama.
  • В sisteminis tinklas Įdiegta nauja „sd-dhcp-relay“ vidinė sistema DHCP relėms. Šie [DHCPServer] skyriuje esantys nustatymai nebenaudojami: „BindToInterface“, „RelayTarget“, „RelayAgentCircuitId“ ir „RelayAgentRemoteId“. Vietoj to naudokite parametrą „DHCPRelay“ skyriuje [Network] ir keletą naujų nustatymų skyriuje [DHCPRelay] bei faile networkd.conf. Pridėta komanda „networkctl dhcp-lease INTERFACE“, skirta IP adreso susiejimo informacijos (DHCP nuomos) išklotinei išsaugoti.
  • Prie komunalinių paslaugų systemd-nspawn Pridėta parinktis „--restrict-address-families“ kartu su nustatymu „RestrictAddressFamilies“ .nspawn failuose, siekiant apriboti konteineryje naudojamas lizdo adresų šeimas. Būsimose versijose pagal numatytuosius nustatymus bus leidžiamos tik AF_INET, AF_INET6 ir AF_UNIX šeimos.
  • Senojo „udev“ duomenų bazės formato (0.x versijos) palaikymas nutrauktas. Momentinis atnaujinimas iš ankstesnės nei šis leidimas „systemd“ versijų. 247 (opennet.ru) nebepalaikoma.
  • Kuriant naudojant „musl C“ biblioteką, dabar reikalinga bent „musl 1.2.6“ versija.

Be to, galima pažymėti paleisti projektas išlaisvinta sistema 261, kuri sukuria „systemd“ atšaką, pašalinančią kodą, kuris galėtų būti panaudotas šnipinėti naudotojus. Siūlomi leidimo pakeitimai apsiriboja kodo, kuris į „userdb“ prideda lauką „birthDate“ su naudotojo gimimo data, ir parinkties „--birth-date“ pašalinimu iš „homectl“ įrankio, skirto amžiui nustatyti.

Šaltinis: linux.org.ru

Pirkite patikimą prieglobą svetainėms su DDoS apsauga, VPS VDS serveriais 🔥 Įsigykite patikimą svetainių talpinimą su DDoS apsauga, VPS VDS serveriais | ProHoster