ProHoster > Blogas > interneto naujienos > systemd sistemos tvarkyklės leidimas 257

systemd sistemos tvarkyklės leidimas 257

Po šešių mėnesių kūrimo buvo pristatytas sistemos tvarkyklės systemd 257 leidimas Pagrindiniai pakeitimai: naujos komunalinės paslaugos systemd-sbsign ir systemd-keyutil, MPTCP palaikymas, kai jis aktyvuojamas per lizdą, pradinis kūrimo su Musl C biblioteka palaikymas. updatectl įrankis, skirtas valdyti naujinimų diegimą per systemd-sysupdate, galimybė paleisti paslaugas atskirose PID vardų erdvėse, apsauga nuo atsitiktinio failų ištrynimo naudojant „systemd-tmpfiles —purge“.

Tarp naujojo leidimo pakeitimų:

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd.
  • Pridėta nauja programa systemd-keyutil, kuri įgyvendina įvairias operacijas su privačiais raktais ir X.509 sertifikatais. Pavyzdžiui, systemd-keyutil galima naudoti norint išbandyti galimybę įkelti privačius raktus ir sertifikatus bei išgauti iš jų viešuosius raktus PEM formatu.
  • „.socket“ blokuose, naudojamuose lizdo aktyvinimo mechanizmo veikimui užtikrinti (procesų paleidimui bandant užmegzti tinklo ryšį), įdiegtas MPTCP (Multipath TCP) palaikymas – TCP protokolo plėtinys, skirtas organizuoti TCP ryšio veikimą, vienu metu pristatant paketus keliais maršrutais per skirtingas tinklo sąsajas, susietas su skirtingomis. Mano IP adresas.
  • Apima pakeitimus, būtinus sukurti naudojant standartinę Musl C biblioteką.
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • Komponento systemd-sysupdate galimybės buvo išplėstos, naudojamos automatiškai aptikti, atsisiųsti ir įdiegti naujinimus naudojant atominį skaidinių, failų ar katalogų pakeitimo mechanizmą (naudojami du nepriklausomi skaidiniai / failai / katalogai, viename iš kurių yra dabartinis darbinis išteklius, o kitas įdiegia kitą) naujinimą, po kurio skiltys/failai/katalogai keičiami). Praktiškai systemd-sysupdate jau naudojamas GNOME OS.

    Be systemd-sysupdate proceso, buvo pridėta to paties pavadinimo paslauga, leidžianti D-Bus valdyti sistemos naujinimus neprivilegijuotam vartotojui. Norėdami valdyti paslaugą, taip pat įtraukta nauja „updactl“ programa. Prie systemd-sysupdate pridėta žyma „--offline“, kad būtų išjungtas metaduomenų atsisiuntimas tinkle ir būtų naudojamos tik tos versijos, kurios jau atsisiųstos į vietinę sistemą. Pridėtas visų komandų išvesties palaikymas JSON formatu.

  • Paslaugoms įdiegta nauja nuosavybė „PrivatePIDs“, su kuria galite organizuoti procesų su PID 1 paleidimą (init process) atskiroje proceso identifikatorių erdvėje (PID vardų erdvėje). Paleidžiamam procesui sukurtoje aplinkoje bus matomi tik procesai iš jam sukurtos vardų srities.
  • Pridėtas udev taisyklių atitikmenų, kuriuose neskiriamos didžiosios ir mažosios raidės, palaikymas (pvz., „ATTR{foo}==i»abcd»). Naudojant udev, neprivilegijuotiems vietiniams vartotojams galima suteikti prieigą („uaccess“) prie /dev/udmabuf įrenginio, kuris reikalingas dirbant su IPMI kameromis per libcamera. udev suteikia įvairių aparatinės įrangos kriptovaliutų piniginių atpažinimą su USB sąsaja ir nustato joms ID_HARDWARE_WALLET ypatybę, kuri leidžia joms pritaikyti „uaccess“ režimą, kad galėtų pasiekti neprivilegijuoti vartotojai.
  • Nauji laukai RELEASE_TYPE, EXPERIMENT ir EXPERIMENT_URL buvo įtraukti į failą /etc/os-release. „RELEASE_TYPE“ gali naudoti reikšmes „experimental“, „development“, „stable“ ir „lts“, kad atskirtų stabilias versijas nuo kūrimo ir eksperimentinių versijų. Parametrai EXPERIMENT ir EXPERIMENT_URL skirti paaiškinti eksperimentinio kūrimo esmę.
  • Run0 programa, sukurta kaip sudo programos pakaitalas, pridėjo parinktį „--shell-prompt-prefix“, kuri nurodo komandų apvalkalo eilutės priešdėlio eilutę. Pagal numatytuosius nustatymus jaustukas „🦸“ rodomas kaip priešdėlis, skirtas vizualiai paryškinti padidintą seansą.
  • Sistemoje systemd-tmpfiles, kad būtų išvengta netyčinio netinkamų failų ištrynimo, parinktis „--purge“ dabar taikoma tik tmpfiles.d/ nustatymams, kuriuose yra aiškiai nustatyta vėliavėlė „$“. „--purge“ operacijai dabar taip pat reikia nurodyti bent vieną failą iš katalogo tmpfiles.d/. „L“ tipo eilutėms buvo pridėta vėliavėlė „?“, kai bus nurodyta, simbolinė nuoroda bus sukurta tik tuo atveju, jei yra tikslinis failas.
  • Paslaugų tvarkyklėje ir susijusiose paslaugų programose proceso stebėjimo kodas ir toliau konvertuojamas į PIDFD, o ne PID. PIDFD yra susietas su konkrečiu procesu ir nesikeičia, o PID gali būti susietas su kitu procesu pasibaigus dabartiniam procesui, susietam su tuo PID.
  • Dabar paslaugoms parametre „RestartMode“ galima nurodyti reikšmę „debug“, kurioje nepavykusi paslauga bus paleista iš naujo su įjungtu derinimo režimu (nustatytas aplinkos kintamasis DEBUG_INVOCATION=1), o LogLevelMax reikšmė bus laikinai pakeltas į derinimo lygį.
  • PID 1 tvarkytojas turi galimybę įkelti IPE (Integrity Policy Enforcement) LSM modulio taisykles, kurios apibrėžia visos sistemos vientisumo politiką (kurios operacijos leidžiamos ir kaip turi būti tikrinamas komponentų autentiškumas).
  • Parinktis „DeferReactivation“ buvo pridėta prie „.timer“ vieneto failų, leidžiančių praleisti kitą laikmačio aktyvavimą, jei paslauga dar nebaigta vykdyti nuo paskutinio aktyvinimo.
  • „PrivateUsers“ vieneto failo parametre dabar galima nurodyti „identity“ reikšmę, kad kuriant vartotojo vardų erdvę būtų galima susieti vartotojo ID.
  • Pridėtas „atjungtos“ vertės palaikymas „PrivateTmp“ vieneto failo parametre, kuris naudos atskirus tmpfs egzempliorius /tmp/ ir /var/tmp/ katalogams.
  • Prie ProtectControlGroups vieneto failo parametro buvo pridėtas naujų „privačių“ ir „griežtų“ režimų palaikymas, kai nustatyta, paslaugai sukuriama nauja cgroup vardų erdvė ir prijungiamas cgroupfs. Nustačius parinktį „griežtas“, cgroupfs montuojamas tik skaitymo režimu.
  • Parametrai „StateDirectory“, „RuntimeDirectory“, „CacheDirectory“, „LogsDirectory“ ir „ConfigurationDirectory“ suteikia galimybę naudoti žymą „:ro“, kad apribotų prieigą prie atitinkamų katalogų tik skaitymo režimu.
  • Pridėtas „firmware“ vertės palaikymas prie „systemd.machine_id“ branduolio komandų eilutės parametro, kuriame sistemos identifikatorius (mašinos ID) bus apskaičiuojamas pagal UUID iš SMBIOS/DeviceTree.
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • Resolectl, timedatectl ir systemd-inhibit paslaugų programos dabar palaiko interaktyvų autorizavimą naudojant Polkit.
  • Pridėta galimybė naudoti „--now“ vėliavėlę komandoje „reenable“ į „systemctl“ programą.
  • Prie systemd-mount paslaugų programos pridėta parinktis „--json“, kad būtų galima išvesti JSON formatu (pavyzdžiui, kai nurodyta kartu su „--list-devices“, įrenginių sąrašas bus išvestas JSON formatu).
  • Prie programos „localectl“ pridėtos parinktys „-l“ ir „--full“, kad būtų išjungtas ilgų eilučių apkarpymas išvesties metu.
  • Prie sleep.conf buvo pridėta parinktis HibernateOnACPower, kuri leidžia atidėti perjungimą į miego režimą, kol įrenginys bus atjungtas nuo stacionaraus maitinimo šaltinio.
  • Systemd-sysusers prie „u“ eilučių buvo pridėtas modifikatoriaus „!“ palaikymas, su kuriuo galite sukurti visiškai užrakintas vartotojų paskyras (anksčiau vartotojui blokuoti buvo naudojamas neteisingas slaptažodžio nustatymas, o tai, pvz. nesukėlė blokavimo atliekant rakto autentifikavimą SSH).
  • „Systemd-coredump“ prideda parinktį „EnterNamespace“, kuri suteikia prieigą prie bet kokių sugedusių procesų prijungimo taško erdvės, kad būtų galima gauti jų derinimo simbolius. Praktiškai ši parinktis gali būti naudinga organizuojant pagrindinių failų atsekimą iš atskiruose konteineriuose veikiančių programų.
  • systemd-logind apima kombinacijos Ctrl-Alt-Shift-Esc apdorojimą, kad org.freedesktop.login1.SecureAttentionKey signalas būtų išsiųstas vartotojo aplinkos komponentams su užklausa rodyti saugaus prisijungimo dialogo langą. Įdiegtas nustatymas „DesignatedMaintenanceTime“, kad būtų automatiškai suplanuotas darbas, kuris bus baigtas nurodytu laiku. Pagal analogiją su DRM ir evdev įrenginių palaikymu, buvo pridėtas palaikymas, skirtas konfigūruoti neprivilegijuotų vartotojų prieigą prie paslėptų įrenginių (žaidimų valdiklių ir vairasvirčių).
  • „systemd-machined“ dabar palaiko neprivilegijuotų klientų prisijungimus. virtualios mašinos ir konteinerius. Prieiga prie „systemd“ sukurtų funkcijų teikiama per „Varlink“ API, be „D-Bus“.
  • Į networkd.conf konfigūracijos failą buvo įtraukta nauja sekcija „[IPv6AddressLabel]“, skirta sukonfigūruoti IPv6 adresų etiketes ir priešdėlius
  • Prie komandos „networkctl edit“ pridėta parinktis „--stdin“, kad failo turinys būtų gautas iš standartinio srauto. Pridėtas .netdev failų redagavimo ir rodymo palaikymas, nurodant tinklo sąsają komandoms „networkctl edit“ ir „networkctl cat“. Pridėta parinktis „--no-ask-password“, kad būtų išjungtas interaktyvus autorizavimas.
  • Prie paslaugų ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart ir systemd-sbsign pridėta parinktis „--certificate-source“, kad X.509 sertifikatas būtų įkeltas per OpenSSL teikėją, o ne tiesiogiai įkeliant iš failą.
  • systemd-boot prideda galimybę naudoti garsumo mygtukus norint judėti aukštyn ir žemyn įkrovos meniu, o tai gali būti naudinga įrenginiuose, pvz., išmaniuosiuose telefonuose. Prie programos bootctl buvo pridėtas palaikymas UEFI saugaus įkrovos duomenų bazės diegimui ESL(db/dbx/…) formatu, skirtas systemd-boot.
  • Prie journalctl pridėta parinktis „--list-invocation“, kad būtų rodomas vienetų iškvietimų sąrašas, ir parinktis „--invocation“ („-I“), kad būtų rodomi žurnalai, susieti tik su konkrečiu iškvietimu.
  • systemd-nspawn prideda palaikymą neprivilegijuotam FUSE (Failų sistema vartotojo erdvėje) naudojimui konteineriuose. Naudojant parinktį „--bind-user“, vartotojo SSH raktai, reikalingi prieigai per SSH, persiunčiami į konteinerį.
  • libsystemd pridėjo naują programavimo sąsają „sd-json“, kuri naudoja JSON formatą, taip pat sąsają „sd-varlink“, kuri naudoja IPC Varlink.
  • Rekomenduojama bazinio branduolio versija buvo atnaujinta iki 5.4 versijos, sukurtos 2019 m. Kitais metais jie planuoja nustoti palaikyti senesnius branduolius ir pažymėti 5.4 leidimą kaip mažiausią palaikomą bazinę versiją.
  • cgroups v1 palaikymas buvo pasenęs ir pagal numatytuosius nustatymus yra išjungtas (norėdami jį įjungti, branduolio komandų eilutėje turite nurodyti SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1, ne tik įgalinti jį sistemos nustatymuose). Kitame Systemd 258 leidime planuojama visiškai pašalinti su cgroups v1 susijusį kodą. „Systemd“ 258 versija taip pat pašalins „System V“ paslaugų scenarijų palaikymą.

Šaltinis: opennet.ru

Pirkite patikimą prieglobą svetainėms su DDoS apsauga, VPS VDS serveriais 🔥 Įsigykite patikimą svetainių talpinimą su DDoS apsauga, VPS VDS serveriais | ProHoster