PÄc piecu mÄneÅ”u izstrÄdes tika prezentÄts sistÄmas pÄrvaldnieka izlaidums systemd 250 Jaunais laidiens ieviesa iespÄju saglabÄt akreditÄcijas datus Å”ifrÄtÄ veidÄ, ieviesa automÄtiski noteikto GPT nodalÄ«jumu pÄrbaudi, izmantojot digitÄlo parakstu, uzlaboja informÄciju par aizkaves cÄloÅiem. palaiÅ”anas pakalpojumi un pievienotÄs iespÄjas ierobežot pakalpojumu piekļuvi noteiktÄm failu sistÄmÄm un tÄ«kla saskarnÄm, tiek nodroÅ”inÄts atbalsts nodalÄ«juma integritÄtes uzraudzÄ«bai, izmantojot dm integritÄtes moduli, un tiek pievienots atbalsts sd-boot automÄtiskajai atjauninÄÅ”anai.
GalvenÄs izmaiÅas:
- Pievienots atbalsts Å”ifrÄtiem un autentificÄtiem akreditÄcijas datiem, kas var bÅ«t noderÄ«gi, lai droÅ”i glabÄtu sensitÄ«vus materiÄlus, piemÄram, SSL atslÄgas un piekļuves paroles. AkreditÄcijas datu atÅ”ifrÄÅ”ana tiek veikta tikai nepiecieÅ”amÄ«bas gadÄ«jumÄ un saistÄ«bÄ ar vietÄjo instalÄciju vai aprÄ«kojumu. Dati tiek Å”ifrÄti automÄtiski, izmantojot simetriskus Å”ifrÄÅ”anas algoritmus, kuru atslÄga var atrasties failu sistÄmÄ, TPM2 mikroshÄmÄ vai izmantojot kombinÄcijas shÄmu. Kad pakalpojums tiek startÄts, akreditÄcijas dati tiek automÄtiski atÅ”ifrÄti un kļūst pieejami pakalpojumam tÄ parastajÄ formÄ. Lai strÄdÄtu ar Å”ifrÄtiem akreditÄcijas datiem, ir pievienota utilÄ«ta āsystemd-credsā, un pakalpojumiem ir piedÄvÄti iestatÄ«jumi LoadCredentialEncrypted un SetCredentialEncrypted.
- sd-stub, EFI izpildÄmais fails, kas ļauj EFI programmaparatÅ«rai ielÄdÄt Linux kodolu, tagad atbalsta kodola sÄknÄÅ”anu, izmantojot LINUX_EFI_INITRD_MEDIA_GUID EFI protokolu. Sd-stub ir pievienota arÄ« iespÄja iepakot akreditÄcijas datus un sysext failus cpio arhÄ«vÄ un pÄrsÅ«tÄ«t Å”o arhÄ«vu uz kodolu kopÄ ar initrd (papildu faili tiek ievietoti /.extra/ direktorijÄ). Å Ä« funkcija ļauj izmantot pÄrbaudÄmu nemainÄmu initrd vidi, ko papildina syseksti un Å”ifrÄti autentifikÄcijas dati.
- AtklÄjamo nodalÄ«jumu specifikÄcija ir ievÄrojami paplaÅ”inÄta, nodroÅ”inot rÄ«kus sistÄmas nodalÄ«jumu identificÄÅ”anai, montÄžai un aktivizÄÅ”anai, izmantojot GPT (GUID nodalÄ«jumu tabulas). SalÄ«dzinot ar iepriekÅ”Äjiem laidieniem, specifikÄcija tagad atbalsta saknes nodalÄ«jumu un /usr nodalÄ«jumu lielÄkajai daļai arhitektÅ«ru, tostarp platformÄm, kurÄs netiek izmantots UEFI.
AtklÄjamÄs starpsienas arÄ« pievieno atbalstu nodalÄ«jumiem, kuru integritÄti pÄrbauda dm-verity modulis, izmantojot PKCS#7 ciparparakstus, tÄdÄjÄdi atvieglojot pilnÄ«bÄ autentificÄtu diska attÄlu izveidi. VerifikÄcijas atbalsts ir integrÄts dažÄdÄs utilÄ«tprogrammÄs, kas manipulÄ ar diska attÄliem, tostarp systemd-nspawn, systemd-sysext, systemd-dissect, RootImage pakalpojumiem, systemd-tmpfiles un systemd-sysusers.
- IekÄrtÄm, kuru palaiÅ”ana vai apstÄdinÄÅ”ana prasa ilgu laiku, papildus animÄtas progresa joslas parÄdÄ«Å”anai ir iespÄjams parÄdÄ«t statusa informÄciju, kas ļauj saprast, kas tieÅ”i Å”obrÄ«d notiek ar pakalpojumu un kurÅ” pakalpojums ir sistÄmas pÄrvaldnieks. paÅ”laik gaida pabeigÅ”anu.
- Pievienots DefaultOOMScoreAdjust parametrs failiem /etc/systemd/system.conf un /etc/systemd/user.conf, kas ļauj pielÄgot OOM-killer slieksni mazai atmiÅai, kas attiecas uz procesiem, kurus systemd sÄk sistÄmai un lietotÄjiem. PÄc noklusÄjuma sistÄmas pakalpojumu svars ir lielÄks nekÄ lietotÄju pakalpojumiem, t.i. Ja nav pietiekami daudz atmiÅas, lietotÄju pakalpojumu pÄrtraukÅ”anas iespÄjamÄ«ba ir lielÄka nekÄ sistÄmas pakalpojumu pÄrtraukÅ”anas iespÄjamÄ«ba.
- Pievienots iestatÄ«jums RestrictFileSystems, kas ļauj ierobežot pakalpojumu piekļuvi noteikta veida failu sistÄmÄm. Lai skatÄ«tu pieejamos failu sistÄmu tipus, varat izmantot komandu āsystemd-analyze filesystemsā. PÄc analoÄ£ijas ir ieviesta opcija RestrictNetworkInterfaces, kas ļauj ierobežot piekļuvi noteiktÄm tÄ«kla saskarnÄm. IevieÅ”ana ir balstÄ«ta uz BPF LSM moduli, kas ierobežo procesu grupas piekļuvi kodola objektiem.
- Pievienots jauns /etc/integritytab konfigurÄcijas fails un systemd-integritysetup utilÄ«ta, kas konfigurÄ dm-integritÄtes moduli, lai kontrolÄtu datu integritÄti sektora lÄ«menÄ«, piemÄram, lai garantÄtu Å”ifrÄtu datu nemainÄ«gumu (Authenticated Encryption, nodroÅ”ina, ka datu blokam ir nav mainÄ«ts apļveida ceļÄ). Faila /etc/integritytab formÄts ir lÄ«dzÄ«gs failiem /etc/crypttab un /etc/veritytab, izÅemot to, ka dm-crypt un dm-verity vietÄ tiek izmantots dm-integrity.
- Ir pievienots jauns vienÄ«bas fails systemd-boot-update.service, kad tas ir aktivizÄts un ir instalÄts sd-boot bootloader, systemd automÄtiski atjauninÄs sd-boot bootloader versiju, uzturot bootloader kodu vienmÄr atjauninÄtu. Pats sd-boot tagad pÄc noklusÄjuma ir izveidots ar SBAT (UEFI Secure Boot Advanced Targeting) mehÄnisma atbalstu, kas atrisina problÄmas, kas saistÄ«tas ar UEFI Secure Boot sertifikÄta atsaukÅ”anu. TurklÄt sd-boot nodroÅ”ina iespÄju parsÄt Microsoft Windows sÄknÄÅ”anas iestatÄ«jumus, lai pareizi Ä£enerÄtu sÄknÄÅ”anas nodalÄ«jumu nosaukumus sistÄmÄ Windows un parÄdÄ«tu Windows versiju.
sd-boot nodroÅ”ina arÄ« iespÄju definÄt krÄsu shÄmu izveides laikÄ. SÄknÄÅ”anas procesa laikÄ tika pievienots atbalsts ekrÄna izŔķirtspÄjas maiÅai, nospiežot taustiÅu ārā. Pievienots karstais taustiÅÅ” āfā, lai pÄrietu uz programmaparatÅ«ras konfigurÄcijas saskarni. Pievienots režīms, lai automÄtiski palaistu sistÄmu, kas atbilst pÄdÄjÄs sÄknÄÅ”anas laikÄ atlasÄ«tajam izvÄlnes vienumam. Pievienota iespÄja automÄtiski ielÄdÄt EFI draiverus, kas atrodas /EFI/systemd/drivers/ direktorijÄ ESP (EFI System Partition) sadaļÄ.
- Ir iekļauts jauns vienÄ«bas fails factory-reset.target, kas tiek apstrÄdÄts sistÄmÄ systemd-logind lÄ«dzÄ«gi kÄ atsÄknÄÅ”anas, izslÄgÅ”anas, apturÄÅ”anas un hibernÄcijas operÄcijÄm, un tiek izmantots, lai izveidotu apstrÄdÄtÄjus rÅ«pnÄ«cas atiestatÄ«Å”anai.
- SistÄmas atrisinÄtais process tagad izveido papildu klausÄ«Å”anÄs ligzdu 127.0.0.54 papildus 127.0.0.53. PieprasÄ«jumi, kas tiek saÅemti uz 127.0.0.54, vienmÄr tiek novirzÄ«ti uz augÅ”upÄjo DNS serveri un netiek apstrÄdÄti lokÄli.
- NodroÅ”ina iespÄju izveidot systemd-importd un systemd-resolved, izmantojot OpenSSL bibliotÄku, nevis libgcrypt.
- Pievienots sÄkotnÄjais atbalsts LoongArch arhitektÅ«rai, ko izmanto Loongson procesoros.
- systemd-gpt-auto-generator nodroÅ”ina iespÄju automÄtiski konfigurÄt sistÄmas definÄtus mijmaiÅas nodalÄ«jumus, ko Å”ifrÄjusi LUKS2 apakÅ”sistÄma.
- GPT attÄla parsÄÅ”anas kods, ko izmanto systemd-nspawn, systemd-dissect un lÄ«dzÄ«gÄs utilÄ«tprogrammÄs, nodroÅ”ina iespÄju atÅ”ifrÄt attÄlus citÄm arhitektÅ«rÄm, ļaujot systemd-nspawn izmantot attÄlu palaiÅ”anai citu arhitektÅ«ru emulatoros.
- PÄrbaudot diska attÄlus, systemd-dissect tagad parÄda informÄciju par nodalÄ«juma mÄrÄ·i, piemÄram, piemÄrotÄ«bu sÄknÄÅ”anai, izmantojot UEFI, vai darbÄ«bu konteinerÄ.
- Failiem system-extension.d/ ir pievienots lauks āSYSEXT_SCOPEā, kas ļauj norÄdÄ«t sistÄmas attÄla apjomu ā āinitrdā, āsystemā vai āportableā.
- OS-release failam ir pievienots lauks āPORTABLE_PREFIXESā, ko var izmantot pÄrnÄsÄjamos attÄlos, lai noteiktu atbalstÄ«tos vienÄ«bas faila prefiksus.
- systemd-logind ievieÅ” jaunus iestatÄ«jumus HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress un HandleHibernateKeyLongPress, ko var izmantot, lai noteiktu, kas notiek, ja daži taustiÅi tiek turÄti nospiesti ilgÄk par 5 sekundÄm (piemÄram, nospiežot taustiÅu, lai Ätri pÄrietu gaidstÄves režīmÄ , un, turot nospiestu, tas aizmigs) .
- VienÄ«bÄm ir ieviesti iestatÄ«jumi StartupAllowedCPUs un StartupAllowedMemoryNodes, kas atŔķiras no lÄ«dzÄ«giem iestatÄ«jumiem bez Startup prefiksa ar to, ka tiek lietoti tikai sÄknÄÅ”anas un izslÄgÅ”anas stadijÄ, kas ļauj iestatÄ«t citus resursu ierobežojumus sÄknÄÅ”anas laikÄ.
- Pievienotas [Condition|Assert][Memory|CPU|IO]Spiediena pÄrbaudes, kas ļauj izlaist vai neizdodas ierÄ«ces aktivizÄÅ”anu, ja PSI mehÄnisms konstatÄ lielu sistÄmas atmiÅas, CPU un I/O slodzi.
- NoklusÄjuma maksimÄlais inode ierobežojums ir palielinÄts /dev nodalÄ«jumam no 64k uz 1M un /tmp nodalÄ«jumam no 400k uz 1M.
- Pakalpojumiem ir piedÄvÄts ExecSearchPath iestatÄ«jums, kas ļauj mainÄ«t izpildÄmo failu meklÄÅ”anas ceļu, kas palaists, izmantojot tÄdus iestatÄ«jumus kÄ ExecStart.
- Pievienots RuntimeRandomizedExtraSec iestatÄ«jums, kas ļauj ieviest nejauÅ”as novirzes RuntimeMaxSec taimautÄ, kas ierobežo vienÄ«bas izpildes laiku.
- PaplaÅ”inÄta RuntimeDirectory, StateDirectory, CacheDirectory un LogsDirectory uzstÄdÄ«jumu sintakse, kurÄ, norÄdot ar kolu atdalÄ«tu papildu vÄrtÄ«bu, tagad var organizÄt simboliskas saites izveidi uz doto direktoriju piekļuves organizÄÅ”anai pa vairÄkiem ceļiem.
- Pakalpojumiem tiek piedÄvÄti TTYRows un TTYColumns iestatÄ«jumi, lai iestatÄ«tu rindu un kolonnu skaitu TTY ierÄ«cÄ.
- Pievienots ExitType iestatÄ«jums, kas ļauj mainÄ«t pakalpojuma beigu noteikÅ”anas loÄ£iku. PÄc noklusÄjuma systemd uzrauga tikai galvenÄ procesa nÄvi, bet, ja ir iestatÄ«ts ExitType=cgroup, sistÄmas pÄrvaldnieks gaidÄ«s, lÄ«dz cgroup pÄdÄjais process tiks pabeigts.
- Systemd-cryptsetup TPM2/FIDO2/PKCS11 atbalsta ievieÅ”ana tagad ir izveidota arÄ« kÄ kriptojuma iestatÄ«Å”anas spraudnis, kas ļauj izmantot parasto cryptsetup komandu, lai atbloÄ·Ätu Å”ifrÄtu nodalÄ«jumu.
- TPM2 apdarinÄtÄjs systemd-cryptsetup/systemd-cryptsetup papildina atbalstu RSA primÄrajÄm atslÄgÄm papildus ECC atslÄgÄm, lai uzlabotu saderÄ«bu ar mikroshÄmÄm, kas nav ECC.
- MarÄ·iera taimauta opcija ir pievienota failam /etc/crypttab, kas ļauj definÄt maksimÄlo laiku, kas jÄgaida PKCS#11/FIDO2 marÄ·iera savienojuma izveidei, pÄc kura jums tiks piedÄvÄts ievadÄ«t paroli vai atkopÅ”anas atslÄgu.
- systemd-timesyncd ievieÅ” SaveIntervalSec iestatÄ«jumu, kas ļauj periodiski saglabÄt paÅ”reizÄjo sistÄmas laiku diskÄ, piemÄram, lai ieviestu monotonu pulksteni sistÄmÄs bez RTC.
- Systemd-analyze utilÄ«tai ir pievienotas opcijas: ā--imageā un ā--rootā, lai pÄrbaudÄ«tu vienÄ«bas failus noteiktÄ attÄla vai saknes direktorijÄ, ā--recursive-errorsā, lai kļūdas gadÄ«jumÄ Åemtu vÄrÄ atkarÄ«gÄs vienÄ«bas. tiek atklÄts, ā--offlineā, lai pÄrbaudÄ«tu atseviŔķi diskÄ saglabÄtos vienÄ«bas failus, ā-jsonā izvadei JSON formÄtÄ, ā-quietā, lai atspÄjotu nesvarÄ«gus ziÅojumus, ā-profileā, lai saistÄ«tu ar portatÄ«vo profilu. Ir pievienota arÄ« komanda inspect-elf, lai analizÄtu galvenos failus ELF formÄtÄ, kÄ arÄ« iespÄja pÄrbaudÄ«t vienÄ«bas failus ar noteiktu vienÄ«bas nosaukumu neatkarÄ«gi no tÄ, vai Å”is nosaukums atbilst faila nosaukumam.
- systemd-networkd ir paplaÅ”inÄjis kontroliera apgabala tÄ«kla (CAN) kopnes atbalstu. Pievienoti iestatÄ«jumi, lai kontrolÄtu CAN režīmus: Loopback, OneShot, PresumeAck un ClassicDataLengthCode. Pievienots Timequantansec, PopAgationSegment, Phasebuffersegment1, Phasebuffersegment2, SyncJumpWidth, Datatimequantansec, DataPropagationSegment, DataPaphaseBuffersegment1, DataPaphaseBuffersegment2 un DataSyncJumpWidth opcy Can Han Hancoal Can han.
- Systemd-networkd ir pievienojis opciju Label DHCPv4 klientam, kas ļauj konfigurÄt adreses etiÄ·eti, ko izmanto, konfigurÄjot IPv4 adreses.
- systemd-udevd priekÅ” "ethtool" ievieÅ” atbalstu Ä«paÅ”Äm "maksimÄlajÄm" vÄrtÄ«bÄm, kas iestata bufera lielumu lÄ«dz maksimÄlajai vÄrtÄ«bai, ko atbalsta aparatÅ«ra.
- Systemd-udevd .link failos tagad varat konfigurÄt dažÄdus parametrus tÄ«kla adapteru apvienoÅ”anai un aparatÅ«ras apdarinÄtÄju savienoÅ”anai (izkrauÅ”anai).
- systemd-networkd pÄc noklusÄjuma piedÄvÄ jaunus .network failus: 80-container-vb.network, lai definÄtu tÄ«kla tiltus, kas izveidoti, palaižot systemd-nspawn ar opcijÄm ā--network-bridgeā vai ā--network-zoneā; 80-6rd-tunnel.network, lai definÄtu tuneļus, kas tiek automÄtiski izveidoti, saÅemot DHCP atbildi ar opciju 6RD.
- Systemd-networkd un systemd-udevd ir pievienojuÅ”i atbalstu IP pÄrsÅ«tÄ«Å”anai, izmantojot InfiniBand saskarnes, kurÄm systemd.netdev failiem ir pievienota sadaļa ā[IPoIB]ā, un āipoibā vÄrtÄ«bas apstrÄde ir ieviesta programmÄ Kind. iestatÄ«jumu.
- systemd-networkd nodroÅ”ina automÄtisku marÅ”ruta konfigurÄciju adresÄm, kas norÄdÄ«tas parametrÄ AllowedIPs, kuras var konfigurÄt, izmantojot RouteTable un RouteMetric parametrus sadaļÄs [WireGuard] un [WireGuardPeer].
- systemd-networkd nodroÅ”ina automÄtisku nemainÄmu MAC adreÅ”u Ä£enerÄÅ”anu batadv un tilta saskarnÄm. Lai atspÄjotu Å”o darbÄ«bu, .netdev failos varat norÄdÄ«t MACAddress=none.
- IestatÄ«jums WakeOnLanPassword ir pievienots .link failiem sadaÄ¼Ä ā[Link]ā, lai noteiktu paroli, kad WoL darbojas āSecureOnā režīmÄ.
- Pievienoti AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO un UseRawPacketSize iestatÄ«jumi .network failu sadaļai ā[CAKE]ā, lai definÄtu CAKE (Common Enhqueu Applications) tÄ«kla pÄrvaldÄ«bas mehÄnisma parametrus. .
- Pievienots iestatÄ«jums IgnoreCarrierLoss .tÄ«kla failu sadaļai "[TÄ«kls]", kas ļauj noteikt, cik ilgi jÄgaida, pirms reaÄ£Äjat uz nesÄja signÄla zudumu.
- Systemd-nspawn, homectl, machinectl un systemd-run ir paplaÅ”inÄjuÅ”i parametra "--setenv" sintaksi - ja ir norÄdÄ«ts tikai mainÄ«gÄ nosaukums (bez "="), vÄrtÄ«ba tiks Åemta no atbilstoÅ”Ä vides mainÄ«gÄ (par piemÄram, norÄdot "--setenv=FOO", vÄrtÄ«ba tiks Åemta no $FOO vides mainÄ«gÄ un izmantota konteinerÄ iestatÄ«tajÄ vides mainÄ«gajÄ ar tÄdu paÅ”u nosaukumu).
- systemd-nspawn ir pievienojis opciju "--suppress-sync", lai atspÄjotu sync()/fsync()/fdatasync() sistÄmas izsaukumus, veidojot konteineru (noder, ja Ätrums ir prioritÄte un bÅ«vÄÅ”anas artefaktu saglabÄÅ”ana kļūmes gadÄ«jumÄ nav svarÄ«gi, jo tos jebkurÄ laikÄ var izveidot no jauna).
- Pievienota jauna hwdb datu bÄze, kurÄ iekļauti dažÄda veida signÄlu analizatori (multimetri, protokolu analizatori, osciloskopi u.c.). InformÄcija par kamerÄm hwdb ir paplaÅ”inÄta ar lauku ar informÄciju par kameras veidu (parastais vai infrasarkanais) un objektÄ«va izvietojumu (priekÅ”ÄjÄ vai aizmugurÄjÄ).
- IespÄjota nemainÄ«gu tÄ«kla interfeisa nosaukumu Ä£enerÄÅ”ana tÄ«kla priekÅ”puses ierÄ«cÄm, ko izmanto Xen.
- PamatdatÅu analÄ«ze, ko veic utilÄ«ta systemd-coredump, pamatojoties uz bibliotÄkÄm libdw/libelf, tagad tiek veikta atseviÅ”Ä·Ä procesÄ, kas ir izolÄts smilÅ”kastes vidÄ.
- systemd-importd ir pievienojis atbalstu vides mainÄ«gajiem $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, ar kuru palÄ«dzÄ«bu var atspÄjot Btrfs apakÅ”nodaļu Ä£enerÄÅ”anu, kÄ arÄ« konfigurÄt kvotas un diska sinhronizÄciju.
- ProgrammÄ systemd-journald failu sistÄmÄs, kas atbalsta kopÄÅ”anas un rakstÄ«Å”anas režīmu, COW režīms tiek atkÄrtoti iespÄjots arhivÄtiem žurnÄliem, ļaujot tos saspiest, izmantojot Btrfs.
- systemd-journald ievieÅ” identisku lauku dedublikÄciju vienÄ ziÅojumÄ, kas tiek veikta posmÄ pirms ziÅojuma ievietoÅ”anas žurnÄlÄ.
- IzslÄgÅ”anas komandai pievienota opcija "--show", lai parÄdÄ«tu plÄnoto izslÄgÅ”anu.
Avots: opennet.ru