ProHoster > Blogs > interneta ziņas > systemd sistēmas pārvaldnieka laidiens 250

systemd sistēmas pārvaldnieka laidiens 250

Pēc piecu mēneÅ”u izstrādes tika prezentēts sistēmas pārvaldnieka izlaidums systemd 250 Jaunais laidiens ieviesa iespēju saglabāt akreditācijas datus Å”ifrētā veidā, ieviesa automātiski noteikto GPT nodalÄ«jumu pārbaudi, izmantojot digitālo parakstu, uzlaboja informāciju par aizkaves cēloņiem. palaiÅ”anas pakalpojumi un pievienotās iespējas ierobežot pakalpojumu piekļuvi noteiktām failu sistēmām un tÄ«kla saskarnēm, tiek nodroÅ”ināts atbalsts nodalÄ«juma integritātes uzraudzÄ«bai, izmantojot dm integritātes moduli, un tiek pievienots atbalsts sd-boot automātiskajai atjaunināŔanai.

Galvenās izmaiņas:

  • Pievienots atbalsts Å”ifrētiem un autentificētiem akreditācijas datiem, kas var bÅ«t noderÄ«gi, lai droÅ”i glabātu sensitÄ«vus materiālus, piemēram, SSL atslēgas un piekļuves paroles. Akreditācijas datu atÅ”ifrÄ“Å”ana tiek veikta tikai nepiecieÅ”amÄ«bas gadÄ«jumā un saistÄ«bā ar vietējo instalāciju vai aprÄ«kojumu. Dati tiek Å”ifrēti automātiski, izmantojot simetriskus Å”ifrÄ“Å”anas algoritmus, kuru atslēga var atrasties failu sistēmā, TPM2 mikroshēmā vai izmantojot kombinācijas shēmu. Kad pakalpojums tiek startēts, akreditācijas dati tiek automātiski atÅ”ifrēti un kļūst pieejami pakalpojumam tā parastajā formā. Lai strādātu ar Å”ifrētiem akreditācijas datiem, ir pievienota utilÄ«ta ā€œsystemd-credsā€, un pakalpojumiem ir piedāvāti iestatÄ«jumi LoadCredentialEncrypted un SetCredentialEncrypted.
  • sd-stub, EFI izpildāmais fails, kas ļauj EFI programmaparatÅ«rai ielādēt Linux kodolu, tagad atbalsta kodola sāknÄ“Å”anu, izmantojot LINUX_EFI_INITRD_MEDIA_GUID EFI protokolu. Sd-stub ir pievienota arÄ« iespēja iepakot akreditācijas datus un sysext failus cpio arhÄ«vā un pārsÅ«tÄ«t Å”o arhÄ«vu uz kodolu kopā ar initrd (papildu faili tiek ievietoti /.extra/ direktorijā). Å Ä« funkcija ļauj izmantot pārbaudāmu nemaināmu initrd vidi, ko papildina syseksti un Å”ifrēti autentifikācijas dati.
  • Atklājamo nodalÄ«jumu specifikācija ir ievērojami paplaÅ”ināta, nodroÅ”inot rÄ«kus sistēmas nodalÄ«jumu identificÄ“Å”anai, montāžai un aktivizÄ“Å”anai, izmantojot GPT (GUID nodalÄ«jumu tabulas). SalÄ«dzinot ar iepriekŔējiem laidieniem, specifikācija tagad atbalsta saknes nodalÄ«jumu un /usr nodalÄ«jumu lielākajai daļai arhitektÅ«ru, tostarp platformām, kurās netiek izmantots UEFI.

    Atklājamās starpsienas arī pievieno atbalstu nodalījumiem, kuru integritāti pārbauda dm-verity modulis, izmantojot PKCS#7 ciparparakstus, tādējādi atvieglojot pilnībā autentificētu diska attēlu izveidi. Verifikācijas atbalsts ir integrēts dažādās utilītprogrammās, kas manipulē ar diska attēliem, tostarp systemd-nspawn, systemd-sysext, systemd-dissect, RootImage pakalpojumiem, systemd-tmpfiles un systemd-sysusers.

  • Iekārtām, kuru palaiÅ”ana vai apstādināŔana prasa ilgu laiku, papildus animētas progresa joslas parādÄ«Å”anai ir iespējams parādÄ«t statusa informāciju, kas ļauj saprast, kas tieÅ”i Å”obrÄ«d notiek ar pakalpojumu un kurÅ” pakalpojums ir sistēmas pārvaldnieks. paÅ”laik gaida pabeigÅ”anu.
  • Pievienots DefaultOOMScoreAdjust parametrs failiem /etc/systemd/system.conf un /etc/systemd/user.conf, kas ļauj pielāgot OOM-killer slieksni mazai atmiņai, kas attiecas uz procesiem, kurus systemd sāk sistēmai un lietotājiem. Pēc noklusējuma sistēmas pakalpojumu svars ir lielāks nekā lietotāju pakalpojumiem, t.i. Ja nav pietiekami daudz atmiņas, lietotāju pakalpojumu pārtraukÅ”anas iespējamÄ«ba ir lielāka nekā sistēmas pakalpojumu pārtraukÅ”anas iespējamÄ«ba.
  • Pievienots iestatÄ«jums RestrictFileSystems, kas ļauj ierobežot pakalpojumu piekļuvi noteikta veida failu sistēmām. Lai skatÄ«tu pieejamos failu sistēmu tipus, varat izmantot komandu ā€œsystemd-analyze filesystemsā€. Pēc analoÄ£ijas ir ieviesta opcija RestrictNetworkInterfaces, kas ļauj ierobežot piekļuvi noteiktām tÄ«kla saskarnēm. IevieÅ”ana ir balstÄ«ta uz BPF LSM moduli, kas ierobežo procesu grupas piekļuvi kodola objektiem.
  • Pievienots jauns /etc/integritytab konfigurācijas fails un systemd-integritysetup utilÄ«ta, kas konfigurē dm-integritātes moduli, lai kontrolētu datu integritāti sektora lÄ«menÄ«, piemēram, lai garantētu Å”ifrētu datu nemainÄ«gumu (Authenticated Encryption, nodroÅ”ina, ka datu blokam ir nav mainÄ«ts apļveida ceļā). Faila /etc/integritytab formāts ir lÄ«dzÄ«gs failiem /etc/crypttab un /etc/veritytab, izņemot to, ka dm-crypt un dm-verity vietā tiek izmantots dm-integrity.
  • Ir pievienots jauns vienÄ«bas fails systemd-boot-update.service, kad tas ir aktivizēts un ir instalēts sd-boot bootloader, systemd automātiski atjauninās sd-boot bootloader versiju, uzturot bootloader kodu vienmēr atjauninātu. Pats sd-boot tagad pēc noklusējuma ir izveidots ar SBAT (UEFI Secure Boot Advanced Targeting) mehānisma atbalstu, kas atrisina problēmas, kas saistÄ«tas ar UEFI Secure Boot sertifikāta atsaukÅ”anu. Turklāt sd-boot nodroÅ”ina iespēju parsēt Microsoft Windows sāknÄ“Å”anas iestatÄ«jumus, lai pareizi Ä£enerētu sāknÄ“Å”anas nodalÄ«jumu nosaukumus sistēmā Windows un parādÄ«tu Windows versiju.

    sd-boot nodroÅ”ina arÄ« iespēju definēt krāsu shēmu izveides laikā. SāknÄ“Å”anas procesa laikā tika pievienots atbalsts ekrāna izŔķirtspējas maiņai, nospiežot taustiņu ā€œrā€. Pievienots karstais taustiņŔ ā€œfā€, lai pārietu uz programmaparatÅ«ras konfigurācijas saskarni. Pievienots režīms, lai automātiski palaistu sistēmu, kas atbilst pēdējās sāknÄ“Å”anas laikā atlasÄ«tajam izvēlnes vienumam. Pievienota iespēja automātiski ielādēt EFI draiverus, kas atrodas /EFI/systemd/drivers/ direktorijā ESP (EFI System Partition) sadaļā.

  • Ir iekļauts jauns vienÄ«bas fails factory-reset.target, kas tiek apstrādāts sistēmā systemd-logind lÄ«dzÄ«gi kā atsāknÄ“Å”anas, izslēgÅ”anas, apturÄ“Å”anas un hibernācijas operācijām, un tiek izmantots, lai izveidotu apstrādātājus rÅ«pnÄ«cas atiestatÄ«Å”anai.
  • Sistēmas atrisinātais process tagad izveido papildu klausÄ«Å”anās ligzdu 127.0.0.54 papildus 127.0.0.53. PieprasÄ«jumi, kas tiek saņemti uz 127.0.0.54, vienmēr tiek novirzÄ«ti uz augÅ”upējo DNS serveri un netiek apstrādāti lokāli.
  • NodroÅ”ina iespēju izveidot systemd-importd un systemd-resolved, izmantojot OpenSSL bibliotēku, nevis libgcrypt.
  • Pievienots sākotnējais atbalsts LoongArch arhitektÅ«rai, ko izmanto Loongson procesoros.
  • systemd-gpt-auto-generator nodroÅ”ina iespēju automātiski konfigurēt sistēmas definētus mijmaiņas nodalÄ«jumus, ko Å”ifrējusi LUKS2 apakÅ”sistēma.
  • GPT attēla parsÄ“Å”anas kods, ko izmanto systemd-nspawn, systemd-dissect un lÄ«dzÄ«gās utilÄ«tprogrammās, nodroÅ”ina iespēju atÅ”ifrēt attēlus citām arhitektÅ«rām, ļaujot systemd-nspawn izmantot attēlu palaiÅ”anai citu arhitektÅ«ru emulatoros.
  • Pārbaudot diska attēlus, systemd-dissect tagad parāda informāciju par nodalÄ«juma mērÄ·i, piemēram, piemērotÄ«bu sāknÄ“Å”anai, izmantojot UEFI, vai darbÄ«bu konteinerā.
  • Failiem system-extension.d/ ir pievienots lauks ā€œSYSEXT_SCOPEā€, kas ļauj norādÄ«t sistēmas attēla apjomu ā€“ ā€œinitrdā€, ā€œsystemā€ vai ā€œportableā€.
  • OS-release failam ir pievienots lauks ā€œPORTABLE_PREFIXESā€, ko var izmantot pārnēsājamos attēlos, lai noteiktu atbalstÄ«tos vienÄ«bas faila prefiksus.
  • systemd-logind ievieÅ” jaunus iestatÄ«jumus HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress un HandleHibernateKeyLongPress, ko var izmantot, lai noteiktu, kas notiek, ja daži taustiņi tiek turēti nospiesti ilgāk par 5 sekundēm (piemēram, nospiežot taustiņu, lai ātri pārietu gaidstāves režīmā , un, turot nospiestu, tas aizmigs) .
  • VienÄ«bām ir ieviesti iestatÄ«jumi StartupAllowedCPUs un StartupAllowedMemoryNodes, kas atŔķiras no lÄ«dzÄ«giem iestatÄ«jumiem bez Startup prefiksa ar to, ka tiek lietoti tikai sāknÄ“Å”anas un izslēgÅ”anas stadijā, kas ļauj iestatÄ«t citus resursu ierobežojumus sāknÄ“Å”anas laikā.
  • Pievienotas [Condition|Assert][Memory|CPU|IO]Spiediena pārbaudes, kas ļauj izlaist vai neizdodas ierÄ«ces aktivizÄ“Å”anu, ja PSI mehānisms konstatē lielu sistēmas atmiņas, CPU un I/O slodzi.
  • Noklusējuma maksimālais inode ierobežojums ir palielināts /dev nodalÄ«jumam no 64k uz 1M un /tmp nodalÄ«jumam no 400k uz 1M.
  • Pakalpojumiem ir piedāvāts ExecSearchPath iestatÄ«jums, kas ļauj mainÄ«t izpildāmo failu meklÄ“Å”anas ceļu, kas palaists, izmantojot tādus iestatÄ«jumus kā ExecStart.
  • Pievienots RuntimeRandomizedExtraSec iestatÄ«jums, kas ļauj ieviest nejauÅ”as novirzes RuntimeMaxSec taimautā, kas ierobežo vienÄ«bas izpildes laiku.
  • PaplaÅ”ināta RuntimeDirectory, StateDirectory, CacheDirectory un LogsDirectory uzstādÄ«jumu sintakse, kurā, norādot ar kolu atdalÄ«tu papildu vērtÄ«bu, tagad var organizēt simboliskas saites izveidi uz doto direktoriju piekļuves organizÄ“Å”anai pa vairākiem ceļiem.
  • Pakalpojumiem tiek piedāvāti TTYRows un TTYColumns iestatÄ«jumi, lai iestatÄ«tu rindu un kolonnu skaitu TTY ierÄ«cē.
  • Pievienots ExitType iestatÄ«jums, kas ļauj mainÄ«t pakalpojuma beigu noteikÅ”anas loÄ£iku. Pēc noklusējuma systemd uzrauga tikai galvenā procesa nāvi, bet, ja ir iestatÄ«ts ExitType=cgroup, sistēmas pārvaldnieks gaidÄ«s, lÄ«dz cgroup pēdējais process tiks pabeigts.
  • Systemd-cryptsetup TPM2/FIDO2/PKCS11 atbalsta ievieÅ”ana tagad ir izveidota arÄ« kā kriptojuma iestatÄ«Å”anas spraudnis, kas ļauj izmantot parasto cryptsetup komandu, lai atbloķētu Å”ifrētu nodalÄ«jumu.
  • TPM2 apdarinātājs systemd-cryptsetup/systemd-cryptsetup papildina atbalstu RSA primārajām atslēgām papildus ECC atslēgām, lai uzlabotu saderÄ«bu ar mikroshēmām, kas nav ECC.
  • MarÄ·iera taimauta opcija ir pievienota failam /etc/crypttab, kas ļauj definēt maksimālo laiku, kas jāgaida PKCS#11/FIDO2 marÄ·iera savienojuma izveidei, pēc kura jums tiks piedāvāts ievadÄ«t paroli vai atkopÅ”anas atslēgu.
  • systemd-timesyncd ievieÅ” SaveIntervalSec iestatÄ«jumu, kas ļauj periodiski saglabāt paÅ”reizējo sistēmas laiku diskā, piemēram, lai ieviestu monotonu pulksteni sistēmās bez RTC.
  • Systemd-analyze utilÄ«tai ir pievienotas opcijas: ā€œ--imageā€ un ā€œ--rootā€, lai pārbaudÄ«tu vienÄ«bas failus noteiktā attēla vai saknes direktorijā, ā€œ--recursive-errorsā€, lai kļūdas gadÄ«jumā ņemtu vērā atkarÄ«gās vienÄ«bas. tiek atklāts, ā€œ--offlineā€, lai pārbaudÄ«tu atseviŔķi diskā saglabātos vienÄ«bas failus, ā€œ-jsonā€ izvadei JSON formātā, ā€œ-quietā€, lai atspējotu nesvarÄ«gus ziņojumus, ā€œ-profileā€, lai saistÄ«tu ar portatÄ«vo profilu. Ir pievienota arÄ« komanda inspect-elf, lai analizētu galvenos failus ELF formātā, kā arÄ« iespēja pārbaudÄ«t vienÄ«bas failus ar noteiktu vienÄ«bas nosaukumu neatkarÄ«gi no tā, vai Å”is nosaukums atbilst faila nosaukumam.
  • systemd-networkd ir paplaÅ”inājis kontroliera apgabala tÄ«kla (CAN) kopnes atbalstu. Pievienoti iestatÄ«jumi, lai kontrolētu CAN režīmus: Loopback, OneShot, PresumeAck un ClassicDataLengthCode. Pievienots Timequantansec, PopAgationSegment, Phasebuffersegment1, Phasebuffersegment2, SyncJumpWidth, Datatimequantansec, DataPropagationSegment, DataPaphaseBuffersegment1, DataPaphaseBuffersegment2 un DataSyncJumpWidth opcy Can Han Hancoal Can han.
  • Systemd-networkd ir pievienojis opciju Label DHCPv4 klientam, kas ļauj konfigurēt adreses etiÄ·eti, ko izmanto, konfigurējot IPv4 adreses.
  • systemd-udevd priekÅ” "ethtool" ievieÅ” atbalstu Ä«paŔām "maksimālajām" vērtÄ«bām, kas iestata bufera lielumu lÄ«dz maksimālajai vērtÄ«bai, ko atbalsta aparatÅ«ra.
  • Systemd-udevd .link failos tagad varat konfigurēt dažādus parametrus tÄ«kla adapteru apvienoÅ”anai un aparatÅ«ras apdarinātāju savienoÅ”anai (izkrauÅ”anai).
  • systemd-networkd pēc noklusējuma piedāvā jaunus .network failus: 80-container-vb.network, lai definētu tÄ«kla tiltus, kas izveidoti, palaižot systemd-nspawn ar opcijām ā€œ--network-bridgeā€ vai ā€œ--network-zoneā€; 80-6rd-tunnel.network, lai definētu tuneļus, kas tiek automātiski izveidoti, saņemot DHCP atbildi ar opciju 6RD.
  • Systemd-networkd un systemd-udevd ir pievienojuÅ”i atbalstu IP pārsÅ«tÄ«Å”anai, izmantojot InfiniBand saskarnes, kurām systemd.netdev failiem ir pievienota sadaļa ā€œ[IPoIB]ā€, un ā€œipoibā€ vērtÄ«bas apstrāde ir ieviesta programmā Kind. iestatÄ«jumu.
  • systemd-networkd nodroÅ”ina automātisku marÅ”ruta konfigurāciju adresēm, kas norādÄ«tas parametrā AllowedIPs, kuras var konfigurēt, izmantojot RouteTable un RouteMetric parametrus sadaļās [WireGuard] un [WireGuardPeer].
  • systemd-networkd nodroÅ”ina automātisku nemaināmu MAC adreÅ”u Ä£enerÄ“Å”anu batadv un tilta saskarnēm. Lai atspējotu Å”o darbÄ«bu, .netdev failos varat norādÄ«t MACAddress=none.
  • IestatÄ«jums WakeOnLanPassword ir pievienots .link failiem sadaļā ā€œ[Link]ā€, lai noteiktu paroli, kad WoL darbojas ā€œSecureOnā€ režīmā.
  • Pievienoti AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO un UseRawPacketSize iestatÄ«jumi .network failu sadaļai ā€œ[CAKE]ā€, lai definētu CAKE (Common Enhqueu Applications) tÄ«kla pārvaldÄ«bas mehānisma parametrus. .
  • Pievienots iestatÄ«jums IgnoreCarrierLoss .tÄ«kla failu sadaļai "[TÄ«kls]", kas ļauj noteikt, cik ilgi jāgaida, pirms reaģējat uz nesēja signāla zudumu.
  • Systemd-nspawn, homectl, machinectl un systemd-run ir paplaÅ”inājuÅ”i parametra "--setenv" sintaksi - ja ir norādÄ«ts tikai mainÄ«gā nosaukums (bez "="), vērtÄ«ba tiks ņemta no atbilstoŔā vides mainÄ«gā (par piemēram, norādot "--setenv=FOO", vērtÄ«ba tiks ņemta no $FOO vides mainÄ«gā un izmantota konteinerā iestatÄ«tajā vides mainÄ«gajā ar tādu paÅ”u nosaukumu).
  • systemd-nspawn ir pievienojis opciju "--suppress-sync", lai atspējotu sync()/fsync()/fdatasync() sistēmas izsaukumus, veidojot konteineru (noder, ja ātrums ir prioritāte un bÅ«vÄ“Å”anas artefaktu saglabāŔana kļūmes gadÄ«jumā nav svarÄ«gi, jo tos jebkurā laikā var izveidot no jauna).
  • Pievienota jauna hwdb datu bāze, kurā iekļauti dažāda veida signālu analizatori (multimetri, protokolu analizatori, osciloskopi u.c.). Informācija par kamerām hwdb ir paplaÅ”ināta ar lauku ar informāciju par kameras veidu (parastais vai infrasarkanais) un objektÄ«va izvietojumu (priekŔējā vai aizmugurējā).
  • Iespējota nemainÄ«gu tÄ«kla interfeisa nosaukumu Ä£enerÄ“Å”ana tÄ«kla priekÅ”puses ierÄ«cēm, ko izmanto Xen.
  • Pamatdatņu analÄ«ze, ko veic utilÄ«ta systemd-coredump, pamatojoties uz bibliotēkām libdw/libelf, tagad tiek veikta atseviŔķā procesā, kas ir izolēts smilÅ”kastes vidē.
  • systemd-importd ir pievienojis atbalstu vides mainÄ«gajiem $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, ar kuru palÄ«dzÄ«bu var atspējot Btrfs apakÅ”nodaļu Ä£enerÄ“Å”anu, kā arÄ« konfigurēt kvotas un diska sinhronizāciju.
  • Programmā systemd-journald failu sistēmās, kas atbalsta kopÄ“Å”anas un rakstÄ«Å”anas režīmu, COW režīms tiek atkārtoti iespējots arhivētiem žurnāliem, ļaujot tos saspiest, izmantojot Btrfs.
  • systemd-journald ievieÅ” identisku lauku dedublikāciju vienā ziņojumā, kas tiek veikta posmā pirms ziņojuma ievietoÅ”anas žurnālā.
  • IzslēgÅ”anas komandai pievienota opcija "--show", lai parādÄ«tu plānoto izslēgÅ”anu.

Avots: opennet.ru

Pievieno komentāru