🥇Sistēmas sistēmas pārvaldnieka izlaidums 248

Pēc četru mēnešu izstrādes tiek prezentēts sistēmas pārvaldnieka izlaidums systemd 248. Jaunais laidiens nodrošina atbalstu attēliem sistēmas direktoriju paplašināšanai, /etc/veritytab konfigurācijas failam, systemd-cryptenroll utilītai, LUKS2 atbloķēšanai, izmantojot TPM2 mikroshēmas un FIDO2. marķieri, darbojas vienības izolētā IPC identifikatora telpā, B.A.T.M.A.N protokols acs tīkliem, nftables aizmugursistēma systemd-nspawn. Systemd-oomd ir stabilizēts.

Galvenās izmaiņas:

Ir ieviesta System Extension attēlu koncepcija, ko var izmantot, lai paplašinātu direktoriju /usr/ un /opt/ hierarhiju un pievienotu papildu failus izpildes laikā, pat ja norādītie direktoriji ir uzstādīti tikai lasāmā režīmā. Kad sistēmas paplašinājuma attēls ir uzstādīts, tā saturs tiek pārklāts uz /usr/ un /opt/ hierarhijām, izmantojot OverlayFS.
Ir ierosināta jauna utilīta systemd-sysext, lai izveidotu savienojumu, atvienotu, skatītu un atjauninātu sistēmas paplašinājumu attēlus. Lai sāknēšanas laikā automātiski savienotu jau instalētos attēlus, ir pievienots pakalpojums systemd-sysext.service. Lai noteiktu atbalstīto sistēmas paplašinājumu līmeni, OS-release failam ir pievienots parametrs "SYSEXT_LEVEL=".
Vienībām ir ieviests ExtensionImages iestatījums, ko var izmantot, lai saistītu sistēmas paplašinājumu attēlus ar atsevišķu izolētu pakalpojumu FS nosaukumvietas hierarhiju.
Pievienots /etc/veritytab konfigurācijas fails, lai konfigurētu datu verifikāciju bloka līmenī, izmantojot moduli dm-verity. Faila formāts ir līdzīgs /etc/crypttab — “section_name device_for_data device_for_hashes check_hash_root options”. Pievienota systemd.verity.root_options kodola komandrindas opcija, lai konfigurētu dm-verity uzvedību saknes ierīcei.
Systemd-cryptsetup pievieno iespēju izvilkt PKCS#11 marķiera URI un šifrēto atslēgu no LUKS2 metadatu galvenes JSON formātā, ļaujot informāciju par šifrētas ierīces atvēršanu integrēt pašā ierīcē, neiesaistot ārējos failus.
systemd-cryptsetup nodrošina atbalstu LUKS2 šifrētu nodalījumu atbloķēšanai, izmantojot TPM2 mikroshēmas un FIDO2 marķierus, papildus iepriekš atbalstītajiem PKCS#11 marķieriem. Libfido2 ielāde tiek veikta, izmantojot dlopen(), t.i. pieejamība tiek pārbaudīta lidojuma laikā, nevis kā fiksēta atkarība.
Jaunas opcijas "no-write-workqueue" un "no-read-workqueue" ir pievienotas /etc/crypttab systemd-cryptsetup, lai iespējotu ar šifrēšanu un atšifrēšanu saistīto I/O sinhrono apstrādi.
Utilīta systemd-repart ir pievienojusi iespēju aktivizēt šifrētus nodalījumus, izmantojot TPM2 mikroshēmas, piemēram, lai pirmajā sāknēšanas reizē izveidotu šifrētu /var nodalījumu.
Ir pievienota systemd-cryptenroll utilīta, lai saistītu TPM2, FIDO2 un PKCS#11 marķierus ar LUKS nodalījumiem, kā arī lai atspraustu un skatītu marķierus, saistītu rezerves atslēgas un iestatītu piekļuves paroli.
Pievienots PrivateIPC parametrs, kas ļauj konfigurēt vienības failu, lai palaistu procesus izolētā IPC telpā ar saviem atsevišķiem identifikatoriem un ziņojumu rindu. Lai savienotu ierīci ar jau izveidotu IPC identifikatora vietu, tiek piedāvāta opcija IPCNamespacePath.
Pievienoti ExecPaths un NoExecPaths iestatījumi, lai ļautu noexec karogu lietot noteiktām failu sistēmas daļām.
systemd-networkd pievieno atbalstu B.A.T.M.A.N tīkla protokolam. (“Labāka pieeja mobilajam Adhoc tīklam”), kas ļauj izveidot decentralizētus tīklus, kuros katrs mezgls ir savienots caur blakus esošajiem mezgliem. Konfigurācijai tiek piedāvāta sadaļa [BatmanAdvanced] failā .netdev, BatmanAdvanced parametrs .network failos un jauns ierīces veids “batadv”.
Agrīnās reaģēšanas mehānisma ieviešana zemas atmiņas gadījumā systemd-oomd sistēmā ir stabilizēta. Pievienota opcija DefaultMemoryPressureDurationSec, lai konfigurētu gaidīšanas laiku, kad resurss tiek atbrīvots, pirms tiek ietekmēta vienība. Systemd-oomd izmanto PSI (Pressure Stall Information) kodola apakšsistēmu un ļauj noteikt aizkaves rašanos resursu trūkuma dēļ un selektīvi pārtraukt resursietilpīgus procesus posmā, kad sistēma vēl nav kritiskā stāvoklī un to nedara. sāk intensīvi apgriezt kešatmiņu un pārvietot datus mijmaiņas nodalījumā.
Pievienots kodola komandrindas parametrs “root=tmpfs”, kas ļauj uzstādīt saknes nodalījumu pagaidu atmiņā, kas atrodas RAM, izmantojot Tmpfs.
Parametrs /etc/crypttab, kas norāda atslēgas failu, tagad var norādīt uz ligzdas veidiem AF_UNIX un SOCK_STREAM. Šajā gadījumā, pieslēdzoties kontaktligzdai, ir jānorāda atslēga, ko, piemēram, var izmantot, lai izveidotu pakalpojumus, kas dinamiski izsniedz atslēgas.
Atkāpšanās resursdatora nosaukumu, ko izmanto sistēmas pārvaldnieks, un systemd-hostnamed tagad var iestatīt divos veidos: izmantojot OS-release parametru DEFAULT_HOSTNAME un vides mainīgo $SYSTEMD_DEFAULT_HOSTNAME. systemd-hostnamed resursdatora nosaukumā apstrādā arī "localhost" un pievieno iespēju eksportēt resursdatora nosaukumu, kā arī rekvizītus "HardwareVendor" un "HardwareModel", izmantojot DBus.
Bloku ar atklātajiem vides mainīgajiem tagad var konfigurēt, izmantojot jauno opciju ManagerEnvironment failā system.conf vai user.conf, nevis tikai izmantojot kodola komandrindas un vienības faila iestatījumus.
Kompilēšanas laikā ir iespējams izmantot sistēmas izsaukumu fexecve(), lai sāktu procesus, nevis execve(), lai samazinātu aizkavi starp drošības konteksta pārbaudi un tā piemērošanu.
Vienību failiem ir pievienotas jaunas nosacītās darbības ConditionSecurity=tpm2 un ConditionCPUFeature, lai pārbaudītu TPM2 ierīču klātbūtni un atsevišķas CPU iespējas (piemēram, ConditionCPUFeature=rdrand var izmantot, lai pārbaudītu, vai procesors atbalsta RDRAND darbību).
Pieejamajiem kodoliem ir ieviesta automātiska sistēmas izsaukuma tabulu ģenerēšana seccomp filtriem.
Pievienota iespēja esošajās pakalpojumu montāžas nosaukumvietās aizstāt jaunus saistīšanas savienojumus, nerestartējot pakalpojumus. Aizstāšana tiek veikta ar komandām “systemctl bind …” un “systemctl mount-image …”.
Pievienots atbalsts ceļu norādīšanai formā “saīsināt:” standarta izvades un standarta kļūdas iestatījumiem, kas jānotīra pirms lietošanas.
Pievienota iespēja izveidot savienojumu ar noteikta lietotāja sesiju vietējā konteinerā uz sd-bus. Piemēram, "systemctl -user -M lennart@ start quux".
Sadaļā [Saite] esošajos failos systemd.link ir ieviesti šādi parametri:
- Promiscuous - ļauj pārslēgt ierīci uz “promiscuous” režīmu, lai apstrādātu visas tīkla paketes, ieskaitot tās, kas nav adresētas pašreizējai sistēmai;
- TransmitQueues un ReceiveQueues TX un RX rindu skaita iestatīšanai;
- TransmitQueueLength, lai iestatītu TX rindas lielumu; GenericSegmentOffloadMaxBytes un GenericSegmentOffloadMaxSegment GRO (Generic Receive Offload) tehnoloģijas izmantošanas ierobežojumu noteikšanai.
Systemd.network failiem ir pievienoti jauni iestatījumi:
- [Tīkls] RouteTable, lai izvēlētos maršrutēšanas tabulu;
- [RoutingPolicyRule] Ierakstiet maršrutēšanas veidu ("melnais caurums, "nepieejams", "aizliegt");
- [IPv6AcceptRA] RouteDenyList un RouteAllowList atļauto un aizliegto maršrutu reklāmu sarakstiem;
- [DHCPv6] IzmantojietAddres, lai ignorētu DHCP izsniegto adresi;
- [DHCPv6PrefixDelegation] ManageTemporaryAddress;
- ActivationPolicy, lai definētu politiku attiecībā uz saskarnes darbību (vienmēr turiet UP vai DOWN stāvoklī vai ļaujiet lietotājam mainīt stāvokļus ar komandu “ip link set dev”).
Systemd.netdev failiem ir pievienotas [VLAN] protokols, IngressQOSMaps, EgressQOSMaps un [MACVLAN] BroadcastMulticastQueueLength opcijas, lai konfigurētu VLAN pakešu apstrādi.
Pārtraukta /dev/ direktorija uzstādīšana noexec režīmā, jo tas izraisa konfliktu, izmantojot izpildāmā karogu ar /dev/sgx failiem. Lai atgrieztu veco darbību, varat izmantot iestatījumu NoExecPaths=/dev.
Faila /dev/vsock atļaujas ir mainītas uz 0o666, un faili /dev/vhost-vsock un /dev/vhost-net ir pārvietoti uz kvm grupu.
Aparatūras ID datu bāze ir papildināta ar USB pirkstu nospiedumu lasītājiem, kas pareizi atbalsta miega režīmu.
Systemd atrisināts pievienots atbalsts, lai sniegtu atbildes uz DNSSEC vaicājumiem, izmantojot stub solver. Vietējie klienti var veikt DNSSEC validāciju paši, savukārt ārējie klienti tiek nemainīti starpniekserveri pie vecāku DNS servera.
Vietnei solved.conf ir pievienota opcija CacheFromLocalhost, ja tā ir iestatīta, systemd-resolved izmantos kešatmiņu pat zvaniem uz DNS serveri 127.0.0.1 (pēc noklusējuma šādu pieprasījumu saglabāšana kešatmiņā ir atspējota, lai izvairītos no dubultas kešatmiņas saglabāšanas).
systemd-resolved pievieno atbalstu RFC-5001 NSID lokālajā DNS risinātājā, ļaujot klientiem atšķirt mijiedarbību ar vietējo atrisinātāju un citu DNS serveri.
Solutionctl utilīta ievieš iespēju parādīt informāciju par datu avotu (lokālo kešatmiņu, tīkla pieprasījumu, lokālā procesora atbildi) un šifrēšanas izmantošanu datu pārsūtīšanas laikā. Opcijas --cache, --synthesize, --network, --zone, --trust-enchor un --validate tiek nodrošinātas, lai kontrolētu nosaukuma noteikšanas procesu.
Systemd-nspawn pievieno atbalstu ugunsmūra konfigurēšanai, izmantojot nftables papildus esošajam iptables atbalstam. IPMasquerade iestatīšana sistēmā systemd-networkd ir pievienojusi iespēju izmantot uz nftables balstītu aizmugursistēmu.
systemd-localed pievienots atbalsts locale-gen izsaukšanai, lai ģenerētu trūkstošās lokalizācijas.
Opcijas --pager/-no-pager/-json= ir pievienotas dažādām utilītprogrammām, lai iespējotu/atspējotu peidžeru režīmu un izvadi JSON formātā. Pievienota iespēja iestatīt terminālī izmantoto krāsu skaitu, izmantojot vides mainīgo SYSTEMD_COLORS (“16” vai “256”).
Būvējums ar atsevišķām direktoriju hierarhijām (split / un /usr) un cgroup v1 atbalsts ir novecojis.
Galvenā filiāle Git ir pārdēvēta no “master” uz “main”.

Avots: opennet.ru

systemd sistēmas pārvaldnieka laidiens 248

Pievieno komentāru Atcelt atbildi