PÄc Äetru mÄneÅ”u izstrÄdes tiek prezentÄts sistÄmas pÄrvaldnieka izlaidums systemd 248. Jaunais laidiens nodroÅ”ina atbalstu attÄliem sistÄmas direktoriju paplaÅ”inÄÅ”anai, /etc/veritytab konfigurÄcijas failam, systemd-cryptenroll utilÄ«tai, LUKS2 atbloÄ·ÄÅ”anai, izmantojot TPM2 mikroshÄmas un FIDO2. marÄ·ieri, darbojas vienÄ«bas izolÄtÄ IPC identifikatora telpÄ, B.A.T.M.A.N protokols acs tÄ«kliem, nftables aizmugursistÄma systemd-nspawn. Systemd-oomd ir stabilizÄts.
GalvenÄs izmaiÅas:
- Ir ieviesta System Extension attÄlu koncepcija, ko var izmantot, lai paplaÅ”inÄtu direktoriju /usr/ un /opt/ hierarhiju un pievienotu papildu failus izpildes laikÄ, pat ja norÄdÄ«tie direktoriji ir uzstÄdÄ«ti tikai lasÄmÄ režīmÄ. Kad sistÄmas paplaÅ”inÄjuma attÄls ir uzstÄdÄ«ts, tÄ saturs tiek pÄrklÄts uz /usr/ un /opt/ hierarhijÄm, izmantojot OverlayFS.
Ir ierosinÄta jauna utilÄ«ta systemd-sysext, lai izveidotu savienojumu, atvienotu, skatÄ«tu un atjauninÄtu sistÄmas paplaÅ”inÄjumu attÄlus. Lai sÄknÄÅ”anas laikÄ automÄtiski savienotu jau instalÄtos attÄlus, ir pievienots pakalpojums systemd-sysext.service. Lai noteiktu atbalstÄ«to sistÄmas paplaÅ”inÄjumu lÄ«meni, OS-release failam ir pievienots parametrs "SYSEXT_LEVEL=".
- VienÄ«bÄm ir ieviests ExtensionImages iestatÄ«jums, ko var izmantot, lai saistÄ«tu sistÄmas paplaÅ”inÄjumu attÄlus ar atseviŔķu izolÄtu pakalpojumu FS nosaukumvietas hierarhiju.
- Pievienots /etc/veritytab konfigurÄcijas fails, lai konfigurÄtu datu verifikÄciju bloka lÄ«menÄ«, izmantojot moduli dm-verity. Faila formÄts ir lÄ«dzÄ«gs /etc/crypttab ā āsection_name device_for_data device_for_hashes check_hash_root optionsā. Pievienota systemd.verity.root_options kodola komandrindas opcija, lai konfigurÄtu dm-verity uzvedÄ«bu saknes ierÄ«cei.
- Systemd-cryptsetup pievieno iespÄju izvilkt PKCS#11 marÄ·iera URI un Å”ifrÄto atslÄgu no LUKS2 metadatu galvenes JSON formÄtÄ, ļaujot informÄciju par Å”ifrÄtas ierÄ«ces atvÄrÅ”anu integrÄt paÅ”Ä ierÄ«cÄ, neiesaistot ÄrÄjos failus.
- systemd-cryptsetup nodroÅ”ina atbalstu LUKS2 Å”ifrÄtu nodalÄ«jumu atbloÄ·ÄÅ”anai, izmantojot TPM2 mikroshÄmas un FIDO2 marÄ·ierus, papildus iepriekÅ” atbalstÄ«tajiem PKCS#11 marÄ·ieriem. Libfido2 ielÄde tiek veikta, izmantojot dlopen(), t.i. pieejamÄ«ba tiek pÄrbaudÄ«ta lidojuma laikÄ, nevis kÄ fiksÄta atkarÄ«ba.
- Jaunas opcijas "no-write-workqueue" un "no-read-workqueue" ir pievienotas /etc/crypttab systemd-cryptsetup, lai iespÄjotu ar Å”ifrÄÅ”anu un atÅ”ifrÄÅ”anu saistÄ«to I/O sinhrono apstrÄdi.
- UtilÄ«ta systemd-repart ir pievienojusi iespÄju aktivizÄt Å”ifrÄtus nodalÄ«jumus, izmantojot TPM2 mikroshÄmas, piemÄram, lai pirmajÄ sÄknÄÅ”anas reizÄ izveidotu Å”ifrÄtu /var nodalÄ«jumu.
- Ir pievienota systemd-cryptenroll utilÄ«ta, lai saistÄ«tu TPM2, FIDO2 un PKCS#11 marÄ·ierus ar LUKS nodalÄ«jumiem, kÄ arÄ« lai atspraustu un skatÄ«tu marÄ·ierus, saistÄ«tu rezerves atslÄgas un iestatÄ«tu piekļuves paroli.
- Pievienots PrivateIPC parametrs, kas ļauj konfigurÄt vienÄ«bas failu, lai palaistu procesus izolÄtÄ IPC telpÄ ar saviem atseviŔķiem identifikatoriem un ziÅojumu rindu. Lai savienotu ierÄ«ci ar jau izveidotu IPC identifikatora vietu, tiek piedÄvÄta opcija IPCNamespacePath.
- Pievienoti ExecPaths un NoExecPaths iestatÄ«jumi, lai ļautu noexec karogu lietot noteiktÄm failu sistÄmas daļÄm.
- systemd-networkd pievieno atbalstu B.A.T.M.A.N tÄ«kla protokolam. (āLabÄka pieeja mobilajam Adhoc tÄ«klamā), kas ļauj izveidot decentralizÄtus tÄ«klus, kuros katrs mezgls ir savienots caur blakus esoÅ”ajiem mezgliem. KonfigurÄcijai tiek piedÄvÄta sadaļa [BatmanAdvanced] failÄ .netdev, BatmanAdvanced parametrs .network failos un jauns ierÄ«ces veids ābatadvā.
- AgrÄ«nÄs reaÄ£ÄÅ”anas mehÄnisma ievieÅ”ana zemas atmiÅas gadÄ«jumÄ systemd-oomd sistÄmÄ ir stabilizÄta. Pievienota opcija DefaultMemoryPressureDurationSec, lai konfigurÄtu gaidÄ«Å”anas laiku, kad resurss tiek atbrÄ«vots, pirms tiek ietekmÄta vienÄ«ba. Systemd-oomd izmanto PSI (Pressure Stall Information) kodola apakÅ”sistÄmu un ļauj noteikt aizkaves raÅ”anos resursu trÅ«kuma dÄļ un selektÄ«vi pÄrtraukt resursietilpÄ«gus procesus posmÄ, kad sistÄma vÄl nav kritiskÄ stÄvoklÄ« un to nedara. sÄk intensÄ«vi apgriezt keÅ”atmiÅu un pÄrvietot datus mijmaiÅas nodalÄ«jumÄ.
- Pievienots kodola komandrindas parametrs āroot=tmpfsā, kas ļauj uzstÄdÄ«t saknes nodalÄ«jumu pagaidu atmiÅÄ, kas atrodas RAM, izmantojot Tmpfs.
- Parametrs /etc/crypttab, kas norÄda atslÄgas failu, tagad var norÄdÄ«t uz ligzdas veidiem AF_UNIX un SOCK_STREAM. Å ajÄ gadÄ«jumÄ, pieslÄdzoties kontaktligzdai, ir jÄnorÄda atslÄga, ko, piemÄram, var izmantot, lai izveidotu pakalpojumus, kas dinamiski izsniedz atslÄgas.
- AtkÄpÅ”anÄs resursdatora nosaukumu, ko izmanto sistÄmas pÄrvaldnieks, un systemd-hostnamed tagad var iestatÄ«t divos veidos: izmantojot OS-release parametru DEFAULT_HOSTNAME un vides mainÄ«go $SYSTEMD_DEFAULT_HOSTNAME. systemd-hostnamed resursdatora nosaukumÄ apstrÄdÄ arÄ« "localhost" un pievieno iespÄju eksportÄt resursdatora nosaukumu, kÄ arÄ« rekvizÄ«tus "HardwareVendor" un "HardwareModel", izmantojot DBus.
- Bloku ar atklÄtajiem vides mainÄ«gajiem tagad var konfigurÄt, izmantojot jauno opciju ManagerEnvironment failÄ system.conf vai user.conf, nevis tikai izmantojot kodola komandrindas un vienÄ«bas faila iestatÄ«jumus.
- KompilÄÅ”anas laikÄ ir iespÄjams izmantot sistÄmas izsaukumu fexecve(), lai sÄktu procesus, nevis execve(), lai samazinÄtu aizkavi starp droŔības konteksta pÄrbaudi un tÄ piemÄroÅ”anu.
- VienÄ«bu failiem ir pievienotas jaunas nosacÄ«tÄs darbÄ«bas ConditionSecurity=tpm2 un ConditionCPUFeature, lai pÄrbaudÄ«tu TPM2 ierÄ«Äu klÄtbÅ«tni un atseviŔķas CPU iespÄjas (piemÄram, ConditionCPUFeature=rdrand var izmantot, lai pÄrbaudÄ«tu, vai procesors atbalsta RDRAND darbÄ«bu).
- Pieejamajiem kodoliem ir ieviesta automÄtiska sistÄmas izsaukuma tabulu Ä£enerÄÅ”ana seccomp filtriem.
- Pievienota iespÄja esoÅ”ajÄs pakalpojumu montÄžas nosaukumvietÄs aizstÄt jaunus saistÄ«Å”anas savienojumus, nerestartÄjot pakalpojumus. AizstÄÅ”ana tiek veikta ar komandÄm āsystemctl bind ā¦ā un āsystemctl mount-image ā¦ā.
- Pievienots atbalsts ceļu norÄdÄ«Å”anai formÄ āsaÄ«sinÄt:ā standarta izvades un standarta kļūdas iestatÄ«jumiem, kas jÄnotÄ«ra pirms lietoÅ”anas.
- Pievienota iespÄja izveidot savienojumu ar noteikta lietotÄja sesiju vietÄjÄ konteinerÄ uz sd-bus. PiemÄram, "systemctl -user -M lennart@ start quux".
- SadaÄ¼Ä [Saite] esoÅ”ajos failos systemd.link ir ieviesti Å”Ädi parametri:
- Promiscuous - ļauj pÄrslÄgt ierÄ«ci uz āpromiscuousā režīmu, lai apstrÄdÄtu visas tÄ«kla paketes, ieskaitot tÄs, kas nav adresÄtas paÅ”reizÄjai sistÄmai;
- TransmitQueues un ReceiveQueues TX un RX rindu skaita iestatīŔanai;
- TransmitQueueLength, lai iestatītu TX rindas lielumu; GenericSegmentOffloadMaxBytes un GenericSegmentOffloadMaxSegment GRO (Generic Receive Offload) tehnoloģijas izmantoŔanas ierobežojumu noteikŔanai.
- Systemd.network failiem ir pievienoti jauni iestatījumi:
- [TÄ«kls] RouteTable, lai izvÄlÄtos marÅ”rutÄÅ”anas tabulu;
- [RoutingPolicyRule] Ierakstiet marÅ”rutÄÅ”anas veidu ("melnais caurums, "nepieejams", "aizliegt");
- [IPv6AcceptRA] RouteDenyList un RouteAllowList atļauto un aizliegto marÅ”rutu reklÄmu sarakstiem;
- [DHCPv6] IzmantojietAddres, lai ignorÄtu DHCP izsniegto adresi;
- [DHCPv6PrefixDelegation] ManageTemporaryAddress;
- ActivationPolicy, lai definÄtu politiku attiecÄ«bÄ uz saskarnes darbÄ«bu (vienmÄr turiet UP vai DOWN stÄvoklÄ« vai ļaujiet lietotÄjam mainÄ«t stÄvokļus ar komandu āip link set devā).
- Systemd.netdev failiem ir pievienotas [VLAN] protokols, IngressQOSMaps, EgressQOSMaps un [MACVLAN] BroadcastMulticastQueueLength opcijas, lai konfigurÄtu VLAN pakeÅ”u apstrÄdi.
- PÄrtraukta /dev/ direktorija uzstÄdÄ«Å”ana noexec režīmÄ, jo tas izraisa konfliktu, izmantojot izpildÄmÄ karogu ar /dev/sgx failiem. Lai atgrieztu veco darbÄ«bu, varat izmantot iestatÄ«jumu NoExecPaths=/dev.
- Faila /dev/vsock atļaujas ir mainÄ«tas uz 0o666, un faili /dev/vhost-vsock un /dev/vhost-net ir pÄrvietoti uz kvm grupu.
- AparatÅ«ras ID datu bÄze ir papildinÄta ar USB pirkstu nospiedumu lasÄ«tÄjiem, kas pareizi atbalsta miega režīmu.
- Systemd atrisinÄts pievienots atbalsts, lai sniegtu atbildes uz DNSSEC vaicÄjumiem, izmantojot stub solver. VietÄjie klienti var veikt DNSSEC validÄciju paÅ”i, savukÄrt ÄrÄjie klienti tiek nemainÄ«ti starpniekserveri pie vecÄku DNS servera.
- Vietnei solved.conf ir pievienota opcija CacheFromLocalhost, ja tÄ ir iestatÄ«ta, systemd-resolved izmantos keÅ”atmiÅu pat zvaniem uz DNS serveri 127.0.0.1 (pÄc noklusÄjuma Å”Ädu pieprasÄ«jumu saglabÄÅ”ana keÅ”atmiÅÄ ir atspÄjota, lai izvairÄ«tos no dubultas keÅ”atmiÅas saglabÄÅ”anas).
- systemd-resolved pievieno atbalstu RFC-5001 NSID lokÄlajÄ DNS risinÄtÄjÄ, ļaujot klientiem atŔķirt mijiedarbÄ«bu ar vietÄjo atrisinÄtÄju un citu DNS serveri.
- Solutionctl utilÄ«ta ievieÅ” iespÄju parÄdÄ«t informÄciju par datu avotu (lokÄlo keÅ”atmiÅu, tÄ«kla pieprasÄ«jumu, lokÄlÄ procesora atbildi) un Å”ifrÄÅ”anas izmantoÅ”anu datu pÄrsÅ«tÄ«Å”anas laikÄ. Opcijas --cache, --synthesize, --network, --zone, --trust-enchor un --validate tiek nodroÅ”inÄtas, lai kontrolÄtu nosaukuma noteikÅ”anas procesu.
- Systemd-nspawn pievieno atbalstu ugunsmÅ«ra konfigurÄÅ”anai, izmantojot nftables papildus esoÅ”ajam iptables atbalstam. IPMasquerade iestatÄ«Å”ana sistÄmÄ systemd-networkd ir pievienojusi iespÄju izmantot uz nftables balstÄ«tu aizmugursistÄmu.
- systemd-localed pievienots atbalsts locale-gen izsaukÅ”anai, lai Ä£enerÄtu trÅ«kstoÅ”Äs lokalizÄcijas.
- Opcijas --pager/-no-pager/-json= ir pievienotas dažÄdÄm utilÄ«tprogrammÄm, lai iespÄjotu/atspÄjotu peidžeru režīmu un izvadi JSON formÄtÄ. Pievienota iespÄja iestatÄ«t terminÄlÄ« izmantoto krÄsu skaitu, izmantojot vides mainÄ«go SYSTEMD_COLORS (ā16ā vai ā256ā).
- BÅ«vÄjums ar atseviŔķÄm direktoriju hierarhijÄm (split / un /usr) un cgroup v1 atbalsts ir novecojis.
- GalvenÄ filiÄle Git ir pÄrdÄvÄta no āmasterā uz āmainā.
Avots: opennet.ru