PÄc piecu mÄneÅ”u izstrÄdes tika prezentÄts sistÄmas pÄrvaldnieka izlaidums systemd 252. GalvenÄs izmaiÅas jaunajÄ versijÄ bija atbalsta integrÄcija modernizÄtam sÄknÄÅ”anas procesam, kas ļauj pÄrbaudÄ«t ne tikai kodolu un sÄknÄÅ”anas ielÄdÄtÄju, bet arÄ« komponentus. pamata sistÄmas vidi, izmantojot ciparparakstus.
PiedÄvÄtÄ metode ietver vienota kodola attÄla UKI (Unified Kernel Image) izmantoÅ”anu ielÄdes laikÄ, kas apvieno apdarinÄtÄju kodola ielÄdei no UEFI (UEFI boot stub), Linux kodola attÄlu un initrd sistÄmas vidi, kas tiek ielÄdÄta atmiÅÄ. sÄkotnÄjai inicializÄcijai posmÄ pirms saknes FS uzstÄdÄ«Å”anas. UKI attÄls ir iesaiÅots kÄ viens izpildÄms fails PE formÄtÄ, ko var ielÄdÄt, izmantojot tradicionÄlos sÄknÄÅ”anas ielÄdÄtÄjus, vai izsaukt tieÅ”i no UEFI programmaparatÅ«ras. Izsaucot no UEFI, ir iespÄjams pÄrbaudÄ«t ne tikai kodola, bet arÄ« initrd satura ciparparaksta integritÄti un uzticamÄ«bu.
Lai aprÄÄ·inÄtu TPM PCR (Trusted Platform Module Platform Configuration Register) reÄ£istru parametrus, ko izmanto UKI attÄla integritÄtes uzraudzÄ«bai un digitÄlÄ paraksta Ä£enerÄÅ”anai, ir iekļauts jauns utilÄ«ta systemd-measure. ParakstÄ izmantoto publisko atslÄgu un pievienoto PCR informÄciju var iegult tieÅ”i UKI sÄknÄÅ”anas attÄlÄ (atslÄga un paraksts tiek saglabÄti PE failÄ laukos ".pcrsig" un ".pcrkey") un iegÅ«ti no tÄ ar ÄrÄju palÄ«dzÄ«bu. vai iekÅ”Äjie komunÄlie pakalpojumi.
KonkrÄti, Ŕīs informÄcijas izmantoÅ”anai ir pielÄgotas utilÄ«tas systemd-cryptsetup, systemd-cryptenroll un systemd-creds, ar kurÄm jÅ«s varat nodroÅ”inÄt, ka Å”ifrÄtÄ diska nodalÄ«jumi ir saistÄ«ti ar ciparparakstu kodolu (Å”ajÄ gadÄ«jumÄ piekļuve Å”ifrÄtajam nodalÄ«jumam tiek nodroÅ”inÄts tikai tad, ja UKI attÄls ir izturÄjis verifikÄciju ar ciparparakstu, pamatojoties uz parametriem, kas atrodas TPM).
Papildus ir iekļauta utilÄ«ta systemd-pcrphase, kas ļauj kontrolÄt dažÄdu sÄknÄÅ”anas posmu saistÄ«Å”anu ar parametriem, kas atrodas to kriptoprocesoru atmiÅÄ, kuri atbalsta TPM 2.0 specifikÄciju (piemÄram, LUKS2 nodalÄ«juma atÅ”ifrÄÅ”anas atslÄgu var padarÄ«t pieejamu tikai sÄkuma attÄlu un bloÄ·Ät piekļuvi tam vÄlÄkos lejupielÄdes posmos).
Dažas citas izmaiÅas:
- NodroÅ”ina, ka noklusÄjuma lokalizÄcija ir C.UTF-8, ja vien iestatÄ«jumos nav norÄdÄ«ta cita lokalizÄcija.
- Tagad ir iespÄjams veikt pilnÄ«gu pakalpojuma iepriekÅ” iestatÄ«to darbÄ«bu (āsystemctl presetā) pirmÄs sÄknÄÅ”anas laikÄ. Lai iespÄjotu sÄkotnÄjos iestatÄ«jumus sÄknÄÅ”anas laikÄ, ir jÄizveido, izmantojot opciju "-Dfirst-boot-full-preset", taÄu turpmÄkajos laidienos to ir plÄnots iespÄjot pÄc noklusÄjuma.
- LietotÄju pÄrvaldÄ«bas vienÄ«bas ietver CPU resursu kontrolieri, kas ļÄva nodroÅ”inÄt, ka CPUWeight iestatÄ«jumi tiek piemÄroti visÄm slÄÅu vienÄ«bÄm, ko izmanto, lai sadalÄ«tu sistÄmu daļÄs (app.slice, background.slice, session.slice), lai izolÄtu resursus. dažÄdi lietotÄju pakalpojumi, kas sacenÅ”as par CPU resursiem. CPUWeight atbalsta arÄ« ādÄ«kstÄvesā vÄrtÄ«bu, lai aktivizÄtu atbilstoÅ”o resursu nodroÅ”inÄÅ”anas režīmu.
- Pagaidu (āpÄrejoÅ”Äsā) vienÄ«bÄs un utilÄ«tprogrammÄ systemd-repart iestatÄ«jumu ignorÄÅ”ana ir atļauta, izveidojot nolaižamos failus direktorijÄ /etc/systemd/system/name.d/.
- SistÄmas attÄliem tiek iestatÄ«ts atbalsta beigu karodziÅÅ”, nosakot Å”o faktu, pamatojoties uz jaunÄ parametra āSUPPORT_END=ā vÄrtÄ«bu failÄ /etc/os-release.
- Pievienoti iestatÄ«jumi āConditionCredential=ā un āAssertCredential=ā, kurus var izmantot, lai ignorÄtu vai avÄriju vienÄ«bas, ja sistÄmÄ nav noteiktu akreditÄcijas datu.
- Faultiem system.conf un user.conf ir pievienoti iestatÄ«jumi āDefaultSmackProcessLabel=ā un āDefaultDeviceTimeoutSec=ā, lai definÄtu noklusÄjuma SMACK droŔības lÄ«meni un vienÄ«bas aktivizÄcijas taimautu.
- IestatÄ«jumos āConditionFirmware=ā un āAssertFirmware=ā ir pievienota iespÄja norÄdÄ«t atseviŔķus SMBIOS laukus, piemÄram, palaist vienÄ«bu tikai tad, ja laukÄ /sys/class/dmi/id/board_name ir vÄrtÄ«ba āCustom Board", varat norÄdÄ«t "ConditionFirmware=smbios" -field(board_name = "Custom Board")".
- InicializÄcijas procesa laikÄ (PID 1) papildus to definÄ«cijai, izmantojot qemu_fwcfg, ir pievienota iespÄja importÄt akreditÄcijas datus no SMBIOS laukiem (11. tips, āOEM piegÄdÄtÄja virknesā), kas vienkÄrÅ”o akreditÄcijas datu nodroÅ”inÄÅ”anu virtuÄlajÄm maŔīnÄm un novÄrÅ” nepiecieÅ”amÄ«ba pÄc treÅ”Äs puses rÄ«kiem, piemÄram, mÄkonis-init un aizdedzes.
- IzslÄgÅ”anas laikÄ ir mainÄ«ta virtuÄlo failu sistÄmu (proc, sys) atvienoÅ”anas loÄ£ika un informÄcija par procesiem, kas bloÄ·Ä failu sistÄmu atvienoÅ”anu, tiek saglabÄta žurnÄlÄ.
- SistÄmas zvanu filtrs (SystemCallFilter) pÄc noklusÄjuma ļauj piekļūt sistÄmas izsaukumam riscv_flush_icache.
- Sd-boot bootloader pievieno iespÄju sÄknÄt jauktÄ režīmÄ, kurÄ 64 bitu Linux kodols darbojas no 32 bitu UEFI programmaparatÅ«ras. Pievienota eksperimentÄla iespÄja automÄtiski lietot SecureBoot atslÄgas no failiem, kas atrodas ESP (EFI sistÄmas nodalÄ«jumÄ).
- Bootctl utilÄ«tai ir pievienotas jaunas opcijas: "āall-architectures" binÄro failu instalÄÅ”anai visÄm atbalstÄ«tajÄm EFI arhitektÅ«rÄm, "āroot=" un "āimage=" darbam ar direktoriju vai diska attÄlu, "-install-source =ā instalÄcijas avota noteikÅ”anai, "-efi-boot-option-description=", lai kontrolÄtu sÄknÄÅ”anas ierakstu nosaukumus.
- Komanda 'list-automounts' ir pievienota utilÄ«tai systemctl, lai parÄdÄ«tu automÄtiski pievienoto direktoriju sarakstu un opciju "--image=", lai izpildÄ«tu komandas saistÄ«bÄ ar norÄdÄ«to diska attÄlu. KomandÄm 'show' un 'status' ir pievienotas opcijas "--state=" un "--type=".
- systemd-networkd pievienoja opcijas āTCPCongestionControlAlgorithm=ā, lai atlasÄ«tu TCP pÄrslodzes kontroles algoritmu, āKeepFileDescriptor=ā, lai saglabÄtu TUN/TAP saskarÅu faila deskriptoru, āNetLabel=ā, lai iestatÄ«tu NetLabels, āRapidCommit=ā, lai paÄtrinÄtu konfigurÄciju, izmantojot DHCPv6. (RFC 3315). Parametrs āRouteTable=ā ļauj norÄdÄ«t marÅ”rutÄÅ”anas tabulu nosaukumus.
- systemd-nspawn ļauj izmantot relatÄ«vos failu ceļus opcijÄs "--bind=" un "--overlay=". Pievienots parametra "rootidmap" atbalsts opcijai "--bind=", lai saistÄ«tu konteinera saknes lietotÄja ID ar resursdatora pusÄ uzstÄdÄ«tÄ direktorija Ä«paÅ”nieku.
- Systemd-resolved pÄc noklusÄjuma izmanto OpenSSL kÄ savu Å”ifrÄÅ”anas aizmuguri (gnutls atbalsts tiek saglabÄts kÄ opcija). NeatbalstÄ«ti DNSSEC algoritmi tagad tiek uzskatÄ«ti par nedroÅ”iem, nevis atgriež kļūdu (SERVFAIL).
- systemd-sysusers, systemd-tmpfiles un systemd-sysctl ievieÅ” iespÄju pÄrsÅ«tÄ«t iestatÄ«jumus, izmantojot akreditÄcijas datu uzglabÄÅ”anas mehÄnismu.
- Pievienota komanda 'compare-versions', lai systemd-analyze salÄ«dzinÄtu virknes ar versiju numuriem (lÄ«dzÄ«gi kÄ 'rpmdev-vercmp' un 'dpkg --compare-versions'). Komandai āsystemd-analyze dumpā ir pievienota iespÄja filtrÄt vienÄ«bas pÄc maskas.
- IzvÄloties daudzpakÄpju miega režīmu (apturÄt, pÄc tam pÄrziemot), gaidÄ«Å”anas režīmÄ pavadÄ«tais laiks tagad tiek atlasÄ«ts, pamatojoties uz prognozi par atlikuÅ”o akumulatora darbÄ«bas laiku. TÅ«lÄ«tÄja pÄreja uz miega režīmu notiek, ja akumulatora uzlÄdes lÄ«menis ir mazÄks par 5%.
- 'journalctl' ir pievienots jauns izvades režīms "-o short-delta", kas žurnÄlÄ parÄda laika starpÄ«bu starp dažÄdiem ziÅojumiem.
- Systemd-repart pievieno atbalstu nodalÄ«jumu izveidei ar failu sistÄmu Squashfs un nodalÄ«jumiem dm-verity, tostarp ar ciparparakstiem.
- Pievienots "StopIdleSessionSec=" iestatÄ«jums systemd-logind, lai beigtu neaktÄ«vu sesiju pÄc noteikta taimauta.
- Systemd-cryptenroll ir pievienojis opciju "--unlock-key-file=", lai izvilktu atÅ”ifrÄÅ”anas atslÄgu no faila, nevis prasÄ«tu lietotÄjam.
- Tagad ir iespÄjams palaist utilÄ«tu systemd-growfs vidÄs bez udev.
- systemd-backlight ir uzlabojis atbalstu sistÄmÄm ar vairÄkÄm grafikas kartÄm.
- Licence dokumentÄcijÄ sniegtajiem kodu piemÄriem ir mainÄ«ta no CC0 uz MIT-0.
IzmaiÅas, kas traucÄ saderÄ«bu:
- PÄrbaudot kodola versijas numuru, izmantojot direktÄ«vu ConditionKernelVersion, operatoros '=' un '!=' tagad tiek izmantots vienkÄrÅ”s virkÅu salÄ«dzinÄjums, un, ja salÄ«dzinÄÅ”anas operators vispÄr nav norÄdÄ«ts, glob-mask saskaÅoÅ”anu var izmantot, izmantojot rakstzÄ«mes '*', '?' Un '[', ']'. Lai salÄ«dzinÄtu stverscmp() stila versijas, izmantojiet operatorus '<', '>', '<=' un '>='.
- SELinux tags, ko izmanto, lai pÄrbaudÄ«tu piekļuvi no vienÄ«bas faila, tagad tiek nolasÄ«ts faila ielÄdes laikÄ, nevis piekļuves pÄrbaudes laikÄ.
- NosacÄ«jums "ConditionFirstBoot" tagad tiek aktivizÄts sistÄmas pirmajÄ sÄknÄÅ”anas reizÄ tikai tieÅ”i sÄknÄÅ”anas stadijÄ un atgriež "false", izsaucot vienÄ«bas pÄc sÄknÄÅ”anas pabeigÅ”anas.
- 2024. gadÄ Systemd plÄno pÄrtraukt cgroup v1 resursu ierobežoÅ”anas mehÄnisma atbalstu, kas tika novecots Systemd 248. laidienÄ. Administratoriem ieteicams rÅ«pÄties par cgroup v2 pakalpojumu migrÄÅ”anu uz cgroup v1. GalvenÄ atŔķirÄ«ba starp cgroups v2 un v1 ir kopÄjas cgroups hierarhijas izmantoÅ”ana visu veidu resursiem, nevis atseviŔķas hierarhijas CPU resursu pieŔķirÅ”anai, atmiÅas patÄriÅa regulÄÅ”anai un I/O. AtseviŔķas hierarhijas rada grÅ«tÄ«bas organizÄt mijiedarbÄ«bu starp apdarinÄtÄjiem un rada papildu kodola resursu izmaksas, piemÄrojot noteikumus procesam, kas norÄdÄ«ts dažÄdÄs hierarhijÄs.
- 2023. gada otrajÄ pusÄ mÄs plÄnojam pÄrtraukt atbalstu sadalÄ«tajÄm direktoriju hierarhijÄm, kur /usr tiek montÄts atseviŔķi no saknes vai /bin un /usr/bin, /lib un /usr/lib ir atdalÄ«ti.
Avots: opennet.ru