ProHoster > Blog > vaovao amin'ny Internet > Systemd System Manager namoaka 243

Systemd System Manager namoaka 243

Taorian'ny dimy volana ny fampandrosoana aseho famoahana ny mpitantana ny rafitra systemd 243. Anisan'ireo fanavaozana, azontsika atao ny manamarika ny fampidirana ao amin'ny PID 1 amin'ny mpitantana iray ho an'ny fitadidiana ambany ao amin'ny rafitra, fanohanana ny fametahana ny programa BPF anao manokana amin'ny fanivanana ny fifamoivoizana amin'ny vondrona, safidy vaovao maro ho an'ny systemd-networkd, fomba fanaraha-maso ny bandwidth an'ny tambajotra. interfaces, mamela amin'ny alàlan'ny default amin'ny rafitra 64-bit 22-bit isa PID fa tsy 16-bit, fifindrana mankany amin'ny ambaratongan'ny cgroups mitambatra, fampidirana ao amin'ny systemd-network-generator.

Fiovana lehibe:

  • Ny fanekena ireo famantarana vokarin'ny kernel momba ny tsy fahampian'ny fitadidiana (Out-Of-Memory, OOM) dia nampiana tao amin'ny mpitantana PID 1 mba hamindrana ireo singa izay nahatratra ny fetran'ny fanjifana fahatsiarovana ho any amin'ny fanjakana manokana miaraka amin'ny fahafahana misafidy hanery azy ireo hampitsahatra. na mijanona;
  • Ho an'ny rakitra unit, ny paramètre vaovao IPingressFilterPath sy
    IPEgressFilterPath, izay ahafahanao mampifandray ny programa BPF amin'ny mpitantana tsy ara-dalàna hanivana ny fonosana IP miditra sy mivoaka avy amin'ny dingana mifandraika amin'ity vondrona ity. Ny endri-javatra atolotra dia ahafahanao mamorona karazana firewall ho an'ny serivisy systemd. Ohatra fanoratana sivana tambajotra tsotra mifototra amin'ny BPF;

  • Ny baiko "madio" dia nampiana tao amin'ny utility systemctl hamafa ny cache, ny rakitra runtime, ny mombamomba ny sata ary ny lahatahiry log;
  • systemd-networkd manampy fanohanana ny MACsec, nlmon, IPVTAP ary Xfrm interfaces;
  • systemd-networkd dia mametraka fanamafisam-peo misaraka amin'ny DHCPv4 sy DHCPv6 amin'ny alàlan'ny fizarana "[DHCPv4]" sy "[DHCPv6]" ao amin'ny rakitra fanamafisana. Nampiana ny safidy RoutesToDNS mba hampidirana lalana misaraka amin'ny mpizara DNS voatondro ao amin'ny mari-pamantarana azo avy amin'ny mpizara DHCP (mba ny fifamoivoizana mankany amin'ny DNS dia alefa amin'ny alàlan'ny rohy mitovy amin'ny lalana lehibe azo avy amin'ny DHCP). Nampiana safidy vaovao ho an'ny DHCPv4: MaxAttempts - isa ambony indrindra amin'ny fangatahana hahazoana adiresy, BlackList - lisitra mainty an'ny mpizara DHCP, SendRelease - avelao ny fandefasana hafatra DHCP RELEASE rehefa tapitra ny fivoriana;
  • Nisy baiko vaovao nampiana tao amin'ny systemd-analyze utility:
    • "systemd-analyze timestamp" - famandrihana fotoana sy fiovam-po;
    • "systemd-analyze timespan" - famakafakana sy fiovam-potoana;
    • "système d-analyze condition" - fanasokajiana sy fitiliana ny fehezan-teny ConditionXYZ;
    • "systemd-analyze exit-status" - mamadika sy mamadika kaody fivoahana avy amin'ny isa ho anarana ary ny mifamadika amin'izany;
    • "systemd-analyze unit-files" - Mitanisa ny lalan'ny rakitra rehetra ho an'ny singa sy ny solon'anarana.
  • Safidy SuccessExitStatus, RestartPreventExitStatus ary
    Ny RestartForceExitStatus izao dia tsy manohana ny kaody miverina amin'ny isa ihany, fa koa ny famantarana ny lahatsoratra (ohatra, "DATAERR"). Azonao atao ny mijery ny lisitry ny kaody voatendry ho an'ny famantarana amin'ny alàlan'ny baiko "sytemd-analyze exit-status";

  • Ny baiko "fafao" dia nampiana tao amin'ny utility networkctl hamafa ny fitaovana tambajotra virtoaly, ary koa ny safidy "—stats" hanehoana ny antontan'isa momba ny fitaovana;
  • Ny fandrindrana SpeedMeter sy SpeedMeterIntervalSec dia nampiana tao amin'ny networkd.conf mba handrefesana tsindraindray ny fidirana amin'ny fifandraisana amin'ny tambajotra. Ny antontan'isa azo avy amin'ny valin'ny fandrefesana dia azo jerena amin'ny famoahana ny baiko 'networkctl status';
  • Nampiana utility systemd-network-generator vaovao hamoronana rakitra
    .network, .netdev ary .rohy mifototra amin'ny firafitry ny IP nandalo rehefa natomboka tamin'ny alalan'ny baikon'ny kernel Linux amin'ny endrika firafitry ny Dracut;

  • Ny sandan'ny "kernel.pid_max" sysctl amin'ny rafitra 64-bit dia napetraka amin'ny alàlan'ny default amin'ny 4194304 (22-bit PIDs fa tsy 16-bits), izay mampihena ny mety hisian'ny fifandonana rehefa manome PIDs, mampitombo ny fetra amin'ny isan'ny miaraka. mihazakazaka ny dingana, ary misy fiantraikany tsara eo amin'ny fiarovana. Mety hitarika olana amin'ny fifanarahana ny fiovana, saingy tsy mbola notaterina tamin'ny fampiharana ny olana toy izany;
  • Amin'ny alàlan'ny default, ny dingana fananganana dia mifindra amin'ny ambaratonga tokana cgroups-v2 (“-Ddefault-hierarchy=unified”). Teo aloha, ny default dia mode hybrid (“-Ddefault-hierarchy=hybrid”);
  • Niova ny fihetsiky ny sivana antson'ny rafitra (SystemCallFilter), izay, raha misy antso an-tariby voarara, dia mamarana ny dingana manontolo, fa tsy ny kofehy tsirairay, satria mety hiteraka olana tsy ampoizina ny fampitsaharana ny kofehy tsirairay. Ny fanovana dia mihatra raha tsy manana Linux kernel 4.14+ sy libseccomp 2.4.0+ ianao;
  • Ny programa tsy misy tombontsoa dia omena fahafahana mandefa fonosana ICMP Echo (ping) amin'ny fametrahana ny sysctl "net.ipv4.ping_group_range" ho an'ny vondrona manontolo (ho an'ny dingana rehetra);
  • Mba hanafainganana ny fizotran'ny fananganana, dia natsahatra ny famoronana boky torolalana ho an'ny olona (mba hananganana antontan-taratasy feno dia mila mampiasa ny safidy "-Dman = marina" na "-Dhtml = marina" ho an'ny boky amin'ny endrika html). Mba hanamora ny fijerena ny antontan-taratasy dia misy soratra roa: build/man/man ary build/man/html ho an'ny famoronana sy fijerena ireo boky torolalana mahaliana;
  • Mba hanodinana ny anaran-tsehatra misy tarehintsoratra avy amin'ny abidy nasionaly, ny tranomboky libidn2 dia ampiasaina amin'ny alàlan'ny default (mba hamerenana ny libidn, ampiasao ny safidy "-Dlibidn=true");
  • Ny fanohanana ny /usr/sbin/halt.local executable file, izay nanome fonctionnaire tsy niparitaka be tamin'ny fizarana, dia natsahatra. Mba handaminana ny fandefasana ny baiko rehefa mihidy, dia asaina mampiasa script ao amin'ny /usr/lib/systemd/system-shutdown/ na mamaritra vondrona vaovao izay miankina amin'ny final.target;
  • Amin'ny dingana farany amin'ny fanakatonana, systemd izao dia mampitombo ho azy ny haavon'ny log ao amin'ny sysctl "kernel.printk", izay mamaha ny olana amin'ny fampisehoana ao amin'ny log hetsika izay nitranga tamin'ny dingana farany fanakatonana, rehefa efa vita ny daemons logging mahazatra. ;
  • Ao amin'ny journalctl sy ny fitaovana hafa mampiseho diary, ny fampitandremana dia asongadina amin'ny loko mavo, ary ny firaketana fanamarinana dia asongadina amin'ny manga mba hanasongadinana azy ireo amin'ny vahoaka;
  • Ao amin'ny fari-piainan'ny tontolo iainana $PATH, ny lalana mankany amin'ny bin/ dia tonga alohan'ny lalana mankany sbin/, izany hoe. raha misy anarana mitovy amin'ny rakitra azo tanterahana ao amin'ny lahatahiry roa, ny rakitra avy amin'ny bin/ dia hovonoina;
  • systemd-logind dia manome antso SetBrightness() hanova soa aman-tsara ny famirapiratry ny efijery isaky ny fotoam-pivoriana;
  • Ny saina "--miandry-ho-fanitsiana" dia nampidirina amin'ny baiko "udevadm info" hiandry ny fitaovana hanombohana;
  • Mandritra ny baotin'ny rafitra, ny mpitantana PID 1 izao dia mampiseho ny anaran'ny singa fa tsy tsipika misy ny famaritana azy. Mba hiverenana amin'ny fitondrantena taloha dia azonao ampiasaina ny safidy StatusUnitFormat ao amin'ny /etc/systemd/system.conf na ny safidy kernel systemd.status_unit_format;
  • Nampiana KExecWatchdogSec safidy amin'ny /etc/systemd/system.conf ho an'ny watchdog PID 1, izay mamaritra ny fotoana fiatoana amin'ny fampiasana kexec. Toerana taloha
    Ny ShutdownWatchdogSec dia novana anarana ho RebootWatchdogSec ary mamaritra ny fe-potoana ho an'ny asa mandritra ny fanakatonana na fanombohana ara-dalàna;

  • Nisy safidy vaovao nampiana ho an'ny serivisy ExecCondition, izay ahafahanao mamaritra ny baiko izay hotanterahina alohan'ny ExecStartPre. Miorina amin'ny kaody diso naverina tamin'ny baiko, ny fanapahan-kevitra dia raisina amin'ny famonoana bebe kokoa ny vondrona - raha averina ny code 0, dia mitohy ny fandefasana unit, raha 1 ka hatramin'ny 254 dia mifarana mangina tsy misy saina tsy fahombiazana, raha 255 dia mifarana amin'ny saina tsy fahombiazana;
  • Nampiana serviced-pstore.service vaovao hanesorana ny angona avy amin'ny sys/fs/pstore/ ary avy amin'ny fitehirizana ao amin'ny /var/lib/pstore hanaovana fanadihadiana fanampiny;
  • Ny baiko vaovao dia nampiana tao amin'ny utility timedatectl ho an'ny fanamafisana ny masontsivana NTP ho an'ny systemd-timesyncd mifandraika amin'ny fifandraisana amin'ny tambajotra;
  • Ny baiko "localectl list-locales" dia tsy mampiseho toerana hafa ankoatra ny UTF-8;
  • Miantoka fa tsy raharahaina ny fahadisoana fanendrena miovaova ao amin'ny rakitra sysctl.d/ raha manomboka amin'ny tarehintsoratra “-“ ny anarana miovaova;
  • fanompoana systemd-random-seed.service dia tompon'andraikitra tanteraka amin'ny fanombohana ny dobo entropy an'ny Linux kernel pseudorandom number generator. Tokony hatomboka aorian'ny systemd-random-seed.service ny serivisy izay mitaky /dev/urandom natomboka tsara;
  • Ny systemd-boot boot loader dia manome fahafahana azo atao hanohanana rakitra voa miaraka amin'ny filaharana kisendrasendra ao amin'ny EFI System Partition (ESP);
  • Nisy baiko vaovao nampiana tao amin'ny utility bootctl: "bootctl random-seed" mba hamoronana rakitra voa ao amin'ny ESP ary "bootctl is-installed" hanamarina ny fametrahana ny systemd-boot boot loader. bootctl koa dia nasiam-panitsiana mba hampisehoana fampitandremana momba ny fanitsiana diso amin'ny fidirana boot (ohatra, rehefa voafafa ny sary kernel, fa ny fidirana amin'ny fampidirana azy dia tavela);
  • Manome safidy mandeha ho azy amin'ny fizarazarana swap rehefa miditra amin'ny fomba torimaso ny rafitra. Ny fizarazarana dia voafantina miankina amin'ny laharam-pahamehana napetraka ho azy, ary raha misy laharam-pahamehana mitovy, ny habetsaky ny habaka malalaka;
  • Nampiana keyfile-timeout safidy amin'ny /etc/crypttab mba hametrahana ny halavan'ny fitaovana iray misy fanalahidin'ny encryption alohan'ny hanosika ny tenimiafina hidirana amin'ny fizarazarana miafina;
  • Safidy IOWeight fanampiny hametrahana ny lanjan'ny I/O ho an'ny mpandrindra BFQ;
  • systemd-resolved dia nanampy fomba 'henjana' ho an'ny DNS-over-TLS ary nampihatra ny fahafaha-mitahiry valiny DNS tsara ("Cache no-negative" ao amin'ny resolved.conf);
  • Ho an'ny VXLAN, systemd-networkd dia nanampy safidy GenericProtocolExtension ahafahan'ny fanitarana protocol VXLAN. Ho an'ny VXLAN sy GENEVE, ny safidy IPDoNotFragment dia nampiana mba hametrahana ny saina fandrarana fisarahana ho an'ny fonosana mivoaka;
  • Ao amin'ny systemd-networkd, ao amin'ny fizarana "[Route]", ny safidy FastOpenNoCookie dia niseho mba ahafahan'ny mekanika fanokafana haingana ny fifandraisana TCP (TFO - TCP Fast Open, RFC 7413) mifandraika amin'ny lalana tsirairay, ary koa ny safidy TTLPropagate handrindrana ny TTL LSP (Label Switched Path). Ny safidy "Type" dia manome fanohanana ho an'ny fomba fiasa eo an-toerana, fampielezam-peo, anycast, multicast, ary xresolve;
  • Ny Systemd-networkd dia manolotra safidy DefaultRouteOnDevice ao amin'ny fizarana "[Tambajotra]" mba hanitsiana ho azy ny lalana mahazatra ho an'ny fitaovana tambajotra iray;
  • Systemd-networkd dia nanampy ProxyARP sy
    ProxyARPWifi ho an'ny fametrahana proxy ARP fitondran-tena, MulticastRouter ho an'ny fametrahana masontsivana routing amin'ny fomba multicast, MulticastIGMPVersion amin'ny fanovana ny IGMP (Internet Group Management Protocol) ho an'ny multicast;

  • Systemd-networkd dia nanampy safidy eo an-toerana, Peer ary PeerPort ho an'ny tonelina FooOverUDP mba hanamboarana ny adiresy IP eo an-toerana sy lavitra, ary koa ny laharan'ny seranan-tsambo. Ho an'ny tonelina TUN, ny safidy VnetHeader dia nampiana mba handrindrana ny fanohanana GSO (Generic Segment Offload);
  • Ao amin'ny systemd-networkd, ao amin'ny rakitra .network sy .link ao amin'ny fizarana [Match], dia misy safidy Property niseho, izay ahafahanao mamantatra ny fitaovana amin'ny toetrany manokana ao amin'ny udev;
  • Ao amin'ny systemd-networkd, dia nasiana safidy AssignToLoopback ho an'ny tonelina, izay manara-maso raha apetraka amin'ny fitaovana loopback "lo" ny faran'ny tonelina;
  • systemd-networkd dia manetsika ho azy ny stack IPv6 raha voasakana amin'ny alalan'ny sysctl disable_ipv6 - IPv6 dia mavitrika raha toa ka voafaritra ho an'ny interface interface ny IPv6 (static na DHCPv6) raha tsy izany dia tsy miova ny sanda sysctl efa napetraka;
  • Ao amin'ny rakitra .network, nosoloina safidy KeepConfiguration ny fika CriticalConnection, izay manome fitaovana bebe kokoa hamaritana toe-javatra ("eny", "static", "dhcp-on-stop", "dhcp") izay tokony ho systemd-networkd. aza mikasika ny fifandraisana misy rehefa manomboka;
  • raikitra ny vulnerability CVE-2019-15718, vokatry ny tsy fisian'ny fanaraha-maso ny fidirana amin'ny D-Bus interface systemd-voavaha. Ny olana dia ahafahan'ny mpampiasa iray tsy manana tombontsoa hanao asa izay azon'ny mpitantana ihany, toy ny fanovana ny DNS sy ny fitarihana ny fanontaniana DNS amin'ny mpizara rogue;
  • raikitra ny vulnerability CVE-2019-9619mifandraika amin'ny tsy fampandehanana pam_systemd ho an'ny fotoam-pivoriana tsy misy ifanakalozan-kevitra, izay mamela ny fanodikodinana ny fivoriana mavitrika.

Source: opennet.ru

Add a comment