ProHoster > Блог > rongo ipurangi > te tuku kaiwhakahaere punaha systemd 243

te tuku kaiwhakahaere punaha systemd 243

I muri i te rima marama o te whanaketanga i tukuna tuku kaiwhakahaere pūnaha 243 pūnaha. I roto i nga mea hou, ka taea e taatau te whakauru ki te PID 1 o te kaihautu mo te iti o te mahara i roto i te punaha, te tautoko mo te taapiri i o ake kaupapa BPF mo te tarai i nga waka wae, he maha nga waahanga hou mo te punaha-whatunga, he aratau mo te aro turuki i te bandwidth o te whatunga. atanga, ka taea te taunoa i runga i nga punaha 64-bit nga nama PID 22-bit hei utu mo te 16-bit, whakawhiti ki te hierarchy cgroups whakakotahi, whakauru ki te systemd-network-generator.

Nga huringa matua:

  • Ko te whakamohiotanga o nga tohu i hangaia e te kernel mo te ngaro o te mahara (Out-Of-Memory, OOM) kua taapirihia ki te kaihautu PID 1 ki te whakawhiti i nga waeine kua eke ki te rohe paunga mahara ki roto i tetahi ahuatanga motuhake me te kaha ki te akiaki kia whakamutua. mutu ranei;
  • Mo nga konae wae, nga tawhā hou IPingressFilterPath me
    IPEgressFilterPath, e taea ai e koe te hono atu i nga kaupapa BPF me nga kaikawe whakahaere ki te tarai i nga paatete IP taumai me te puta atu i hangaia e nga tikanga e pa ana ki tenei waahanga. Ko nga ahuatanga e whakaarohia ana ka taea e koe te hanga i tetahi momo papangaahi mo nga ratonga systemd. He tauira tuhi he tātari whatunga ngawari i runga i te BPF;

  • Kua taapirihia te whakahau "ma" ki te whaipainga systemctl ki te whakakore i te keteroki, nga konae wa whakahaere, nga korero mana me nga raarangi raarangi;
  • ka taapirihia e te systemd-networkd te tautoko mo nga hononga whatunga MACsec, nlmon, IPVTAP me Xfrm;
  • Ka whakatinanahia e te systemd-networkd te whirihoranga motuhake o te DHCPv4 me te DHCPv6 puranga i roto i nga waahanga "[DHCPv4]" me "[DHCPv6]" i roto i te konae whirihoranga. Kua taapirihia te kōwhiringa RoutesToDNS ki te taapiri i tetahi ara motuhake ki te tūmau DNS kua tohua i roto i nga tawhā i whakawhiwhia mai i te tūmau DHCP (kia tukuna nga waka ki te DNS ma te hononga kotahi ki te huarahi matua i whakawhiwhia mai i te DHCP). Kua taapirihia nga whiringa hou mo te DHCPv4: MaxAttempts - te maha o nga tono kia whiwhi wahitau, BlackList - rarangi pango o nga tūmau DHCP, SendRelease - taea te tuku karere DHCP RELEASE ina mutu te wahanga;
  • Kua taapirihia nga whakahau hou ki te whaipainga systemd-analyze:
    • “systemd-analyse timestamp” - te porotiti me te hurihanga;
    • “systemd-analyse timespan” - te tātari me te hurihanga o nga waa;
    • "te tikanga tātari-systemd" - te poroporo me te whakamatautau i nga whakaaturanga ConditionXYZ;
    • “systemd-analyse exit-status” - te poroporo me te huri i nga waehere putanga mai i nga nama ki nga ingoa me te huri ke;
    • "systemd-analyze unit-files" - Ka whakarārangihia nga ara kōnae katoa mo nga waeine me nga ingoa ingoa wae.
  • Kōwhiringa SuccessExitStatus, RestartPreventExitStatus me
    Kei te tautoko a RestartForceExitStatus inaianei ehara i te mea ko nga waehere whakahoki nama anake, engari ko o raatau tohu tuhinga (hei tauira, "DATAERR"). Ka taea e koe te tiro i te rarangi o nga waehere kua tohua ki nga kaitautuhi ma te whakamahi i te whakahau "whakaahua-whakaaro-whakaaro";

  • Kua taapirihia te whakahau "muku" ki te taputapu networkctl hei whakakore i nga taputapu whatunga mariko, me te "—stats" hei whakaatu i nga tatauranga taputapu;
  • Ko nga tautuhinga SpeedMeter me SpeedMeterIntervalSec kua taapirihia ki te networkd.conf mo te ine i ia waa te whakaputanga o nga hononga whatunga. Ko nga tatauranga ka puta mai i nga hua ine ka taea te tiro i te putanga o te tono 'networkctl status';
  • Kua taapirihia te punaha punaha-whatunga-whakahanga hou mo te whakaputa i nga konae
    .network, .netdev me .link i runga i nga tautuhinga IP i tukuna i te wa i whakarewahia ma te raina whakahau kernel Linux i te whakatakotoranga tautuhinga Dracut;

  • Ko te uara "kernel.pid_max" sysctl i runga i nga punaha 64-bit kua tautuhia ma te taunoa ki te 4194304 (22-bit PIDs hei utu mo te 16-bits), e whakaiti ana i te tupono o te tukinga ina tautapahia nga PID, ka piki ake te tepe o te maha o te wa kotahi. te whakahaere i nga tukanga, a he pai te paanga ki te haumarutanga. Ko te whakarereketanga pea ka puta nga take hototahi, engari kaore ano kia ripoatahia enei take i roto i nga mahi;
  • Ma te taunoa, ka huri te atamira hanga ki te hierarchy cgroups-v2 (“-Ddefault-hierarchy=unified”). I mua, ko te taunoa ko te aratau ranu (“-Ddefault-hierarchy=hybrid”);
  • Ko te whanonga o te tātari waea punaha (SystemCallFilter) kua whakarereketia, na te mea he waea punaha kua rahuitia, ka mutu te mahi katoa, kaua ki nga miro takitahi, na te mea ko te whakamutu i nga miro takitahi ka puta he raruraru ohorere. Ko nga huringa ka pa ana mena kei a koe te kernel Linux 4.14+ me te libseccomp 2.4.0+;
  • Ko nga kaupapa kore e whai mana ana ki te tuku i nga paatete ICMP Echo (ping) ma te tautuhi i te sysctl "net.ipv4.ping_group_range" mo te katoa o nga roopu (mo nga tukanga katoa);
  • Hei tere ake i te mahi hanga, kua aukatihia te whakatipuranga o nga pukapuka a te tangata (ki te hanga tuhinga katoa, me whakamahi koe i te whiringa "-Dman = pono" ranei "-Dhtml = pono" mo nga pukapuka i roto i te whakatakotoranga html). Kia ngawari ake te tiro i nga tuhinga, e rua nga tuhinga kua whakauruhia: hanga/man/man me te hanga/man/html mo te whakaputa me te arokite i nga pukapuka o te paanga;
  • Hei tukatuka i nga ingoa rohe me nga tohu mai i nga reta a-motu, ka whakamahia te whare pukapuka libidn2 ma te taunoa (ki te whakahoki i te libidn, whakamahia te "-Dlibidn = pono" kōwhiringa);
  • Ko te tautoko mo te /usr/sbin/halt.local konae ka taea te whakahaere, i whakarato taumahinga kaore i horahia whanuitia ki nga tohatoha, kua whakamutua. Hei whakarite i te whakarewatanga o nga whakahau i te wa e kati ana, e taunaki ana kia whakamahia nga tuhinga i roto i /usr/lib/systemd/system-shutdown/ ranei te tautuhi i tetahi waahanga hou e whakawhirinaki ana ki te final.target;
  • I te wa whakamutunga o te katinga, ka whakanui aunoa a systemd i te taumata rangitaki i roto i te sysctl "kernel.printk", e whakaoti ana i te raru ki te whakaatu i nga huihuinga i puta i nga waahanga o muri o te katinga, ina kua oti kee nga daemon takiuru. ;
  • I roto i te journalctl me etahi atu taputapu e whakaatu ana i nga raarangi, ka tohuhia nga whakatupato ki te kowhai, ka tohua nga rekoata kaute ki te puru kia kitea mai i te mano;
  • I roto i te taurangi taiao $PATH, ko te ara ki te bin/ kei mua i te huarahi ki te sbin/, i.e. mena he rite nga ingoa o nga konae ka taea te whakahaere i nga raarangi e rua, ka mahia te konae mai i te bin/;
  • ka tukuna e te systemd-logind he karanga SetBrightness() hei huri humarie i te kanapa o te mata mo ia wahanga;
  • Ko te haki "--tatari-mo-te-ara" kua taapirihia ki te whakahau "udevadm info" kia tatari kia arawhiti te taputapu;
  • I te wa e whawhai ana te punaha, ka whakaatuhia e te kaihautu PID 1 nga ingoa o nga waeine hei utu mo te raina me o raatau whakaahuatanga. Hei hoki ki te whanonga o mua, ka taea e koe te whakamahi i te kōwhiringa StatusUnitFormat i roto i /etc/systemd/system.conf ranei te kōwhiringa kernel systemd.status_unit_format;
  • Kua taapirihia te whiringa KExecWatchdogSec ki te /etc/systemd/system.conf mo te kaitutei PID 1, e tohu ana i te waahi mo te whakaara ano i te kexec. Te whakatakotoranga tawhito
    Kua whakaingoatia a ShutdownWatchdogSec ki RebootWatchdogSec me te tautuhi i te waahi mo nga mahi i te wa e kati ana, e whakaara ano ranei;

  • Kua taapirihia he whiringa hou mo nga ratonga Tikanga, ka taea e koe te tautuhi i nga whakahau ka mahia i mua i te ExecStartPre. I runga i te waehere hapa i whakahokia mai e te whakahau, ka whakatauhia mo te mahi ano o te waahanga - mena ka whakahokia mai te waehere 0, ka haere tonu te whakarewatanga o te waeine, mena mai i te 1 ki te 254 ka mutu marie kaore he haki rahunga, mena 255 ka mutu me he haki rahunga;
  • Kua taapirihia he ratonga hou systemd-pstore.service ki te tango raraunga mai i te sys/fs/pstore/ me te penapena ki /var/lib/pstore mo etahi atu tātaritanga;
  • Kua taapirihia nga whakahau hou ki te whaipainga timedatectl mo te whirihora i nga tawhā NTP mo te systemd-timesyncd e pa ana ki nga hononga whatunga;
  • Ko te tono "localectl list-locales" kaore e whakaatu i nga waahi ke atu i te UTF-8;
  • Ka whakarite kia kore e arohia nga hapa taumahi taurangi i roto i nga konae sysctl.d/ mena ka timata te ingoa taurangi ki te tohu "-";
  • ratonga systemd-random-seed.service kei a ia te kawenga mo te arawhiti i te puna entropy o te Linux kernel pseudorandom number generator. Ko nga ratonga e hiahia ana kia tika te arawhitinga /dev/urandom me timata i muri i te systemd-random-seed.service;
  • Ko te systemd-boot boot loader e whakarato ana i te kaha ki te tautoko kōnae kākano me te raupapa matapōkere i te EFI System Wehewehenga (ESP);
  • Kua taapirihia nga whakahau hou ki te whaipainga bootctl: "bootctl random-seed" ki te whakaputa i te konae kakano ki te ESP me te "bootctl is-installed" ki te tirotiro i te whakaurunga o te systemd-boot boot loader. kua whakatikahia ano te bootctl ki te whakaatu whakatupato mo te he o te whirihoranga o nga whakaurunga boot (hei tauira, ka mukua te ahua o te kernel, engari ka waiho te urunga mo te uta);
  • Ka whakarato i te kowhiringa aunoa mo te wehenga whakawhiti ina uru te punaha ki te aratau moe. Ka tohua te wehewehenga i runga i te kaupapa matua kua whirihorahia mo taua mea, a, mo nga kaupapa matua rite, te nui o te waahi waatea;
  • Kua taapirihia te kowhiringa-waa-matua ki te /etc/crypttab hei tautuhi kia pehea te roa o te taputapu me te taviri whakamunatanga i mua i te tono mo te kupuhipa kia uru ki te arai whakamunatia;
  • Kua taapirihia te whiringa IOWeight ki te whakarite i te taumaha I/O mo te kaihoroi BFQ;
  • systemd-resolved tāpiri aratau 'tino' mo DNS-over-TLS me te whakatinana i te kaha ki te keteroki i nga whakautu DNS pai anake ("Keteroki kore-kino" i te resolved.conf);
  • Mo VXLAN, kua taapirihia e te systemd-networkd he kōwhiringa GenericProtocolExtension kia taea ai te toronga kawa VXLAN. Mo VXLAN me GENEVE, kua taapirihia te whiringa IPDoNotFragment hei tautuhi i te haki aukati wehewehenga mo nga paatete puta;
  • I roto i te systemd-networkd, i te waahanga "[Route]", kua puta te whiringa FastOpenNoCookie kia taea ai te mahi mo te whakatuwhera tere i nga hononga TCP (TFO - TCP Fast Open, RFC 7413) e pa ana ki nga huarahi takitahi, me te whiringa TTLPropagate. ki te whirihora TTL LSP (Tapanga Whakawhiti Ara). Ko te kōwhiringa "Momo" he tautoko mo te rohe, haapurororaa, anycast, multicast, tetahi me te xresolve aratau ararere;
  • Ka tukuna e te Systemd-networkd he whiringa DefaultRouteOnDevice i te waahanga "[Whatunga]" hei whirihora aunoa i te ara taunoa mo tetahi taputapu whatunga kua hoatu;
  • Kua taapirihia e Systemd-networkd te ProxyARP me te
    ProxyARPWifi mo te tautuhi i te whanonga ARP takawaenga, MulticastRouter mo te tautuhi i nga tawhā ararere i roto i te aratau multicast, MulticastIGMPVersion mo te huri i te putanga IGMP (Internet Group Management Protocol) mo te multicast;

  • Kua taapirihia e te Systemd-networkd nga whiringa Paetata, Peer me PeerPort mo nga kohanga FooOverUDP hei whirihora i nga wahitau IP o te rohe me te mamao, me te tau tauranga whatunga. Mo nga tunnels TUN, kua taapirihia te whiringa VnetHeader hei whirihora i te tautoko GSO (Generic Segment Offload);
  • I roto i te systemd-networkd, i roto i nga konae .network me te .link i te waahanga [Match], kua puta he whiringa Taonga, e taea ai e koe te tautuhi i nga taputapu ma o raatau ahuatanga motuhake i roto i te udev;
  • I roto i te systemd-networkd, kua taapirihia he whiringa AssignToLoopback mo nga tunnels, e whakahaere ana mena kua tautapahia te pito o te kauhanga ki te taputapu loopback "lo";
  • ka whakahohe aunoa a systemd-networkd i te puranga IPv6 mena ka aukatihia ma te sysctl disable_ipv6 - Ka whakahohehia te IPv6 mena kua tautuhia nga tautuhinga IPv6 (pateko, DHCPv6 ranei) mo te atanga whatunga, ki te kore e rereke te uara sysctl kua whakaritea;
  • I roto i nga kōnae .network, kua whakakapihia te tautuhinga CriticalConnection e te kōwhiringa KeepConfiguration, e whakarato ana i etahi atu tikanga mo te tautuhi i nga ahuatanga ("ae", "pateko", "dhcp-on-stop", "dhcp") e tika ai te systemd-networkd kaua e pa ki nga hononga o naianei i te tiimatanga;
  • Whakaraerae kua whakaritea CVE-2019-15718, na te kore o te mana uru ki te atanga D-Bus systemd-whakaoti. Ko te take ka taea e tetahi kaiwhakamahi kore whai mana ki te mahi i nga mahi e waatea ana ki nga kaiwhakahaere anake, penei i te whakarereke i nga tautuhinga DNS me te whakatika i nga patai DNS ki tetahi tūmau nauhea;
  • Whakaraerae kua whakaritea CVE-2019-9619e pa ana ki te kore e taea te pam_systemd mo nga huihuinga kore-whakawhitiwhiti, e taea ai te tinihanga o te waahi hohe.

Source: opennet.ru

Tāpiri i te kōrero