Издание 253 на системскиот менаџер на системот

По три и пол месеци развој, беше претставено изданието на системскиот менаџер systemd 253.

Меѓу промените во новото издание:

• Пакетот ја вклучува алатката „ukify“, дизајнирана да создава, потврдува и генерира потписи за унифицирани слики на јадрото (UKI, Unified Kernel Image), комбинирајќи управувач за вчитување на кернелот од UEFI (UEFI никулец за подигање), слика на кернелот на Linux и системско опкружување вчитано во меморијата initrd, што се користи за почетна иницијализација во фазата пред да се монтира root датотечен систем. Алатката ја заменува функционалноста претходно обезбедена од командата „dracut -uefi“ и ја надополнува со можности за автоматско пресметување на поместувања во PE-датотеките, спојување на initrds, потпишување на вградени слики од јадрото, создавање комбинирани слики со sbsign, хеуристика за одредување име на јадрото, проверка на слика со поздравен екран и додавање потпишани политики за PCR генерирани од алатката systemd-measure.
• Додадена е поддршка за initrd околини кои не се ограничени со поставување меморија, во кои се користат преклопувања наместо tmpfs. За такви средини, systemd не ги брише сите датотеки во initrd откако ќе го префрли root датотечен систем.
• Параметарот „OpenFile“ е додаден на услугите за отворање произволни датотеки во датотечниот систем (или поврзување со приклучоци на Unix) и пренесување на поврзаните дескриптори на датотеки на започнатиот процес (на пример, кога треба да организирате пристап до датотека за непривилегирана услуга без промена на правата за пристап до датотеката) .
• Во systemd-cryptenroll, при регистрирање нови клучеви, можно е да се отклучуваат шифрирани партиции користејќи FIDO2 токени (--unlock-fido2-device) без да се бара лозинка. ПИН-код одреден од корисникот се складира со сол за да се комплицира откривањето на брутална сила.
• Додадени се поставките ReloadLimitIntervalSec и ReloadLimitBurst, како и опциите на командната линија на јадрото (systemd.reload_limit_interval_sec и /systemd.reload_limit_burst) за ограничување на интензитетот на рестартирање на процесот во заднина.
• За единици, опцијата „MemoryZSwapMax“ е имплементирана за конфигурирање на својството memory.zswap.max, кое ја одредува максималната големина zswap.
• За единиците, имплементирана е опцијата „LogFilterPatterns“, која ви овозможува да поставите редовни изрази за да го филтрирате излезот на информации во дневникот (може да се користи за да се исклучи одреден излез или да се зачуваат само одредени податоци).
• Единиците на опсегот сега ја поддржуваат поставката „OOMPolicy“ за да го поставите однесувањето кога се обидувате да превенирате кога меморијата е слаба (сесиите за најавување се поставени на OOMPolicy=продолжете за да не ги прекине насилно убиецот на OOM).
• Дефиниран е нов тип на услуга - „Type=notify-reload“, кој го проширува типот „Type=notify“ со можност да се чека сигналот за рестартирање да заврши обработката (SIGHUP). Услугите systemd-networkd.service, systemd-udevd.service и systemd-logind се префрлени на новиот тип.
• udev користи нова шема за именување за мрежните уреди, разликата е во тоа што за USB-уреди кои не се поврзани со PCI магистралата, ID_NET_NAME_PATH сега е поставен за да обезбеди попредвидливи имиња. Операторот '-=' е имплементиран за променливите SYMLINK, оставајќи ги симболичните врски неконфигурирани ако претходно било дефинирано правило за нивно додавање.
• Во systemd-boot, преносот на семе за генератори на псевдо-случајни броеви во кернелот и за заднината на дискот е преработен. Додадена е поддршка за вчитување на кернелот не само од ESP (Системска партиција EFI), на пример, од фирмверот или директно за QEMU. Парсирањето на параметрите на SMBIOS е обезбедено за да се одреди стартувањето во средина за виртуелизација. Имплементиран е нов режим „ако безбедно“ во кој сертификатот за UEFI Secure Boot се вчитува од ESP само ако се смета за безбеден (работи во виртуелна машина).
• Алатката bootctl го имплементира генерирањето системски токени на сите EFI системи, освен средини за виртуелизација. Додадени се команди „kernel-identify“ и „kernel-inspect“ за прикажување на типот на сликата на јадрото и информации за опциите на командната линија и верзијата на јадрото, „unlink“ за отстранување на датотеката поврзана со првиот тип записи за подигање, „cleanup“ за отстранување на сите датотеки од директориумот „entry-token“ во ESP и XBOOTLDR, кои не се поврзани со првиот тип на записи за подигање. Обезбедена е обработка на променливата KERNEL_INSTALL_CONF_ROOT.
• Командата „systemctl list-dependencies“ сега поддржува обработка на опциите „--type“ и „--state“, а командата „systemctl kexec“ додава поддршка за средини базирани на хипервизорот Xen.
• Во .network датотеките во делот [DHCPv4], сега е додадена поддршка за SocketPriority и QuickAck, RouteMetric=high|sred|
• Systemd-repart додаде опции „--include-partitions“, „--exclude-partitions“ и „--defer-partitions“ за филтрирање на партициите по тип UUID, што, на пример, ви овозможува да изградите слики во кои една партиција е изградена врз основа на содржината на друга партиција. Додадена е и опцијата „--sector-size“ за да се одреди големината на секторот што се користи при креирањето на партицијата. Додадена е поддршка за генерирање датотеки erofs. Поставката Minimize спроведува обработка на „најдобрата“ вредност за да се избере минималната можна големина на сликата.
• systemd-journal-mote овозможува користење на MaxUse, KeepFree, MaxFileSize и MaxFiles поставките за ограничување на потрошувачката на простор на дискот.
• systemd-cryptsetup додава поддршка за испраќање проактивни барања до токените FIDO2 за да се утврди нивното присуство пред автентикацијата.
• Новите параметри tpm2-measure-bank и tpm2-measure-pcr се додадени во crypttab.
• systemd-gpt-auto-generator имплементира монтажа на ESP и XBOOTLDR партиции во режимите „noexec,nosuid,nodev“, а исто така додава сметководство за параметрите rootftype и rootflags пренесени низ командната линија на кернелот.
• systemd-resolved обезбедува можност за конфигурирање на параметрите на резолуторот со наведување на серверот за имиња, доменот, network.dns и network.search_domains опциите на командната линија на кернелот.
• Командата „systemd-analyze plot“ сега има можност да излегува во JSON формат кога го одредува знамето „-json“. Додадени се и нови опции „--table“ и „-no-legend“ за контрола на излезот.
• Во 2023 година, планираме да ја прекинеме поддршката за cgroups v1 и хиерархиите на поделени директориуми (каде што /usr е монтиран одделно од коренот, или /bin и /usr/bin, /lib и /usr/lib се одвоени).

Извор: opennet.ru