Издание 250 на системскиот менаџер на системот

По пет месеци развој, беше претставено изданието на системскиот менаџер systemd 250 Новото издание воведе можност за складирање на ингеренциите во шифрирана форма, имплементирана верификација на автоматски откриени GPT партиции со помош на дигитален потпис, подобрени информации за причините за доцнење. стартување на услуги и додадени опции за ограничување на пристапот до услугите до одредени датотечни системи и мрежни интерфејси, обезбедена е поддршка за следење на интегритетот на партициите со помош на модулот dm-integrity и додадена е поддршка за автоматско ажурирање на sd-boot.

Главни промени:

• Додадена е поддршка за шифрирани и автентификувани ингеренции, што може да биде корисно за безбедно складирање чувствителни материјали како што се SSL клучеви и лозинки за пристап. Дешифрирањето на ингеренциите се врши само кога е потребно и во врска со локалната инсталација или опрема. Податоците се шифрираат автоматски со користење на симетрични алгоритми за шифрирање, чиј клуч може да се наоѓа во датотечниот систем, во чипот TPM2 или со користење на комбинирана шема. Кога услугата ќе започне, ингеренциите автоматски се дешифрираат и стануваат достапни за услугата во нејзината нормална форма. За работа со шифрирани акредитиви, додадена е алатката „systemd-creds“, а за услугите се предложени поставките LoadCredentialEncrypted и SetCredentialEncrypted.
• sd-stub, извршната датотека EFI што овозможува фирмверот EFI да го вчита кернелот на Linux, сега поддржува подигање на кернелот со помош на протоколот LINUX_EFI_INITRD_MEDIA_GUID EFI. Исто така додадена на sd-stub е можноста за пакување на ингеренциите и датотеките sysext во архива cpio и пренесување на оваа архива во кернелот заедно со initrd (дополнителни датотеки се ставаат во директориумот /.extra/). Оваа функција ви овозможува да користите проверлива непроменлива initrd средина, надополнета со sysexts и шифрирани податоци за автентикација.
• Спецификацијата за Discoverable Partitions е значително проширена, обезбедувајќи алатки за идентификување, монтирање и активирање на системски партиции користејќи GPT (GUID Partition Tables). Во споредба со претходните изданија, спецификацијата сега ја поддржува root партицијата и /usr партицијата за повеќето архитектури, вклучувајќи ги и платформите кои не користат UEFI.

  Discoverable Partitions исто така додава поддршка за партиции чиј интегритет е потврден од модулот dm-verity со помош на дигитални потписи PKCS#7, што го олеснува создавањето целосно автентификувани слики на дискот. Поддршката за верификација е интегрирана во различни алатки кои манипулираат со слики на дискот, вклучувајќи systemd-nspawn, systemd-sysext, systemd-dissect, RootImage услуги, systemd-tmpfiles и systemd-sysusers.

• За единиците на кои им треба долго време да се стартуваат или стопираат, покрај прикажувањето на анимирана лента за напредок, можно е да се прикажат информации за статусот што ви овозможуваат да разберете што точно се случува со услугата во моментот и која услуга е менаџерот на системот моментално чека да се заврши.
• Додаден е параметарот DefaultOOMScoreAdjust на /etc/systemd/system.conf и /etc/systemd/user.conf, што ви овозможува да го прилагодите прагот на OOM-убиец за ниска меморија, применлив за процесите што ги започнува системот за системот и корисниците. Стандардно, тежината на системските услуги е поголема од онаа на корисничките услуги, т.е. Кога нема доволно меморија, веројатноста за прекинување на корисничките услуги е поголема од онаа на системските.
• Додадена е поставката RestrictFileSystems, која ви овозможува да го ограничите пристапот на услугите до одредени типови датотечни системи. За да ги видите достапните типови датотечни системи, можете да ја користите командата „systemd-anlyze file systems“. По аналогија, имплементирана е опцијата RestrictNetworkInterfaces, која ви овозможува да го ограничите пристапот до одредени мрежни интерфејси. Имплементацијата се базира на BPF LSM модулот, кој го ограничува пристапот на група процеси до објекти на јадрото.
• Додадена е нова датотека за конфигурација /etc/integritytab и алатка systemd-integritysetup што го конфигурира модулот dm-integrity за контрола на интегритетот на податоците на ниво на сектор, на пример, за да се гарантира непроменливоста на шифрираните податоци (Authenticated Encryption, осигурува дека блокот на податоци има не е изменета на кружен тек) . Форматот на датотеката /etc/integritytab е сличен на датотеките /etc/crypttab и /etc/veritytab, освен што се користи dm-integrity наместо dm-crypt и dm-verity.
• Додадена е нова единица датотека systemd-boot-update.service, кога ќе се активира и ќе се инсталира подигнувачот sd-boot, systemd автоматски ќе ја ажурира верзијата на подигнувачот sd-boot, одржувајќи го кодот на подигнувачот секогаш ажуриран. Самиот sd-boot сега е стандардно изграден со поддршка за механизмот SBAT (UEFI Secure Boot Advanced Targeting), кој ги решава проблемите со отповикувањето на сертификатот за UEFI Secure Boot. Покрај тоа, sd-boot обезбедува можност за анализирање на поставките за подигање на Microsoft Windows за правилно генерирање на имињата на партициите за подигање со Windows и прикажување на верзијата на Windows.

  sd-boot, исто така, обезбедува можност за дефинирање на шема на бои за време на изградбата. За време на процесот на подигање, додадена е поддршка за менување на резолуцијата на екранот со притискање на копчето „r“. Додадено е копче „f“ за да отидете на интерфејсот за конфигурација на фирмверот. Додаден е режим за автоматско подигање на системот што одговара на ставката од менито избрана при последното подигање. Додадена е можност за автоматско вчитување на драјверите за EFI лоцирани во директориумот /EFI/systemd/drivers/ во делот ESP (EFI System Partition).

• Вклучена е нова единица датотека factory-reset.target, која се обработува во systemd-logind на сличен начин како операциите за рестартирање, исклучување, суспендирање и хибернација и се користи за создавање управувачи за извршување на фабричко ресетирање.
• Процесот решен системски сега создава дополнителен приклучок за слушање на 127.0.0.54 покрај 127.0.0.53. Барањата што пристигнуваат на 127.0.0.54 секогаш се пренасочуваат кон сервер DNS нагоре и не се обработуваат локално.
• Овозможена е можност да се изгради systemd-importd и systemd-resolved со OpenSSL библиотеката наместо libgcrypt.
• Додадена е почетна поддршка за архитектурата LoongArch што се користи во процесорите Loongson.
• systemd-gpt-auto-generator обезбедува можност за автоматско конфигурирање на системски дефинирани swap партиции шифрирани од потсистемот LUKS2.
• Кодот за парсирање на слики GPT што се користи во systemd-nspawn, systemd-dissect и слични алатки ја имплементира способноста за декодирање на слики за други архитектури, овозможувајќи systemd-nspawn да се користи за извршување на слики на емулатори на други архитектури.
• При проверка на сликите на дискот, systemd-dissect сега прикажува информации за целта на партицијата, како што е соодветноста за подигање преку UEFI или работа во контејнер.
• Полето „SYSEXT_SCOPE“ е додадено во датотеките system-extension.d/, што ви овозможува да го наведете опсегот на сликата на системот - „initrd“, „system“ или „portable“.
• Полето „PORTABLE_PREFIXES“ е додадено во датотеката за os-release, што може да се користи во преносливи слики за да се одредат префиксите на поддржаните единечни датотеки.
• systemd-logind воведува нови поставки HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress и HandleHibernateKeyLongPress, кои може да се користат за да се одреди што ќе се случи кога одредени копчиња се задржуваат повеќе од 5 секунди (на пример, конфигурирајте го режимот за брзо притискање на копчето за да се оди на , и кога ќе се држи надолу, ќе заспие) .
• За единиците, се имплементирани поставките StartupAllowedCPUs и StartupAllowedMemoryNodes, кои се разликуваат од сличните поставки без префиксот Startup по тоа што се применуваат само во фазата на подигање и исклучување, што ви овозможува да поставите други ограничувања на ресурсите за време на подигањето.
• Додадено е [Condition|Assert][Memory|CPU|IO]Проверки на притисокот што овозможуваат прескокнување или неуспешно активирање на единицата доколку механизмот PSI детектира големо оптоварување на меморијата, процесорот и I/O во системот.
• Стандардната максимална граница на инода е зголемена за партицијата /dev од 64k на 1M и за партицијата /tmp од 400k на 1M.
• Предложена е поставка ExecSearchPath за услугите, што овозможува промена на патеката за пребарување на извршни датотеки стартувани преку поставки како ExecStart.
• Додадена е поставката RuntimeRandomizedExtraSec, која ви овозможува да воведете случајни отстапувања во истекувањето на RuntimeMaxSec, што го ограничува времето на извршување на единицата.
• Синтаксата на поставките RuntimeDirectory, StateDirectory, CacheDirectory и LogsDirectory е проширена, во која со назначување на дополнителна вредност одвоена со две точки, сега можете да организирате создавање на симболична врска до даден директориум за организирање пристап по неколку патеки.
• За услугите, поставките за TTYRows и TTYColumns се нудат за поставување на бројот на редови и колони во уредот TTY.
• Додадена е поставката ExitType, која ви овозможува да ја промените логиката за одредување на крајот на услугата. Стандардно, systemd само ја следи смртта на главниот процес, но ако е поставен ExitType=cgroup, менаџерот на системот ќе чека да заврши последниот процес во cgroup.
• Имплементацијата на systemd-cryptsetup на поддршката за TPM2/FIDO2/PKCS11 сега е изградена и како приклучок за cryptsetup, овозможувајќи да се користи нормалната команда cryptsetup за отклучување на шифрирана партиција.
• Ракувачот TPM2 во systemd-cryptsetup/systemd-cryptsetup додава поддршка за примарните клучеви RSA покрај клучевите ECC за да ја подобри компатибилноста со чипови кои не се ECC.
• Опцијата за токен-време е додадена во /etc/crypttab, што ви овозможува да го дефинирате максималното време за чекање за поврзување со токен PKCS#11/FIDO2, по што ќе биде побарано да внесете лозинка или клуч за враќање.
• systemd-timesyncd ја имплементира поставката SaveIntervalSec, која ви овозможува периодично да го зачувувате тековното време на системот на дискот, на пример, да имплементирате монотон часовник на системи без RTC.
• Додадени се опции во алатката systemd-analyze: „--image“ и „--root“ за проверка на датотеките на единицата во дадена слика или root директориум, „--recursive-errors“ за да се земат предвид зависните единици кога има грешка е откриен, „--offline“ за проверка на одделно единица датотеки зачувани на диск, „—json“ за излез во JSON формат, „—quiet“ за оневозможување на неважни пораки, „—profile“ за поврзување со пренослив профил. Додадена е и командата inspect-elf за парсирање на основни датотеки во формат ELF и можност за проверка на датотеките на единицата со дадено име на единицата, без разлика дали ова име се совпаѓа со името на датотеката.
• systemd-networkd ја прошири поддршката за магистралата за контролна област мрежа (CAN). Додадени се поставки за контрола на режимите CAN: Loopback, OneShot, PresumeAck и ClassicDataLengthCode. Додадени се TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 и DataSyncJump, секцијата за контрола на Cid AN интерфејс.
• Systemd-networkd додаде опција Label за клиентот DHCPv4, која ви овозможува да ја конфигурирате етикетата за адреси што се користи при конфигурирање на IPv4 адреси.
• systemd-udevd за „ethtool“ имплементира поддршка за специјални „max“ вредности кои ја поставуваат големината на баферот на максималната вредност поддржана од хардверот.
• Во датотеките .link за systemd-udevd сега можете да конфигурирате различни параметри за комбинирање на мрежни адаптери и поврзување на хардверски ракувачи (исклучување).
• systemd-networkd стандардно нуди нови датотеки. 80-80rd-tunnel.network за да се дефинираат тунели кои автоматски се креираат при примање DHCP одговор со опцијата 6RD.
• Systemd-networkd и systemd-udevd додадоа поддршка за IP проследување преку интерфејсите InfiniBand, за кои делот „[IPoIB]“ е додаден во датотеките systemd.netdev, а обработката на вредноста „ipoib“ е имплементирана во вид поставување.
• systemd-networkd обезбедува автоматска конфигурација на рутата за адресите наведени во параметарот AllowedIPs, што може да се конфигурира преку параметрите RouteTable и RouteMetric во секциите [WireGuard] и [WireGuardPeer].
• systemd-networkd обезбедува автоматско генерирање на непроменливи MAC адреси за интерфејсите batadv и bridge. За да го оневозможите ова однесување, можете да наведете MACAddress=none во датотеките .netdev.
• Додадена е поставка WakeOnLanPassword во датотеките .link во делот „[Link]“ за да се одреди лозинката кога WoL работи во режимот „SecureOn“.
• Додадени се поставките AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO и ​​UseRawPacketSize во делот „[CAKE]“ од .network датотеките за да се дефинираат параметрите на CAKE network management (Common Enchanted) .
• Додадено е поставка за IgnoreCarrierLoss во делот „[Network]“ од датотеките .network, што ви овозможува да одредите колку долго да чекате пред да реагирате на губење на сигналот на операторот.
• Systemd-nspawn, homectl, machinectl и systemd-run ја проширија синтаксата на параметарот „--setenv“ - ако е наведено само името на променливата (без „="), вредноста ќе се земе од соодветната променлива на животната средина (за на пример, кога се одредува „--setenv=FOO“ вредноста ќе се земе од променливата на животната средина $FOO и ќе се користи во променливата на животната средина со истото име поставена во контејнерот).
• systemd-nspawn додаде опција „--suppress-sync“ за да ги оневозможи синхронизираните()/fsync()/fdatasync() системските повици кога креирате контејнер (корисно кога брзината е приоритет и зачувувањето на артефактите на градбата во случај на неуспех не е важно, бидејќи тие можат повторно да се создадат во секое време).
• Додадена е нова база на податоци hwdb, која вклучува различни типови на анализатори на сигнали (мултиметри, протоколски анализатори, осцилоскопи итн.). Информациите за камерите во hwdb се проширени со поле со информации за типот на камерата (обична или инфрацрвена) и поставеноста на објективот (напред или заден).
• Овозможено генерирање непроменливи имиња на мрежни интерфејси за netfront уреди што се користат во Xen.
• Анализата на основните датотеки од алатката systemd-coredump заснована на библиотеките libdw/libelf сега се изведува во посебен процес, изолиран во околина со песок.
• systemd-importd додаде поддршка за променливите на животната средина $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, со кои можете да го оневозможите генерирањето на подпартиции Btrfs, како и да ја конфигурирате синхронизацијата и квотите.
• Во systemd-journald, на датотечните системи кои поддржуваат режим на копирање-на-пишување, режимот COW е повторно овозможен за архивирани списанија, овозможувајќи им да се компресираат со користење на Btrfs.
• systemd-journald имплементира дедупликација на идентични полиња во една порака, што се изведува на сцената пред да се стави пораката во дневникот.
• Додадена е опцијата „--show“ на командата за исклучување за прикажување на закажаното исклучување.

Извор: opennet.ru