🥇Објавување на systemd system manager 257

По шест месеци развој, беше претставено изданието на системскиот менаџер systemd 257 Клучни промени: нови алатки systemd-sbsign и systemd-keyutil, поддршка за MPTCP кога се активира преку приклучок, почетна поддршка за градење со библиотеката Musl C. updatectl алатка за управување со инсталација на ажурирања преку systemd-sysupdate, можност за стартување услуги во посебни PID именски простори, заштита од случајно бришење датотеки при користење на „systemd-tmpfiles — purge“.

Меѓу промените во новото издание:

Додадена е нова алатка, systemd-sbsign, за дигитално потпишување на извршни датотеки во PE (Portable Executable) формат, наменета за употреба при стартување во EFI Secure Boot режим. Моторите и провајдерите обезбедени од библиотеката OpenSSL може да се користат за генерирање потписи. systemd-sbsign може да се користи како алтернатива на апликациите sbsigntool и pesign во алатката ukify при генерирање на универзални слики од јадрото (UKIs), кои комбинираат UEFI подигнувач (UEFI boot stub) и слика од јадрото во една датотека. Linux и системската околина initrd вчитана во меморијата.
Додадена е нова алатка, systemd-keyutil, која спроведува различни операции на приватни клучеви и X.509 сертификати. На пример, systemd-keyutil може да се користи за тестирање на способноста за вчитување приватни клучеви и сертификати и извлекување јавни клучеви од нив во PEM формат.
Во единиците „.socket“ што се користат за да се обезбеди функционирање на механизмот за активирање на сокетот (стартување процеси при обид за воспоставување мрежна конекција), имплементирана е поддршка за MPTCP (Multipath TCP), проширување на TCP протоколот за организирање на работата на TCP конекција со испорака на пакети истовремено по неколку правци преку различни мрежни интерфејси врзани за различни Мојата IP адреса.
Вклучува промени неопходни за градење со користење на стандардната библиотека Musl C.
Различни systemd компоненти што прикажуваат индикатори за напредок (на пр., systemd-repart, systemd-sysupdate/updatectl и importctl) сега поддржуваат употреба на ANSI секвенци за анимирање на приказите за напредок. Ваквите секвенци моментално се поддржани само во Windows Терминал (се очекува со текот на времето слична функција да се пренесе на терминалните емулатори за Linux).
Способностите на компонентата systemd-sysupdate се проширени, се користат за автоматско откривање, преземање и инсталирање ажурирања со помош на атомски механизам за замена на партиции, датотеки или директориуми (се користат две независни партиции/датотеки/директориуми, од кои едната ја содржи тековната работа ресурс, а другиот го инсталира следното) ажурирање, по што се заменуваат деловите/датотеките/директориумите). Во пракса, systemd-sysupdate веќе се користи во GNOME OS.
Покрај процесот systemd-sysupdate, додадена е услуга со исто име која овозможува користење на D-Bus за управување со ажурирањата на системот од непривилегиран корисник. За управување со услугата, вклучена е и нова алатка за ажурирањеctl. Додадено е знаменце „--офлајн“ на systemd-sysupdate за да се оневозможи преземањето на метаподатоци преку мрежата и да се користат само верзии кои се веќе преземени во локалниот систем. Додадена е поддршка за излез во JSON формат за сите команди.
Имплементирано е ново својство „PrivatePIDs“ за услуги, со кое можете да го организирате стартувањето на процесите со PID 1 (почетен процес) во посебен простор за идентификатор на процеси (ПИД именски простор). Во околината создадена за започнатиот процес, ќе бидат видливи само процесите од именскиот простор создаден за него.
Додадена е поддршка за совпаѓања што не се чувствителни на големи букви на правилата на udev (на пр. „ATTR{foo}==i»abcd»“). Со користење на udev, можно е на непривилегираните локални корисници да им се обезбеди пристап („uaccess“) до уредот /dev/udmabuf, кој е неопходен за работа со IPMI камери преку libcamera. udev обезбедува препознавање на различни хардверски крипто-паричници со USB-интерфејс и поставување на својството ID_HARDWARE_WALLET за нив, што ви овозможува да го примените режимот „uaccess“ на нив за пристап од непривилегирани корисници.
Новите полиња RELEASE_TYPE, EXPERIMENT и EXPERIMENT_URL се додадени во датотеката /etc/os-release. „RELEASE_TYPE“ може да ги земе вредностите „експериментална“, „развојна“, „стабилна“ и „lts“ за да ги оддели стабилните верзии од развојните и експерименталните изданија. Параметрите EXPERIMENT и EXPERIMENT_URL се наменети да ја објаснат суштината на експерименталната изработка.
Услужната алатка run0, развиена како замена за sudo програмата, ја додаде опцијата „--shell-prompt-prefix“, која ја одредува низата на префиксот за командната школка. Стандардно, емотиконите „🦸“ се прикажуваат како префикс за визуелно означување на покачена сесија.
Во systemd-tmpfiles, за да се избегне случајно бришење на погрешни датотеки, опцијата „--purge“ сега се применува само на поставките во tmpfiles.d/ кои имаат експлицитно поставено знаменце „$“. Операцијата „--purge“, исто така, сега бара да наведете барем една датотека од директориумот tmpfiles.d/. За низи со тип „L“, знамето „?“ е додадено, кога е наведено, ќе се креира симболична врска само ако постои целната датотека.
Во менаџерот на услуги и поврзаните комунални услуги, кодот за следење на процесот продолжува да се конвертира за да користи PIDFD наместо PID. PIDFD е поврзан со одреден процес и не се менува, додека PID може да се поврзе со друг процес откако ќе заврши тековниот процес поврзан со тој PID.
За услугите, сега е можно да се одреди вредноста „debug“ во параметарот „RestartMode“, во која неуспешната услуга ќе се рестартира со овозможен режим за отстранување грешки (променливата на околината DEBUG_INVOCATION=1 е поставена), а вредноста LogLevelMax ќе биде привремено подигнат на ниво на отстранување грешки.
Ракувачот PID 1 има можност да вчита правила за LSM модулот IPE (Integrity Policy Enforcement), кои ја дефинираат политиката за интегритет за целиот систем (кои операции се дозволени и како треба да се потврди автентичноста на компонентите).
Опцијата „DeferReactivation“ е додадена во датотеките на единицата „.timer“, која ви овозможува да го прескокнете следното активирање на тајмерот доколку услугата сè уште не го завршила своето извршување од последното активирање.
Во параметарот на датотеката единица PrivateUsers, сега е можно да се одреди вредноста „идентитет“ за да се овозможи мапирање на кориснички идентификатори при креирање кориснички именски простор.
Додадена е поддршка за „исклучената“ вредност на параметарот на датотеката единица PrivateTmp, кој ќе користи посебни примероци на tmpfs за директориумите /tmp/ и /var/tmp/.
Поддршката за нови „приватни“ и „строги“ режими е додадена на параметарот на датотеката на единицата ProtectControlGroups, кога е поставено, се креира нов именски простор на cgroup за услугата и се монтира cgroupfs. Кога е поставена опцијата „строга“, cgroupfs се монтира во режим само за читање.
Параметрите StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory и ConfigurationDirectory обезбедуваат можност да се користи ознаката „:ro“ за да се ограничи пристапот до соодветните директориуми во режим само за читање.
Додадена е поддршка за вредноста на „фирмверот“ на параметарот на командната линија на кернелот „systemd.machine_id“, во кој системскиот идентификатор (ID на машината) ќе се пресметува врз основа на UUID од SMBIOS/DeviceTree.
Додадена е поддршка за системските повици mseal(), listmount() и statmount() воведени во неодамнешните изданија на јадрото. Linux.
Услужните програми solvectl, timedatectl и systemd-inhibit сега поддржуваат интерактивно овластување со помош на Polkit.
Додадена е способност за користење на знамето „--сега“ во командата „reenable“ на алатката systemctl.
Додадена е опцијата „--json“ во алатката systemd-mount за излез во JSON формат (на пример, кога е наведено заедно со „--list-devices“, списокот на уреди ќе се емитува во JSON формат).
Додадени се опциите „-l“ и „--full“ во алатката „localectl“ за да се оневозможи отсекувањето на долгите линии за време на излезот.
Опцијата HibernateOnACPower е додадена на sleep.conf, која ви овозможува да го одложите префрлувањето во режим на мирување додека уредот не се исклучи од неподвижниот извор на енергија.
Во systemd-sysusers, поддршката за модификаторот „!“ е додадена во линиите „u“, со кои можете да креирате целосно заклучени кориснички сметки (претходно, поставувањето погрешна лозинка се користеше за блокирање на корисникот, што, на пример, не доведе до блокирање при автентикација на клучот во SSH).
Systemd-coredump додава опција „EnterNamespace“ која овозможува пристап до просторот на точката на монтирање на кој било урнат процес за да се добијат нивните симболи за отстранување грешки. Во пракса, опцијата може да биде корисна за организирање на позадинско следење на основни датотеки од апликации што работат во изолирани контејнери.
systemd-logind вклучува обработка на комбинацијата Ctrl-Alt-Shift-Esc за испраќање на сигналот org.freedesktop.login1.SecureAttentionKey до компонентите на корисничката околина со барање да се прикаже безбеден дијалог за најавување. Ја имплементираше поставката „DesignatedMaintenanceTime“ за автоматско закажување на работата да се заврши во одредено време. По аналогија со поддршката за уредите DRM и evdev, додадена е поддршка за конфигурирање на пристапот за непривилегираните корисници до уредите за хидрави (контролори за игри и џојстици).
systemd-machined сега поддржува непривилегирани најавувања на клиенти. виртуелни машини и контејнери. Пристапот до функционалноста обработена од системска машина е обезбеден преку Varlink API, покрај D-Bus.
Нов дел „[IPv6AddressLabel]“ е додаден во конфигурациската датотека networkd.conf за конфигурирање на етикети и префикси за IPv6 адреси
Додадена е опцијата „--stdin“ на командата „networkctl edit“ за да се добие содржината на датотеката од стандардниот поток. Додадена е поддршка за уредување и прикажување на .netdev датотеки со одредување мрежен интерфејс на командите „networkctl edit“ и „networkctl cat“. Додадена е опцијата „--no-ask-password“ за да се оневозможи интерактивното овластување.
Додадена е опција „--certificate-source“ во услужните програми ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart и systemd-sbs за да се вчита сертификат X.509 преку OpenSSL провајдерот наместо директно да се вчитува од датотека.
systemd-boot додава можност за користење на копчињата за јачина на звук за движење нагоре и надолу низ менито за подигање, што може да биде корисно на уреди како паметни телефони. Поддршката за инсталирање на базата на податоци на UEFI Secure Boot во формат ESL(db/dbx/…) за systemd-boot е додадена во алатката bootctl.
Додадена е опцијата „--list-invocation“ на journalctl за прикажување листа на повици на единицата и опцијата „--invocation“ („-I“) за прикажување дневници поврзани само со одреден повик.
systemd-nspawn додава поддршка за непривилегирана употреба на FUSE (датотечниот систем во кориснички простор) во контејнери. Кога се користи опцијата „--bind-user“, SSH клучевите на корисникот потребни за пристап преку SSH се препраќаат до контејнерот.
libsystemd додаде нов програмски интерфејс „sd-json“ кој користи JSON формат, како и интерфејс „sd-varlink“ што користи IPC Varlink.
Препорачаната верзија на основното јадро е надградена за да издаде 5.4, формирана во 2019 година. Следната година планираат да престанат да поддржуваат постари кернели и да го означат изданието 5.4 како минимална поддржана основна верзија.
Поддршката за cgroups v1 е застарена и стандардно е оневозможена (за да ја овозможите, мора да наведете SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 на командната линија на кернелот, покрај тоа што ќе ја овозможите во поставките за системот). Следното издание на systemd 258 планира целосно да го отстрани кодот поврзан со cgroups v1. Системската верзија 258 исто така е предвидена да ја отстрани поддршката за скриптите за услугата System V.

Извор: opennet.ru

Издание 257 на системскиот менаџер на системот