ProHoster > Блог > интернет мэдээ > systemd системийн менежер хувилбар 250

systemd системийн менежер хувилбар 250

Таван сарын турш хөгжүүлсний дараа системийн менежер systemd 250-ийн хувилбарыг танилцууллаа.Шинэ хувилбар нь итгэмжлэлүүдийг шифрлэгдсэн хэлбэрээр хадгалах боломжийг нэвтрүүлж, дижитал гарын үсэг ашиглан автоматаар илрүүлсэн GPT хуваалтыг баталгаажуулж, саатал үүсэх шалтгааны талаарх мэдээллийг сайжруулсан. эхлэх үйлчилгээнүүд болон зарим файлын систем болон сүлжээний интерфэйсүүдэд үйлчилгээний хандалтыг хязгаарлах нэмэлт сонголтууд, dm-integrity модулийг ашиглан хуваалтын бүрэн бүтэн байдлыг хянах, sd-ачаалах автомат шинэчлэлтийн дэмжлэгийг нэмсэн.

Үндсэн өөрчлөлтүүд:

  • SSL түлхүүр, нэвтрэх нууц үг зэрэг эмзэг материалыг найдвартай хадгалахад тустай байж болох шифрлэгдсэн болон баталгаажуулсан итгэмжлэлд зориулсан дэмжлэг нэмэгдсэн. Итгэмжлэх жуух бичгийг тайлах нь зөвхөн шаардлагатай үед болон орон нутгийн суурилуулалт эсвэл тоног төхөөрөмжтэй холбоотой тохиолдолд хийгддэг. Өгөгдөл нь тэгш хэмт шифрлэлтийн алгоритмуудыг ашиглан автоматаар шифрлэгддэг бөгөөд тэдгээрийн түлхүүр нь файлын систем, TPM2 чип эсвэл хосолсон схемд байрладаг. Үйлчилгээ эхлэхэд итгэмжлэлүүд автоматаар тайлагдаж, үйлчилгээнд ердийн хэлбэрээр ашиглах боломжтой болно. Шифрлэгдсэн итгэмжлэлүүдтэй ажиллахын тулд 'systemd-creds' хэрэгслийг нэмж, LoadCredentialEncrypted болон SetCredentialEncrypted тохиргоог үйлчилгээнд санал болгосон.
  • sd-stub, EFI програм хангамжийг Линукс цөмийг ачаалах боломжийг олгодог EFI программ нь одоо LINUX_EFI_INITRD_MEDIA_GUID EFI протоколыг ашиглан цөмийг ачаалахыг дэмждэг. Мөн sd-stub-д нэмсэн нь итгэмжлэл болон sysext файлуудыг cpio архивт багцалж, энэ архивыг initrd-ийн хамт цөм рүү шилжүүлэх (нэмэлт файлуудыг /.extra/ директорт байрлуулсан). Энэ функц нь танд sysexts болон шифрлэгдсэн нэвтрэлт танилтын өгөгдлөөр хангагдсан, шалгах боломжтой өөрчлөгддөггүй initrd орчныг ашиглах боломжийг олгодог.
  • Илрүүлэх боломжтой хуваалтуудын техникийн үзүүлэлтүүд нь мэдэгдэхүйц өргөжиж, GPT (GUID хуваалтын хүснэгт) ашиглан системийн хуваалтыг тодорхойлох, холбох, идэвхжүүлэх хэрэгслээр хангагдсан. Өмнөх хувилбаруудтай харьцуулахад энэ үзүүлэлт нь UEFI ашигладаггүй платформуудыг оруулаад ихэнх архитектуруудад root хуваалт болон /usr хуваалтыг дэмждэг болсон.

    Нээлттэй хуваалтууд нь PKCS#7 тоон гарын үсгийг ашиглан dm-verity модулиар бүрэн бүтэн байдлыг нь баталгаажуулсан хуваалтуудыг дэмждэг бөгөөд энэ нь бүрэн баталгаажсан дискний дүрсийг үүсгэхэд хялбар болгодог. Баталгаажуулах дэмжлэг нь systemd-nspawn, systemd-sysext, systemd-dissect, RootImage үйлчилгээ, systemd-tmpfiles, systemd-sysusers зэрэг дискний дүрсийг удирдах янз бүрийн хэрэгслүүдэд нэгтгэгддэг.

  • Эхлэх эсвэл зогсооход удаан хугацаа шаардагддаг нэгжүүдийн хувьд хөдөлгөөнт явцын мөрийг харуулахаас гадна тухайн үйлчилгээнд яг юу болж байгааг, системийн менежер ямар үйлчилгээ байгааг ойлгох боломжийг олгодог статусын мэдээллийг харуулах боломжтой. одоогоор дуусгахыг хүлээж байна.
  • DefaultOOMScoreAdjust параметрийг /etc/systemd/system.conf болон /etc/systemd/user.conf-д нэмсэн бөгөөд энэ нь систем болон хэрэглэгчдэд системийн эхлүүлж буй процессуудад хамаарах бага санах ойд OOM устгах босгыг тохируулах боломжийг олгодог. Анхдагч байдлаар, системийн үйлчилгээний жин нь хэрэглэгчийн үйлчилгээнийхээс өндөр байдаг, өөрөөр хэлбэл. Санах ой хангалтгүй үед хэрэглэгчийн үйлчилгээг зогсоох магадлал нь системийнхээс өндөр байдаг.
  • Зарим төрлийн файлын системд үйлчилгээний хандалтыг хязгаарлах боломжийг олгодог RestrictFileSystems тохиргоог нэмсэн. Боломжтой файлын системийн төрлүүдийг харахын тулд та "системд дүн шинжилгээ хийх файлын систем" командыг ашиглаж болно. Үүнтэй адилаар RestrictNetworkInterfaces сонголтыг хэрэгжүүлсэн бөгөөд энэ нь тодорхой сүлжээний интерфэйсүүдэд хандах хандалтыг хязгаарлах боломжийг олгодог. Хэрэгжилт нь BPF LSM модуль дээр суурилдаг бөгөөд энэ нь хэсэг процессуудын цөмийн объектуудад хандах хандалтыг хязгаарладаг.
  • Шинэ /etc/integritytab тохиргооны файл болон systemd-integritysetup хэрэгслийг нэмсэн бөгөөд жишээлбэл, шифрлэгдсэн өгөгдлийн үл өөрчлөгдөх байдлыг баталгаажуулахын тулд салбарын түвшинд өгөгдлийн бүрэн бүтэн байдлыг хянахын тулд dm-integrity модулийг тохируулдаг (Authenticated Encryption нь өгөгдлийн блок нь өгөгдлийн блоктой байхыг баталгаажуулдаг. тойрог хэлбэрээр өөрчлөгдөөгүй) . /etc/integritytab файлын формат нь /etc/crypttab болон /etc/veritytab файлуудтай төстэй боловч dm-crypt болон dm-verity-ийн оронд dm-integrity ашигладаг.
  • systemd-boot-update.service шинэ нэгж файл нэмэгдсэн бөгөөд идэвхжүүлж, sd-ачаалагч ачаалагч суулгагдсан үед systemd нь sd-ачаалагчийн ачаалагчийн хувилбарыг автоматаар шинэчлэх бөгөөд ачаалагчийн кодыг байнга шинэчилж байх болно. sd-boot нь одоо анхдагчаар SBAT (UEFI Secure Boot Advanced Targeting) механизмын дэмжлэгтэйгээр бүтээгдсэн бөгөөд энэ нь UEFI Secure Boot-ийн гэрчилгээг хүчингүй болгох асуудлыг шийддэг. Нэмж дурдахад, sd-boot нь Windows-той ачаалах хэсгүүдийн нэрийг зөв гаргаж, Windows хувилбарыг харуулахын тулд Microsoft Windows-ийн ачаалах тохиргоог задлан шинжлэх боломжийг олгодог.

    sd-boot нь бүтээх үе шатанд өнгөний схемийг тодорхойлох боломжийг олгодог. Ачаалах явцад "r" товчийг дарж дэлгэцийн нягтралыг өөрчлөх дэмжлэг нэмэгдсэн. Програм хангамжийн тохиргооны интерфейс рүү очихын тулд "f" товчийг нэмсэн. Сүүлийн ачаалах үед сонгосон цэсийн зүйлд тохирох системийг автоматаар ачаалах горимыг нэмсэн. ESP (EFI системийн хуваалт) хэсгийн /EFI/systemd/drivers/ лавлах хэсэгт байрлах EFI драйверуудыг автоматаар ачаалах боломжийг нэмсэн.

  • systemd-logind-д дахин ачаалах, унтраах, түр зогсоох, ичээнд оруулах үйлдлүүдтэй ижил аргаар боловсруулагдсан, үйлдвэрийн тохиргоонд дахин тохируулах боловсруулагч үүсгэхэд ашигладаг шинэ нэгж файлыг factory-reset.target оруулсан байна.
  • Системд шийдэгдсэн процесс нь 127.0.0.54-аас гадна 127.0.0.53-т нэмэлт сонсох залгуур үүсгэсэн. 127.0.0.54-д ирсэн хүсэлтийг үргэлж дээд талын DNS сервер рүү чиглүүлдэг бөгөөд дотооддоо боловсруулагддаггүй.
  • Libgcrypt-ийн оронд OpenSSL номын сангаар systemd-importd болон systemd-resolved-ийг бүтээх боломжийг олгосон.
  • Loongson процессоруудад ашигладаг LoongArch архитектурын анхны дэмжлэгийг нэмсэн.
  • systemd-gpt-auto-generator нь LUKS2 дэд системээр шифрлэгдсэн системээр тодорхойлсон своп хуваалтыг автоматаар тохируулах боломжийг олгодог.
  • Systemd-nspawn, systemd-dissect болон ижил төстэй хэрэгслүүдэд хэрэглэгддэг GPT дүрс задлан шинжлэх код нь бусад архитектурын дүрсийг тайлах чадварыг хэрэгжүүлснээр systemd-nspawn-г бусад архитектурын эмуляторууд дээр зураг ажиллуулах боломжийг олгодог.
  • Дискний дүрсийг шалгах үед systemd-dissect нь UEFI-ээр ачаалах эсвэл саванд ажиллахад тохиромжтой гэх мэт хуваалтын зорилгын талаарх мэдээллийг харуулдаг.
  • "SYSEXT_SCOPE" талбарыг system-extension.d/ файлуудад нэмсэн бөгөөд системийн дүрсийн хамрах хүрээг зааж өгөх боломжтой - "initrd", "систем" эсвэл "зөөврийн".
  • "PORTABLE_PREFIXES" талбарыг os-release файлд нэмсэн бөгөөд үүнийг зөөврийн зураг дээр дэмжигдсэн нэгж файлын угтваруудыг тодорхойлоход ашиглаж болно.
  • systemd-logind нь HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress болон HandleHibernateKeyLongPress гэсэн шинэ тохиргоог танилцуулж байна. Энэ нь зарим товчлуурыг 5 секундээс дээш дарахад юу болохыг тодорхойлоход ашиглаж болно (жишээ нь, түр зогсоох товчлуурыг дарснаар түр зогсолт горимд шилжих боломжтой) , мөн доош барих үед унтах болно).
  • Нэгжүүдийн хувьд StartupAllowedCPUs болон StartupAllowedMemoryNodes тохиргоонууд хэрэгжсэн бөгөөд эдгээр нь эхлүүлэх угтваргүй ижил төстэй тохиргооноос ялгаатай нь зөвхөн ачаалах, унтраах үе шатанд хэрэглэгдэх бөгөөд энэ нь ачаалах үед бусад нөөцийн хязгаарлалтыг тохируулах боломжийг олгодог.
  • [Нөхцөл|Assert][Memory|CPU|IO]PSI механизм систем дэх санах ой, CPU болон оролт гаралтын ачаалал их байгааг илрүүлсэн тохиолдолд нэгжийн идэвхжүүлэлтийг алгасах эсвэл амжилтгүй болгохыг зөвшөөрдөг даралтын шалгалтыг нэмсэн.
  • Анхдагч дээд хязгаарыг /dev хуваалтын хувьд 64к-аас 1M хүртэл, /tmp хуваалтын хувьд 400k-ээс 1M хүртэл нэмэгдүүлсэн.
  • Үйлчилгээнд ExecSearchPath тохиргоог санал болгосон бөгөөд энэ нь ExecStart гэх мэт тохиргоогоор эхлүүлсэн гүйцэтгэх файлуудыг хайх замыг өөрчлөх боломжтой болгодог.
  • RuntimeRandomizedExtraSec тохиргоог нэмсэн бөгөөд энэ нь RuntimeMaxSec хугацаа дуусахад санамсаргүй хазайлтыг оруулах боломжийг олгодог бөгөөд энэ нь нэгжийн гүйцэтгэлийн хугацааг хязгаарладаг.
  • RuntimeDirectory, StateDirectory, CacheDirectory болон LogsDirectory тохиргооны синтаксийг өргөтгөсөн бөгөөд үүнд хоёр цэгээр тусгаарлагдсан нэмэлт утгыг зааж өгснөөр та хэд хэдэн зам дагуу хандалтыг зохион байгуулах зорилгоор өгөгдсөн лавлах руу симбол холбоос үүсгэх ажлыг зохион байгуулж болно.
  • Үйлчилгээний хувьд TTY төхөөрөмж дэх мөр, баганын тоог тохируулахын тулд TTYRows болон TTYColumns тохиргоог санал болгож байна.
  • Үйлчилгээний төгсгөлийг тодорхойлох логикийг өөрчлөх боломжийг олгодог ExitType тохиргоог нэмсэн. Анхдагч байдлаар, systemd нь зөвхөн үндсэн процессийн үхлийг хянадаг, гэхдээ ExitType=cgroup гэж тохируулсан бол системийн менежер бүлгийн хамгийн сүүлийн процесс дуусахыг хүлээх болно.
  • systemd-cryptsetup-ийн TPM2/FIDO2/PKCS11-ийн дэмжлэгийг одоо бас криптсетийн залгаас болгон бүтээж, шифрлэгдсэн хуваалтын түгжээг тайлахад ердийн cryptsetup командыг ашиглах боломжийг олгодог.
  • systemd-cryptsetup/systemd-cryptsetup дахь TPM2 зохицуулагч нь ECC бус чипүүдтэй нийцтэй байдлыг сайжруулахын тулд ECC түлхүүрүүдээс гадна RSA үндсэн түлхүүрүүдийг дэмждэг.
  • Токен дуусах сонголтыг /etc/crypttab-д нэмсэн бөгөөд энэ нь PKCS#11/FIDO2 токен холболтыг хүлээх хамгийн дээд хугацааг тодорхойлох боломжийг олгодог бөгөөд үүний дараа нууц үг эсвэл сэргээх түлхүүр оруулахыг танаас хүсэх болно.
  • systemd-timesyncd нь SaveIntervalSec тохиргоог хэрэгжүүлдэг бөгөөд энэ нь танд одоогийн системийн цагийг диск рүү үе үе хадгалах, жишээлбэл, RTC-гүй систем дээр монотон цагийг хэрэгжүүлэх боломжийг олгодог.
  • Systemd-analyze хэрэгсэлд өгөгдсөн зураг эсвэл үндсэн директор доторх нэгж файлуудыг шалгах "--image" ба "--root", алдаа гарсан үед хамааралтай нэгжүүдийг тооцох "--recursive-errors" гэсэн сонголтуудыг нэмсэн. илэрсэн, дискэнд хадгалсан нэгж файлуудыг тусад нь шалгахад "--офлайн", JSON форматаар гаргахад "-json", ач холбогдолгүй мессежийг идэвхгүй болгох "-quiet", зөөврийн профайлтай холбох "-profile". Мөн ELF форматын үндсэн файлуудыг задлан шинжлэхэд зориулсан inspect-elf командыг нэмсэн бөгөөд энэ нэр нь файлын нэртэй таарч байгаа эсэхээс үл хамааран тухайн нэгжийн нэрээр нэгж файлуудыг шалгах боломжтой юм.
  • systemd-networkd нь Controller Area Network (CAN) автобусны дэмжлэгийг өргөжүүлсэн. CAN горимуудыг удирдах тохиргоог нэмсэн: Loopback, OneShot, PresumeAck болон ClassicDataLengthCode. TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 болон DataSyncJump файлуудын [ANC-ийн битийн удирдлагын синхрончлолын [ANC]-ын битийн тохиргоонд нэмсэн. AN интерфейс.
  • Systemd-networkd нь DHCPv4 клиентэд зориулж Label сонголтыг нэмсэн бөгөөд энэ нь танд IPv4 хаягийг тохируулахдаа ашигласан хаягийн шошгыг тохируулах боломжийг олгодог.
  • "ethtool"-д зориулсан systemd-udevd нь буферийн хэмжээг техник хангамжийн дэмждэг хамгийн их утгад тохируулах тусгай "max" утгуудын дэмжлэгийг хэрэгжүүлдэг.
  • Systemd-udevd-д зориулсан .link файлууд дээр та сүлжээний адаптеруудыг нэгтгэх, техник хангамжийн зохицуулагчийг холбох янз бүрийн параметрүүдийг тохируулах боломжтой.
  • systemd-networkd нь анхдагчаар шинэ .сүлжээний файлуудыг санал болгодог: 80-container-vb.network нь systemd-nspawn-ийг “--network-bridge” эсвэл “--network-zone” сонголтоор ажиллуулах үед үүсгэсэн сүлжээний гүүрийг тодорхойлох; 80-6rd-tunnel.network нь 6RD сонголттой DHCP хариултыг хүлээн авах үед автоматаар үүсгэгддэг хонгилуудыг тодорхойлох.
  • Systemd-networkd болон systemd-udevd нь InfiniBand интерфэйсүүдээр дамжуулан IP дамжуулахад зориулсан дэмжлэгийг нэмсэн бөгөөд үүний тулд systemd.netdev файлуудад “[IPoIB]” хэсгийг нэмж, “ipoib” утгын боловсруулалтыг төрөлд хэрэгжүүлсэн. тохиргоо.
  • systemd-networkd нь [WireGuard] болон [WireGuardPeer] хэсгүүдийн RouteTable болон RouteMetric параметрүүдээр дамжуулан тохируулах боломжтой AllowedIPs параметрт заасан хаягуудын автомат маршрутын тохиргоог хангадаг.
  • systemd-networkd нь батадв болон гүүрний интерфейсийн MAC хаягийг автоматаар үүсгэх боломжийг олгодог. Энэ үйлдлийг идэвхгүй болгохын тулд та .netdev файлд MACAddress=none гэж зааж өгч болно.
  • WoL “SecureOn” горимд ажиллаж байх үед нууц үгийг тодорхойлохын тулд “[Link]” хэсгийн .link файлуудад WakeOnLanPassword тохиргоог нэмсэн.
  • .Сүлжээний файлуудын “[CAKE]” хэсэгт CAKE (Common Applications management) сүлжээний параметрүүдийг тодорхойлохын тулд AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO болон UseRawPacketSize тохиргоог нэмсэн. .
  • .Сүлжээний файлуудын "[Сүлжээ]" хэсэгт IgnoreCarrierLoss тохиргоог нэмсэн нь операторын дохио алдагдахаас өмнө хэр удаан хүлээхийг тодорхойлох боломжийг танд олгоно.
  • Systemd-nspawn, homectl, machinectl болон systemd-run нь "--setenv" параметрийн синтаксийг өргөтгөсөн - хэрэв зөвхөн хувьсагчийн нэрийг зааж өгсөн бол ("="-гүй"), утгыг харгалзах орчны хувьсагчаас авна. Жишээ нь, "--setenv=FOO"-г зааж өгөх үед утгыг $FOO орчны хувьсагчаас авч, саванд тохируулсан ижил нэртэй орчны хувьсагчд ашиглах болно).
  • systemd-nspawn нь контейнер үүсгэх үед sync()/fsync()/fdatasync() системийн дуудлагыг идэвхгүй болгохын тулд "--suppress-sync" сонголтыг нэмсэн (хурдыг нэн тэргүүнд тавьж, бүтэлгүйтсэн тохиолдолд бүтээх олдворуудыг хадгалахад тустай) чухал, учир нь тэдгээрийг хүссэн үедээ дахин үүсгэж болно).
  • Төрөл бүрийн дохионы анализатор (мултиметр, протокол анализатор, осциллограф гэх мэт) бүхий шинэ hwdb мэдээллийн сан нэмэгдсэн. Hwdb доторх камеруудын талаарх мэдээллийг камерын төрөл (энгийн эсвэл хэт улаан туяа) болон линзний байршлын (урд эсвэл хойд) талаарх мэдээлэл бүхий талбараар өргөжүүлсэн.
  • Xen-д ашиглагдаж буй нетфронт төхөөрөмжүүдийн хувьд өөрчлөгдөөгүй сүлжээний интерфэйсийн нэрийг үүсгэхийг идэвхжүүлсэн.
  • Libdw/libelf номын санд суурилсан systemd-coredump хэрэгслээр үндсэн файлуудын шинжилгээг одоо хамгаалагдсан орчинд тусгаарлагдсан тусдаа процессоор гүйцэтгэдэг.
  • systemd-importd нь $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC орчны хувьсагчдын дэмжлэгийг нэмсэн бөгөөд үүний тусламжтайгаар та Btrfs дэд хуваалтуудыг үүсгэх, түүнчлэн квот болон дискний синхрончлолыг тохируулах боломжтой.
  • Systemd-journald-д, бичих дээр хуулбарлах горимыг дэмждэг файлын системүүд дээр COW горимыг архивласан сэтгүүлд дахин идэвхжүүлж, тэдгээрийг Btrfs ашиглан шахах боломжийг олгодог.
  • systemd-journald нь нэг мессеж дэх ижил талбаруудын давхардлын хувилалтыг хэрэгжүүлдэг бөгөөд энэ нь мессежийг журналд байрлуулахаас өмнөх үе шатанд хийгддэг.
  • Хуваарьт унталтыг харуулахын тулд унтраах команд дээр "--show" сонголтыг нэмсэн.

Эх сурвалж: opennet.ru

сэтгэгдэл нэмэх