यूकेआय (युनिफाइड कर्नल इमेज) समर्थनासह सिस्टमड सिस्टम मॅनेजर 252 चे प्रकाशन

पाच महिन्यांच्या विकासानंतर, सिस्टम मॅनेजर systemd 252 ची रिलीझ सादर करण्यात आली नवीन आवृत्तीतील मुख्य बदल म्हणजे आधुनिक बूट प्रक्रियेसाठी समर्थनाचे एकत्रीकरण, जे तुम्हाला फक्त कर्नल आणि बूटलोडरच नाही तर घटक देखील सत्यापित करू देते. डिजिटल स्वाक्षरी वापरून मूलभूत प्रणाली वातावरण.

प्रस्तावित पद्धतीमध्ये लोड करताना युनिफाइड कर्नल इमेज UKI (युनिफाइड कर्नल इमेज) वापरणे समाविष्ट आहे, जे UEFI (UEFI बूट स्टब), लिनक्स कर्नल प्रतिमा आणि मेमरीमध्ये लोड केलेले initrd सिस्टम वातावरण, वापरलेले कर्नल लोड करण्यासाठी हँडलर एकत्र करते. रूट FS आरोहित करण्यापूर्वी टप्प्यावर प्रारंभिक प्रारंभासाठी. UKI इमेज पीई फॉरमॅटमध्ये सिंगल एक्झिक्यूटेबल फाइल म्हणून पॅक केली जाते, जी पारंपारिक बूटलोडर वापरून लोड केली जाऊ शकते किंवा थेट UEFI फर्मवेअरवरून कॉल केली जाऊ शकते. UEFI कडून कॉल केल्यावर, केवळ कर्नलच नव्हे तर initrd ची सामग्री देखील डिजिटल स्वाक्षरीची अखंडता आणि विश्वासार्हता सत्यापित करणे शक्य आहे.

TPM PCR (ट्रस्टेड प्लॅटफॉर्म मॉड्यूल प्लॅटफॉर्म कॉन्फिगरेशन रजिस्टर) रजिस्टर्सच्या पॅरामीटर्सची गणना करण्यासाठी, ज्याचा वापर अखंडतेचे परीक्षण करण्यासाठी आणि UKI प्रतिमेची डिजिटल स्वाक्षरी तयार करण्यासाठी केला जातो, एक नवीन उपयुक्तता systemd-measure समाविष्ट केली आहे. स्वाक्षरीमध्ये वापरलेली सार्वजनिक की आणि सोबतची PCR माहिती थेट UKI बूट इमेजमध्ये एम्बेड केली जाऊ शकते (की आणि स्वाक्षरी '.pcrsig' आणि '.pcrkey' फील्डमधील PE फाइलमध्ये जतन केली जाते) आणि त्यातून बाहेरून काढली जाऊ शकते. किंवा अंतर्गत उपयुक्तता.

विशेषतः, systemd-cryptsetup, systemd-cryptenroll आणि systemd-creds युटिलिटीज या माहितीचा वापर करण्यासाठी रुपांतरित केल्या आहेत, ज्याद्वारे तुम्ही खात्री करू शकता की एनक्रिप्टेड डिस्क विभाजने डिजिटली स्वाक्षरी केलेल्या कर्नलशी बांधील आहेत (या बाबतीत, एनक्रिप्टेड विभाजनामध्ये प्रवेश UKI इमेजने TPM मध्ये असलेल्या पॅरामीटर्सवर आधारित डिजिटल स्वाक्षरीद्वारे सत्यापन उत्तीर्ण केले असल्यासच प्रदान केले जाते).

याव्यतिरिक्त, systemd-pcrphase युटिलिटी समाविष्ट केली आहे, जी तुम्हाला TPM 2.0 स्पेसिफिकेशनला सपोर्ट करणाऱ्या क्रिप्टोप्रोसेसरच्या मेमरीमध्ये असलेल्या पॅरामीटर्सवर विविध बूट टप्प्यांचे बंधन नियंत्रित करण्यास परवानगी देते (उदाहरणार्थ, तुम्ही LUKS2 विभाजन डिक्रिप्शन की फक्त मध्ये उपलब्ध करू शकता. initrd प्रतिमा आणि नंतरच्या टप्प्यावर डाउनलोड करण्यासाठी प्रवेश अवरोधित करा).

इतर काही बदल:

• सेटिंग्जमध्ये भिन्न लोकॅल निर्दिष्ट केल्याशिवाय डीफॉल्ट लोकेल C.UTF-8 असल्याची खात्री करते.
• आता पहिल्या बूट दरम्यान संपूर्ण सेवा प्रीसेट ऑपरेशन (“systemctl preset”) करणे शक्य आहे. बूट वेळी प्रीसेट सक्षम करण्यासाठी "-Dfirst-boot-full-preset" पर्यायासह तयार करणे आवश्यक आहे, परंतु भविष्यातील रिलीझमध्ये डीफॉल्टनुसार सक्षम करण्याचे नियोजित आहे.
• वापरकर्ता व्यवस्थापन युनिट्समध्ये CPU रिसोर्स कंट्रोलरचा समावेश असतो, ज्यामुळे CPUWeight सेटिंग्ज सिस्टमला भागांमध्ये (app.slice, background.slice, session.slice) विभाजित करण्यासाठी वापरल्या जाणाऱ्या सर्व स्लाइस युनिट्सवर लागू झाल्याची खात्री करणे शक्य झाले. भिन्न वापरकर्ता सेवा, CPU संसाधनांसाठी स्पर्धा. CPUWeight योग्य संसाधन तरतूद मोड सक्रिय करण्यासाठी "निष्क्रिय" मूल्यास देखील समर्थन देते.
• तात्पुरत्या ("क्षणिक") युनिट्समध्ये आणि सिस्टम-रिपार्ट युटिलिटीमध्ये, /etc/systemd/system/name.d/ डिरेक्टरीमध्ये ड्रॉप-इन फाइल्स तयार करून सेटिंग्ज ओव्हरराइड करण्याची परवानगी आहे.
• सिस्टम प्रतिमांसाठी, समर्थन-समाप्त ध्वज सेट केला जातो, हे तथ्य /etc/os-release फाइलमधील नवीन पॅरामीटर “SUPPORT_END=” च्या मूल्यावर आधारित आहे.
• "कंडिशन क्रेडेन्शिअल=" आणि "असर्ट क्रेडेन्शियल=" सेटिंग्ज जोडल्या, ज्याचा वापर सिस्टीममध्ये काही क्रेडेन्शियल नसल्यास युनिट्सकडे दुर्लक्ष करण्यासाठी किंवा क्रॅश करण्यासाठी केला जाऊ शकतो.
• डीफॉल्ट SMACK सुरक्षा स्तर आणि युनिट सक्रियकरण कालबाह्य परिभाषित करण्यासाठी system.conf आणि user.conf मध्ये “DefaultSmackProcessLabel=” आणि “DefaultDeviceTimeoutSec=” सेटिंग्ज जोडल्या.
• "कंडिशनफर्मवेअर=" आणि "असर्टफर्मवेअर=" सेटिंग्जमध्ये, वैयक्तिक SMBIOS फील्ड निर्दिष्ट करण्याची क्षमता जोडली गेली आहे, उदाहरणार्थ, /sys/class/dmi/id/board_name फील्डमध्ये "कस्टम" हे मूल्य असेल तरच युनिट लॉन्च करणे. बोर्ड", तुम्ही "कंडिशनफर्मवेअर=smbios" -फील्ड(board_name = "कस्टम बोर्ड")" निर्दिष्ट करू शकता.
• इनिशिएलायझेशन प्रक्रियेदरम्यान (PID 1), SMBIOS फील्डमधून क्रेडेन्शियल्स आयात करण्याची क्षमता (प्रकार 11, “OEM विक्रेता स्ट्रिंग्स”) त्यांच्या व्याख्येव्यतिरिक्त qemu_fwcfg द्वारे जोडली गेली आहे, जी आभासी मशीन्सवर क्रेडेन्शियल्सची तरतूद सुलभ करते आणि दूर करते. क्लाउड -इनिट आणि इग्निशन सारख्या तृतीय-पक्ष साधनांची आवश्यकता आहे.
• शटडाऊन दरम्यान, व्हर्च्युअल फाइल सिस्टम्स (proc, sys) अनमाउंट करण्याचे तर्क बदलले गेले आहे आणि फाइल सिस्टम्सचे अनमाउंटिंग अवरोधित करणाऱ्या प्रक्रियेबद्दल माहिती लॉगमध्ये सेव्ह केली आहे.
• सिस्टम कॉल फिल्टर (SystemCallFilter) डिफॉल्टनुसार riscv_flush_icache सिस्टम कॉलमध्ये प्रवेश करण्यास अनुमती देते.
• sd-boot बूटलोडर मिश्र मोडमध्ये बूट करण्याची क्षमता जोडते, ज्यामध्ये 64-बिट लिनक्स कर्नल 32-बिट UEFI फर्मवेअरवरून चालते. ESP (EFI सिस्टम विभाजन) मध्ये सापडलेल्या फाइल्समधून SecureBoot की आपोआप लागू करण्याची प्रायोगिक क्षमता जोडली.
• bootctl युटिलिटीमध्ये नवीन पर्याय जोडले गेले आहेत: सर्व समर्थित EFI आर्किटेक्चरसाठी बायनरी स्थापित करण्यासाठी “—ऑल-आर्किटेक्चर्स”, “—रूट=” आणि “—इमेज=” डिरेक्टरी किंवा डिस्क इमेजसह कार्य करण्यासाठी, “—इंस्टॉल-स्रोत =” इंस्टॉलेशनसाठी स्त्रोत परिभाषित करण्यासाठी, "-efi-boot-option-description=" बूट एंट्री नावे नियंत्रित करण्यासाठी.
• 'list-automounts' कमांड स्वयंचलितपणे आरोहित डिरेक्ट्रीजची सूची आणि निर्दिष्ट डिस्क प्रतिमेच्या संबंधात कमांड कार्यान्वित करण्यासाठी "--image=" पर्याय प्रदर्शित करण्यासाठी systemctl युटिलिटीमध्ये जोडली गेली आहे. 'शो' आणि 'स्टेटस' कमांडमध्ये "--state=" आणि "--type=" पर्याय जोडले.
• systemd-networkd ने TCP कंजेशन कंट्रोल अल्गोरिदम निवडण्यासाठी “TCPCongestionControlAlgorithm=” पर्याय जोडले, TUN/TAP इंटरफेसचे फाइल डिस्क्रिप्टर सेव्ह करण्यासाठी “KeepFileDescriptor=”, NetLabels सेट करण्यासाठी “NetLabel=”, DCPv6 कॉन्फिगरेशन वेगवान करण्यासाठी “RapidCommit=”. (RFC 3315). “RouteTable=” पॅरामीटर राउटिंग टेबल्सची नावे निर्दिष्ट करण्यास अनुमती देते.
• systemd-nspawn "--bind=" आणि "--overlay=" पर्यायांमध्ये संबंधित फाइल मार्ग वापरण्यास परवानगी देते. कंटेनरमधील रूट वापरकर्ता आयडी होस्ट बाजूला माउंट केलेल्या डिरेक्ट्रीच्या मालकाला बांधण्यासाठी "--bind=" पर्यायासाठी 'rootidmap' पॅरामीटरसाठी समर्थन जोडले.
• systemd-resolved OpenSSL चा कूटबद्धीकरण बॅकएंड म्हणून मुलभूतरित्या वापर करते (gnutls सपोर्ट पर्याय म्हणून ठेवला जातो). असमर्थित DNSSEC अल्गोरिदम आता त्रुटी (SERVFAIL) परत करण्याऐवजी असुरक्षित मानले जातात.
• systemd-sysusers, systemd-tmpfiles आणि systemd-sysctl क्रेडेन्शियल स्टोरेज यंत्रणेद्वारे सेटिंग्ज हस्तांतरित करण्याची क्षमता लागू करतात.
• आवृत्ती क्रमांकांसह स्ट्रिंगची तुलना करण्यासाठी systemd-विश्लेषण करण्यासाठी 'तुलना-आवृत्त्या' कमांड जोडली ('rpmdev-vercmp' आणि 'dpkg --compare-versions' प्रमाणे). 'systemd-analyze dump' कमांडमध्ये मास्कद्वारे युनिट्स फिल्टर करण्याची क्षमता जोडली.
• मल्टी-स्टेज स्लीप मोड निवडताना (सस्पेंड-नंतर-हायबरनेट), स्टँडबाय मोडमध्ये घालवलेला वेळ आता उर्वरित बॅटरी आयुष्याच्या अंदाजावर आधारित निवडला जातो. जेव्हा 5% पेक्षा कमी बॅटरी चार्ज राहते तेव्हा स्लीप मोडमध्ये झटपट संक्रमण होते.
• एक नवीन आउटपुट मोड "-o शॉर्ट-डेल्टा" 'journalctl' मध्ये जोडला गेला आहे, जो लॉगमधील वेगवेगळ्या संदेशांमधील वेळेचा फरक दाखवतो.
• systemd-repart Squashfs फाइल प्रणालीसह विभाजने आणि dm-verity साठी विभाजने तयार करण्यासाठी समर्थन जोडते, डिजिटल स्वाक्षरीसह.
• निर्दिष्ट कालबाह्य झाल्यानंतर निष्क्रिय सत्र समाप्त करण्यासाठी systemd-logind मध्ये "StopIdleSessionSec=" सेटिंग जोडले.
• Systemd-cryptenroll ने वापरकर्त्याला सूचित करण्याऐवजी फाइलमधून डिक्रिप्शन की काढण्यासाठी "--unlock-key-file=" पर्याय जोडला आहे.
• udev शिवाय वातावरणात systemd-grofs युटिलिटी चालवणे आता शक्य आहे.
• systemd-backlight ने एकाधिक ग्राफिक्स कार्ड्ससह प्रणालीसाठी समर्थन सुधारले आहे.
• दस्तऐवजीकरणात प्रदान केलेल्या कोड उदाहरणांसाठी परवाना CC0 वरून MIT-0 मध्ये बदलला आहे.

सुसंगतता खंडित करणारे बदल:

• ConditionKernelVersion निर्देश वापरून कर्नल आवृत्ती क्रमांक तपासताना, '=' आणि '!=' ऑपरेटरमध्ये आता एक साधी स्ट्रिंग तुलना वापरली जाते आणि तुलना ऑपरेटर अजिबात निर्दिष्ट नसल्यास, ग्लोब-मास्क जुळणी वापरून वापरली जाऊ शकते. वर्ण '*', '?' आणि '[', ']'. stverscmp() शैलीच्या आवृत्त्यांची तुलना करण्यासाठी, '<', '>', '<=' आणि '>=' ऑपरेटर वापरा.
• युनिट फाइलमधून प्रवेश तपासण्यासाठी वापरला जाणारा SELinux टॅग आता प्रवेश तपासणीच्या वेळी ऐवजी फाइल लोड होताना वाचला जातो.
• "कंडिशन फर्स्टबूट" कंडिशन आता सिस्टमच्या पहिल्या बूटवर फक्त थेट बूट स्टेजवर ट्रिगर केली जाते आणि बूट पूर्ण झाल्यानंतर युनिट्स कॉल करताना "असत्य" परत येते.
• 2024 मध्ये, systemd योजना cgroup v1 रिसोर्स लिमिटिंग मेकॅनिझमला समर्थन देणे थांबवते, जे systemd प्रकाशन 248 मध्ये नापसंत केले गेले होते. प्रशासकांना cgroup v2-आधारित सेवा cgroup v1 मध्ये स्थलांतरित करण्याबाबत आगाऊ काळजी घेण्याचा सल्ला दिला जातो. cgroups v2 आणि v1 मधील मुख्य फरक म्हणजे CPU संसाधने वाटप करण्यासाठी, मेमरी वापराचे नियमन करण्यासाठी आणि I/O साठी स्वतंत्र पदानुक्रमांऐवजी सर्व प्रकारच्या संसाधनांसाठी सामान्य cgroups पदानुक्रमाचा वापर. वेगळ्या पदानुक्रमांमुळे हँडलर्समधील परस्परसंवाद आयोजित करण्यात आणि विविध पदानुक्रमांमध्ये संदर्भित प्रक्रियेसाठी नियम लागू करताना अतिरिक्त कर्नल संसाधन खर्चामध्ये अडचणी येतात.
• 2023 च्या उत्तरार्धात, आम्ही स्प्लिट डिरेक्टरी पदानुक्रमांसाठी समर्थन समाप्त करण्याची योजना आखत आहोत, जिथे /usr रूटपासून वेगळे केले जाते, किंवा /bin आणि /usr/bin, /lib आणि /usr/lib वेगळे केले जातात.

स्त्रोत: opennet.ru