systemd सिस्टम मॅनेजर रिलीज 243

पाच महिन्यांच्या विकासानंतर सादर सिस्टम मॅनेजर रिलीझ systemd 243. नवकल्पनांपैकी, आम्ही सिस्टममधील कमी मेमरीसाठी हँडलरचे PID 1 मध्ये एकत्रीकरण, युनिट ट्रॅफिक फिल्टर करण्यासाठी तुमचे स्वतःचे BPF प्रोग्राम संलग्न करण्यासाठी समर्थन, सिस्टमड-नेटवर्क्डसाठी असंख्य नवीन पर्याय, नेटवर्कच्या बँडविड्थचे निरीक्षण करण्यासाठी एक मोड लक्षात घेऊ शकतो. इंटरफेस, 64-बिट ऐवजी 22-बिट सिस्टीम 16-बिट PID क्रमांकांवर डीफॉल्टनुसार सक्षम करणे, युनिफाइड cgroups पदानुक्रमात संक्रमण, systemd-network-generator मध्ये समावेश.

मुख्य बदल:

• मेमरी संपुष्टात येण्यासाठी (आउट-ऑफ-मेमरी, ओओएम) कर्नल-व्युत्पन्न सिग्नल ओळखणे PID 1 हँडलरमध्ये जोडले गेले आहे जे मेमरी वापराच्या मर्यादेपर्यंत पोहोचलेल्या युनिट्सला विशेष स्थितीत स्थानांतरीत करण्यासाठी त्यांना सक्तीने संपुष्टात आणण्याची पर्यायी क्षमता आहे. किंवा थांबवा;
• युनिट फाइल्ससाठी, नवीन पॅरामीटर्स IPIngressFilterPath आणि
  IPEgressFilterPath, जे तुम्हाला या युनिटशी संबंधित प्रक्रियांद्वारे व्युत्पन्न केलेले इनकमिंग आणि आउटगोइंग आयपी पॅकेट फिल्टर करण्यासाठी अनियंत्रित हँडलर्ससह BPF प्रोग्राम कनेक्ट करण्याची परवानगी देते. प्रस्तावित वैशिष्ट्ये तुम्हाला systemd सेवांसाठी एक प्रकारची फायरवॉल तयार करण्यास अनुमती देतात. लेखन उदाहरण BPF वर आधारित एक साधा नेटवर्क फिल्टर;

• कॅशे, रनटाइम फाइल्स, स्थिती माहिती आणि लॉग डिरेक्टरी हटवण्यासाठी systemctl युटिलिटीमध्ये "क्लीन" कमांड जोडली गेली आहे;
• systemd-networkd MACsec, nlmon, IPVTAP आणि Xfrm नेटवर्क इंटरफेससाठी समर्थन जोडते;
• systemd-networkd कॉन्फिगरेशन फाइलमधील “[DHCPv4]” आणि “[DHCPv6]” विभागांद्वारे DHCPv4 आणि DHCPv6 स्टॅकचे वेगळे कॉन्फिगरेशन लागू करते. DHCP सर्व्हरकडून प्राप्त झालेल्या पॅरामीटर्समध्ये निर्दिष्ट केलेल्या DNS सर्व्हरवर वेगळा मार्ग जोडण्यासाठी RoutesToDNS पर्याय जोडला (जेणेकरून DNS कडे रहदारी DHCP कडून प्राप्त झालेल्या मुख्य मार्गाप्रमाणेच त्याच लिंकद्वारे पाठविली जाईल). DHCPv4 साठी नवीन पर्याय जोडले गेले आहेत: MaxAttempts - पत्ता मिळवण्यासाठी जास्तीत जास्त विनंत्यांची संख्या, ब्लॅकलिस्ट - DHCP सर्व्हरची काळी यादी, SendRelease - सत्र संपल्यावर DHCP रिलीझ संदेश पाठवणे सक्षम करा;
• systemd-analyze युटिलिटीमध्ये नवीन कमांड्स जोडल्या गेल्या आहेत:
  • "सिस्टमडी-विश्लेषण टाइमस्टॅम्प" - वेळ पार्सिंग आणि रूपांतरण;
  • "systemd-analyze timespan" - विश्लेषण आणि कालावधीचे रूपांतरण;
  • "सिस्टमडी-विश्लेषण स्थिती" - कंडिशन एक्सवायझेड अभिव्यक्तींचे विश्लेषण आणि चाचणी;
  • “systemd-analyze exit-status” - एक्झिट कोडचे संख्यांवरून नावांमध्ये आणि त्याउलट पार्सिंग आणि रूपांतरित करणे;
  • "systemd-analyze unit-files" - युनिट्स आणि युनिट उपनामांसाठी सर्व फाईल मार्गांची यादी करते.
• पर्याय SuccessExitStatus, RestartPreventExitStatus आणि
  RestartForceExitStatus आता केवळ संख्यात्मक रिटर्न कोडच नाही तर त्यांच्या मजकूर अभिज्ञापकांना (उदाहरणार्थ, "DATAERR") देखील समर्थन देते. तुम्ही “sytemd-analyze exit-status” कमांड वापरून अभिज्ञापकांना नियुक्त केलेल्या कोडची सूची पाहू शकता;

• व्हर्च्युअल नेटवर्क उपकरणे हटवण्यासाठी नेटवर्क सीटीएल युटिलिटीमध्ये “डिलीट” कमांड जोडली गेली आहे, तसेच डिव्हाइस आकडेवारी प्रदर्शित करण्यासाठी “—stats” पर्याय;
• नेटवर्क इंटरफेसचे थ्रुपुट ठराविक कालावधीने मोजण्यासाठी networkd.conf मध्ये SpeedMeter आणि SpeedMeterIntervalSec सेटिंग्ज जोडल्या गेल्या आहेत. मापन परिणामांमधून मिळालेली आकडेवारी 'networkctl status' कमांडच्या आउटपुटमध्ये पाहिली जाऊ शकते;
• फाइल्स व्युत्पन्न करण्यासाठी नवीन युटिलिटी systemd-network-generator जोडले
  .नेटवर्क, .नेटदेव आणि .लिंक आयपी सेटिंग्जवर आधारित ड्राकट सेटिंग्ज फॉरमॅटमध्ये लिनक्स कर्नल कमांड लाइनद्वारे लॉन्च केल्यावर पास केले जातात;

• 64-बिट सिस्टीमवरील sysctl "kernel.pid_max" मूल्य आता मुलभूतरित्या 4194304 (22-बिट ऐवजी 16-बिट PIDs) वर सेट केले आहे, जे PID नियुक्त करताना टक्कर होण्याची शक्यता कमी करते, एकाच वेळी संख्येची मर्यादा वाढवते. प्रक्रिया चालू आहे आणि सुरक्षिततेवर सकारात्मक प्रभाव पडतो. बदलामुळे अनुकूलता समस्या उद्भवू शकतात, परंतु अशा समस्या अद्याप व्यवहारात नोंदवल्या गेल्या नाहीत;
• डीफॉल्टनुसार, बिल्ड स्टेज युनिफाइड हायरार्की cgroups-v2 (“-Ddefault-hierarchy=unified”) वर स्विच करते. पूर्वी, डीफॉल्ट हा हायब्रिड मोड होता (“-Ddefault-hierarchy=hybrid”);
• सिस्टम कॉल फिल्टर (SystemCallFilter) चे वर्तन बदलले गेले आहे, जे, प्रतिबंधित सिस्टम कॉलच्या बाबतीत, आता वैयक्तिक थ्रेड्सऐवजी संपूर्ण प्रक्रिया समाप्त करते, कारण वैयक्तिक थ्रेड्स बंद केल्याने अप्रत्याशित समस्या उद्भवू शकतात. तुमच्याकडे Linux कर्नल 4.14+ आणि libseccomp 2.4.0+ असल्यासच बदल लागू होतात;
• अनप्रिव्हिलेज्ड प्रोग्राम्सना ICMP इको (पिंग) पॅकेट पाठवण्याची क्षमता संपूर्ण गटांसाठी (सर्व प्रक्रियांसाठी) sysctl "net.ipv4.ping_group_range" सेट करून दिली जाते;
• बिल्ड प्रक्रियेला गती देण्यासाठी, मॅन्युअल्सची निर्मिती डीफॉल्टनुसार थांबवली गेली आहे (संपूर्ण दस्तऐवजीकरण तयार करण्यासाठी, तुम्हाला html फॉरमॅटमधील मॅन्युअलसाठी “-Dman=true” किंवा “-Dhtml=true” पर्याय वापरावा लागेल). दस्तऐवजीकरण पाहणे सोपे करण्यासाठी, दोन स्क्रिप्ट समाविष्ट केल्या आहेत: बिल्ड/मॅन/मॅन आणि बिल्ड/मॅन/एचटीएमएल स्वारस्य असलेल्या मॅन्युअल तयार करण्यासाठी आणि त्याचे पूर्वावलोकन करण्यासाठी;
• राष्ट्रीय अक्षरांमधील वर्णांसह डोमेन नावांवर प्रक्रिया करण्यासाठी, libidn2 लायब्ररी डीफॉल्टनुसार वापरली जाते (libidn परत करण्यासाठी, “-Dlibidn=true” पर्याय वापरा);
• /usr/sbin/halt.local एक्झिक्युटेबल फाइलसाठी समर्थन, ज्याने कार्यक्षमता प्रदान केली जी वितरणांमध्ये मोठ्या प्रमाणात वितरित केली जात नव्हती, बंद केली गेली आहे. बंद करताना आदेशांचे प्रक्षेपण आयोजित करण्यासाठी, /usr/lib/systemd/system-shutdown/ मधील स्क्रिप्ट वापरण्याची शिफारस केली जाते किंवा final.target वर अवलंबून असलेले नवीन युनिट परिभाषित केले जाते;
• शटडाउनच्या शेवटच्या टप्प्यावर, systemd आता sysctl “kernel.printk” मधील लॉग पातळी आपोआप वाढवते, जे शटडाउनच्या नंतरच्या टप्प्यात घडलेल्या लॉग इव्हेंट्समध्ये प्रदर्शित करण्याच्या समस्येचे निराकरण करते, जेव्हा नियमित लॉगिंग डिमन आधीच पूर्ण होते. ;
• journalctl आणि लॉग प्रदर्शित करणाऱ्या इतर युटिलिटीजमध्ये, चेतावणी पिवळ्या रंगात हायलाइट केल्या जातात आणि ऑडिट रेकॉर्ड निळ्या रंगात हायलाइट केल्या जातात ज्यामुळे त्यांना गर्दीतून दृश्यमानपणे हायलाइट केले जाते;
• $PATH पर्यावरण व्हेरिएबलमध्ये, bin/ चा मार्ग आता sbin/ च्या मार्गाच्या आधी येतो, उदा. दोन्ही डिरेक्टरीमध्ये एक्झिक्युटेबल फाइल्सची एकसारखी नावे असल्यास, bin/ मधील फाइल कार्यान्वित केली जाईल;
• systemd-logind प्रत्येक सत्राच्या आधारावर स्क्रीनची चमक सुरक्षितपणे बदलण्यासाठी SetBrightness() कॉल प्रदान करते;
• डिव्हाइस सुरू होण्याची प्रतीक्षा करण्यासाठी “--wait-for-initialization” ध्वज “udevadm info” कमांडमध्ये जोडला गेला आहे;
• सिस्टम बूट दरम्यान, PID 1 हँडलर आता युनिट्सची नावे त्यांच्या वर्णनासह रेषेऐवजी दाखवतो. मागील वर्तनाकडे परत येण्यासाठी, तुम्ही /etc/systemd/system.conf मधील StatusUnitFormat पर्याय किंवा systemd.status_unit_format कर्नल पर्याय वापरू शकता;
• वॉचडॉग PID 1 साठी /etc/systemd/system.conf मध्ये KExecWatchdogSec पर्याय जोडला, जो kexec वापरून रीस्टार्ट करण्यासाठी कालबाह्य निर्दिष्ट करतो. जुनी सेटिंग
  शटडाउनवॉचडॉगसेकचे नाव बदलून रीबूटवॉचडॉगसेक केले गेले आहे आणि शटडाउन किंवा सामान्य रीस्टार्ट दरम्यान जॉबसाठी कालबाह्य परिभाषित करते;

• सेवांसाठी नवीन पर्याय जोडण्यात आला आहे Execcondition, जे तुम्हाला ExecStartPre पूर्वी कार्यान्वित केल्या जाणाऱ्या कमांड्स निर्दिष्ट करण्याची परवानगी देते. कमांडद्वारे परत केलेल्या त्रुटी कोडच्या आधारावर, युनिटच्या पुढील अंमलबजावणीवर निर्णय घेतला जातो - जर कोड 0 परत आला तर, युनिट लॉन्च चालू राहते, जर 1 ते 254 पर्यंत ते शांतपणे अपयशी ध्वजशिवाय समाप्त होते, जर 255 ते समाप्त होते. अयशस्वी ध्वज;
• sys/fs/pstore/ वरून डेटा काढण्यासाठी आणि पुढील विश्लेषणासाठी /var/lib/pstore वर सेव्ह करण्यासाठी नवीन सेवा systemd-pstore.service जोडली;
• नेटवर्क इंटरफेसच्या संबंधात systemd-timesyncd साठी NTP पॅरामीटर्स कॉन्फिगर करण्यासाठी timedatectl युटिलिटीमध्ये नवीन आदेश जोडले गेले आहेत;
• "localectl list-locales" कमांड यापुढे UTF-8 व्यतिरिक्त इतर लोकेल दाखवत नाही;
• व्हेरिएबलचे नाव “-“ या वर्णाने सुरू झाल्यास sysctl.d/ फायलींमधील व्हेरिएबल असाइनमेंट त्रुटींकडे दुर्लक्ष केले जाईल याची खात्री करते;
• सेवा systemd-random-seed.service लिनक्स कर्नल स्यूडोरँडम नंबर जनरेटरच्या एंट्रॉपी पूल सुरू करण्यासाठी आता पूर्णपणे जबाबदार आहे. योग्यरितीने सुरू केलेल्या /dev/urandom आवश्यक असलेल्या सेवा systemd-random-seed.service नंतर सुरू केल्या पाहिजेत;
• systemd-boot बूट लोडर समर्थनासाठी पर्यायी क्षमता पुरवतो बियाणे फाइल EFI सिस्टम विभाजन (ESP) मध्ये यादृच्छिक क्रमासह;
• bootctl युटिलिटीमध्ये नवीन कमांड्स जोडल्या गेल्या आहेत: ESP मध्ये सीड फाइल निर्माण करण्यासाठी “bootctl random-seed” आणि systemd-boot बूट लोडरची स्थापना तपासण्यासाठी “bootctl is-installed”. बूट एंट्रीच्या चुकीच्या कॉन्फिगरेशनबद्दल चेतावणी प्रदर्शित करण्यासाठी bootctl देखील समायोजित केले गेले आहे (उदाहरणार्थ, जेव्हा कर्नल प्रतिमा हटविली जाते, परंतु ती लोड करण्यासाठी एंट्री बाकी असते);
• जेव्हा प्रणाली स्लीप मोडमध्ये जाते तेव्हा स्वॅप विभाजनाची स्वयंचलित निवड प्रदान करते. विभाजन त्याच्यासाठी कॉन्फिगर केलेल्या प्राधान्याच्या आधारावर निवडले जाते, आणि समान प्राधान्यांच्या बाबतीत, मोकळ्या जागेचे प्रमाण;
• एनक्रिप्टेड विभाजनात प्रवेश करण्यासाठी पासवर्डची सूचना देण्यापूर्वी एनक्रिप्शन की असलेले उपकरण किती वेळ प्रतीक्षा करेल हे सेट करण्यासाठी /etc/crypttab मध्ये keyfile-timeout पर्याय जोडला;
• BFQ शेड्यूलरसाठी I/O वजन सेट करण्यासाठी IOWeight पर्याय जोडला;
• systemd-resolved DNS-over-TLS साठी 'कडक' मोड जोडला आणि फक्त सकारात्मक DNS प्रतिसाद कॅशे करण्याची क्षमता लागू केली (solved.conf मध्ये "कॅशे नो-नकारात्मक");
• VXLAN साठी, systemd-networkd ने VXLAN प्रोटोकॉल विस्तार सक्षम करण्यासाठी GenericProtocolExtension पर्याय जोडला आहे. VXLAN आणि GENEVE साठी, IPDoNotFragment पर्याय आउटगोइंग पॅकेटसाठी विखंडन प्रतिबंधित ध्वज सेट करण्यासाठी जोडला गेला आहे;
• systemd-networkd मध्ये, “[मार्ग]” विभागात, FastOpenNoCookie पर्यायाने TCP कनेक्शन्स (TFO - TCP फास्ट ओपन, RFC 7413) वैयक्तिक मार्गांच्या संबंधात, तसेच TTLPप्रोपेगेट पर्यायाच्या संदर्भात त्वरीत उघडण्याची यंत्रणा सक्षम केली आहे. TTL LSP (लेबल स्विच्ड पथ) कॉन्फिगर करण्यासाठी. "प्रकार" पर्याय स्थानिक, प्रसारण, कोणत्याही कास्ट, मल्टीकास्ट, कोणत्याही आणि xresolve राउटिंग मोडसाठी समर्थन प्रदान करतो;
• Systemd-networkd दिलेल्या नेटवर्क उपकरणासाठी डिफॉल्ट मार्ग स्वयंचलितपणे कॉन्फिगर करण्यासाठी “[नेटवर्क]” विभागात DefaultRouteOnDevice पर्याय देते;
• Systemd-networkd ने ProxyARP आणि जोडले आहे
  प्रॉक्सी एआरपी वर्तन सेट करण्यासाठी ProxyARPWifi, मल्टीकास्ट मोडमध्ये राउटिंग पॅरामीटर्स सेट करण्यासाठी मल्टीकास्ट राउटर, मल्टीकास्टसाठी IGMP (इंटरनेट ग्रुप मॅनेजमेंट प्रोटोकॉल) आवृत्ती बदलण्यासाठी मल्टीकास्टआयजीएमपी व्हर्जन;

• Systemd-networkd ने स्थानिक आणि दूरस्थ IP पत्ते, तसेच नेटवर्क पोर्ट क्रमांक कॉन्फिगर करण्यासाठी FooOverUDP बोगद्यांसाठी स्थानिक, पीअर आणि पीअरपोर्ट पर्याय जोडले आहेत. TUN बोगद्यांसाठी, GSO (जेनेरिक सेगमेंट ऑफलोड) समर्थन कॉन्फिगर करण्यासाठी VnetHeader पर्याय जोडला गेला आहे;
• systemd-networkd मध्ये, [Match] विभागातील .network आणि .link फाईल्समध्ये, एक प्रॉपर्टी पर्याय दिसला आहे, जो तुम्हाला udev मधील विशिष्ट गुणधर्मांनुसार डिव्हाइसेस ओळखण्याची परवानगी देतो;
• systemd-networkd मध्ये, बोगद्यांसाठी AssignToLoopback पर्याय जोडला गेला आहे, जो बोगद्याचा शेवट लूपबॅक उपकरण “lo” ला नियुक्त केला आहे की नाही हे नियंत्रित करतो;
• systemd-networkd स्वयंचलितपणे IPv6 स्टॅक सक्रिय करते जर ते sysctl disable_ipv6 द्वारे अवरोधित केले असेल - IPv6 सक्रिय केले जाते जर IPv6 सेटिंग्ज (स्थिर किंवा DHCPv6) नेटवर्क इंटरफेससाठी परिभाषित केल्या असतील, अन्यथा आधीच सेट केलेले sysctl मूल्य बदलत नाही;
• .network फायलींमध्ये, CriticalConnection सेटिंग KeepConfiguration पर्यायाने बदलली गेली आहे, जी परिस्थिती परिभाषित करण्यासाठी अधिक माध्यम प्रदान करते (“होय”, “स्टॅटिक”, “dhcp-ऑन-स्टॉप”, “dhcp”) ज्यामध्ये systemd-networkd पाहिजे स्टार्टअप करताना विद्यमान कनेक्शनला स्पर्श करू नका;
• असुरक्षा निश्चित सीव्हीई- 2019-15718, डी-बस इंटरफेसमध्ये प्रवेश नियंत्रणाच्या अभावामुळे सिस्टम-निराकरण. ही समस्या विशेषाधिकार नसलेल्या वापरकर्त्याला केवळ प्रशासकांसाठी उपलब्ध असलेली ऑपरेशन्स करण्यास अनुमती देते, जसे की DNS सेटिंग्ज बदलणे आणि DNS क्वेरी रॉग सर्व्हरकडे निर्देशित करणे;
• असुरक्षा निश्चित सीव्हीई- 2019-9619नॉन-इंटरॅक्टिव्ह सत्रांसाठी pam_systemd सक्षम न करण्याशी संबंधित, जे सक्रिय सत्राच्या स्पूफिंगला परवानगी देते.

स्त्रोत: opennet.ru