ProHoster > Blog > berita internet > keluaran pengurus sistem systemd 250

keluaran pengurus sistem systemd 250

Selepas lima bulan pembangunan, keluaran pengurus sistem systemd 250 telah dibentangkan. Keluaran baharu memperkenalkan keupayaan untuk menyimpan bukti kelayakan dalam bentuk yang disulitkan, melaksanakan pengesahan partition GPT yang dikesan secara automatik menggunakan tandatangan digital, menambah baik maklumat tentang punca kelewatan apabila perkhidmatan permulaan, dan pilihan tambahan untuk mengehadkan akses perkhidmatan kepada sistem fail dan antara muka rangkaian tertentu, sokongan untuk pemantauan integriti partition menggunakan modul dm-integriti disediakan, dan sokongan untuk kemas kini automatik sd-boot ditambah.

Perubahan utama:

  • Sokongan tambahan untuk bukti kelayakan yang disulitkan dan disahkan, yang boleh berguna untuk menyimpan bahan sensitif seperti kunci SSL dan kata laluan akses dengan selamat. Penyahsulitan bukti kelayakan dilakukan hanya apabila perlu dan berkaitan dengan pemasangan atau peralatan tempatan. Data disulitkan secara automatik menggunakan algoritma penyulitan simetri, kuncinya boleh didapati dalam sistem fail, dalam cip TPM2, atau menggunakan skema gabungan. Apabila perkhidmatan bermula, bukti kelayakan dinyahsulit secara automatik dan tersedia untuk perkhidmatan dalam bentuk biasa. Untuk bekerja dengan bukti kelayakan yang disulitkan, utiliti 'systemd-creds' telah ditambahkan dan tetapan LoadCredentialEncrypted dan SetCredentialEncrypted telah dicadangkan untuk perkhidmatan.
  • sd-stub, boleh laku EFI yang membenarkan perisian tegar EFI memuatkan kernel Linux, kini menyokong but kernel menggunakan protokol LINUX_EFI_INITRD_MEDIA_GUID EFI. Juga ditambah pada sd-stub ialah keupayaan untuk membungkus bukti kelayakan dan fail sysext ke dalam arkib cpio dan memindahkan arkib ini ke kernel bersama-sama dengan initrd (fail tambahan diletakkan dalam direktori /.extra/). Ciri ini membolehkan anda menggunakan persekitaran initrd tidak boleh ubah yang boleh disahkan, dilengkapi dengan sysexts dan data pengesahan yang disulitkan.
  • Spesifikasi Discoverable Partitions telah diperluaskan dengan ketara, menyediakan alatan untuk mengenal pasti, memasang dan mengaktifkan partition sistem menggunakan GPT (GUID Partition Tables). Berbanding dengan keluaran sebelumnya, spesifikasi kini menyokong partition root dan /usr partition untuk kebanyakan seni bina, termasuk platform yang tidak menggunakan UEFI.

    Discoverable Partitions juga menambah sokongan untuk partition yang integritinya disahkan oleh modul dm-verity menggunakan tandatangan digital PKCS#7, menjadikannya lebih mudah untuk mencipta imej cakera yang disahkan sepenuhnya. Sokongan pengesahan disepadukan ke dalam pelbagai utiliti yang memanipulasi imej cakera, termasuk systemd-nspawn, systemd-sysext, systemd-dissect, perkhidmatan RootImage, systemd-tmpfiles dan systemd-sysusers.

  • Untuk unit yang mengambil masa yang lama untuk dimulakan atau dihentikan, selain daripada memaparkan bar kemajuan animasi, adalah mungkin untuk memaparkan maklumat status yang membolehkan anda memahami apa sebenarnya yang berlaku dengan perkhidmatan pada masa ini dan perkhidmatan yang mana pengurus sistem berada. sedang menunggu untuk disiapkan.
  • Menambahkan parameter DefaultOOMScoreAdjust pada /etc/systemd/system.conf dan /etc/systemd/user.conf, yang membolehkan anda melaraskan ambang pembunuh OOM untuk memori rendah, terpakai pada proses yang systemd bermula untuk sistem dan pengguna. Secara lalai, berat perkhidmatan sistem adalah lebih tinggi daripada berat perkhidmatan pengguna, i.e. Apabila memori tidak mencukupi, kebarangkalian penamatan perkhidmatan pengguna adalah lebih tinggi daripada perkhidmatan sistem.
  • Menambahkan tetapan RestrictFileSystems, yang membolehkan anda menyekat akses perkhidmatan kepada jenis sistem fail tertentu. Untuk melihat jenis sistem fail yang tersedia, anda boleh menggunakan perintah "systemd-analyse filesystems". Secara analogi, pilihan RestrictNetworkInterfaces telah dilaksanakan, yang membolehkan anda menyekat akses kepada antara muka rangkaian tertentu. Pelaksanaannya adalah berdasarkan modul BPF LSM, yang menyekat akses sekumpulan proses kepada objek kernel.
  • Menambah fail konfigurasi /etc/integritytab baharu dan utiliti systemd-integritysetup yang mengkonfigurasi modul dm-integrity untuk mengawal integriti data di peringkat sektor, sebagai contoh, untuk menjamin ketidakbolehubahan data yang disulitkan (Penyulitan Disahkan, memastikan bahawa blok data mempunyai tidak diubah suai secara bulatan) . Format fail /etc/integritytab adalah serupa dengan fail /etc/crypttab dan /etc/veritytab, kecuali dm-integrity digunakan dan bukannya dm-crypt dan dm-verity.
  • Fail unit baharu systemd-boot-update.service telah ditambah, apabila diaktifkan dan pemuat but sd-boot dipasang, systemd akan mengemas kini versi pemuat but sd-boot secara automatik, memastikan kod pemuat but sentiasa dikemas kini. sd-boot sendiri kini dibina secara lalai dengan sokongan untuk mekanisme SBAT (UEFI Secure Boot Advanced Targeting), yang menyelesaikan masalah dengan pembatalan sijil untuk UEFI Secure Boot. Di samping itu, sd-boot menyediakan keupayaan untuk menghuraikan tetapan but Microsoft Windows untuk menjana nama partition but dengan Windows dengan betul dan memaparkan versi Windows.

    sd-boot juga menyediakan keupayaan untuk menentukan skema warna pada masa binaan. Semasa proses but, menambah sokongan untuk menukar resolusi skrin dengan menekan kekunci "r". Menambahkan kekunci pintas "f" untuk pergi ke antara muka konfigurasi perisian tegar. Menambah mod untuk but sistem secara automatik sepadan dengan item menu yang dipilih semasa but terakhir. Menambahkan keupayaan untuk memuatkan pemacu EFI secara automatik yang terletak dalam direktori /EFI/systemd/drivers/ dalam bahagian ESP (EFI System Partition).

  • Fail unit baharu factory-reset.target disertakan, yang diproses dalam systemd-logind dengan cara yang serupa dengan operasi but semula, poweroff, suspend dan hibernate, dan digunakan untuk mencipta pengendali untuk melakukan tetapan semula kilang.
  • Proses penyelesaian systemd kini mencipta soket pendengaran tambahan pada 127.0.0.54 sebagai tambahan kepada 127.0.0.53. Permintaan yang tiba di 127.0.0.54 sentiasa diubah hala ke pelayan DNS huluan dan tidak diproses secara setempat.
  • Menyediakan keupayaan untuk membina systemd-importd dan systemd-resolved dengan perpustakaan OpenSSL dan bukannya libgcrypt.
  • Menambah sokongan awal untuk seni bina LoongArch yang digunakan dalam pemproses Loongson.
  • systemd-gpt-auto-generator menyediakan keupayaan untuk mengkonfigurasi partition swap yang ditentukan sistem secara automatik yang disulitkan oleh subsistem LUKS2.
  • Kod penghuraian imej GPT yang digunakan dalam systemd-nspawn, systemd-dissect, dan utiliti serupa melaksanakan keupayaan untuk menyahkod imej untuk seni bina lain, membenarkan systemd-nspawn digunakan untuk menjalankan imej pada emulator seni bina lain.
  • Apabila memeriksa imej cakera, systemd-dissect kini memaparkan maklumat tentang tujuan partition, seperti kesesuaian untuk but melalui UEFI atau berjalan dalam bekas.
  • Medan "SYSEXT_SCOPE" telah ditambahkan pada fail system-extension.d/, membolehkan anda menunjukkan skop imej sistem - "initrd", "sistem" atau "mudah alih".
  • Medan "PORTABLE_PREFIXES" telah ditambahkan pada fail os-release, yang boleh digunakan dalam imej mudah alih untuk menentukan awalan fail unit yang disokong.
  • systemd-logind memperkenalkan tetapan baharu HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress dan HandleHibernateKeyLongPress, yang boleh digunakan untuk menentukan perkara yang berlaku apabila kekunci tertentu ditekan selama lebih daripada 5 saat (contohnya, menekan kekunci Suspend untuk masuk dengan cepat boleh dikonfigurasikan , dan apabila ditekan, ia akan tidur) .
  • Untuk unit, tetapan StartupAllowedCPUs dan StartupAllowedMemoryNodes dilaksanakan, yang berbeza daripada tetapan serupa tanpa awalan Startup kerana ia digunakan hanya pada peringkat but dan penutupan, yang membolehkan anda menetapkan sekatan sumber lain semasa but.
  • Ditambah [Keadaan|Tegaskan][Memori|CPU|IO]Pemeriksaan tekanan yang membenarkan pengaktifan unit dilangkau atau gagal jika mekanisme PSI mengesan beban berat pada memori, CPU dan I/O dalam sistem.
  • Had inod maksimum lalai telah ditingkatkan untuk partition /dev daripada 64k kepada 1M, dan untuk partition /tmp daripada 400k kepada 1M.
  • Tetapan ExecSearchPath telah dicadangkan untuk perkhidmatan, yang membolehkan anda menukar laluan untuk mencari fail boleh laku yang dilancarkan melalui tetapan seperti ExecStart.
  • Menambah tetapan RuntimeRandomizedExtraSec, yang membolehkan anda memperkenalkan sisihan rawak ke dalam tamat masa RuntimeMaxSec, yang mengehadkan masa pelaksanaan unit.
  • Sintaks tetapan RuntimeDirectory, StateDirectory, CacheDirectory dan LogsDirectory telah dikembangkan, di mana dengan menentukan nilai tambahan yang dipisahkan oleh titik bertindih, anda kini boleh mengatur penciptaan pautan simbolik ke direktori tertentu untuk mengatur akses sepanjang beberapa laluan.
  • Untuk perkhidmatan, tetapan TTYRows dan TTYColumns ditawarkan untuk menetapkan bilangan baris dan lajur dalam peranti TTY.
  • Menambah tetapan ExitType, yang membolehkan anda menukar logik untuk menentukan penghujung perkhidmatan. Secara lalai, systemd hanya memantau kematian proses utama, tetapi jika ExitType=cgroup ditetapkan, pengurus sistem akan menunggu proses terakhir dalam cgroup selesai.
  • Pelaksanaan sokongan TPM2/FIDO2/PKCS11 systemd-cryptsetup kini turut dibina sebagai pemalam cryptsetup, membenarkan perintah cryptsetup biasa digunakan untuk membuka kunci partition yang disulitkan.
  • Pengendali TPM2 dalam systemd-cryptsetup/systemd-cryptsetup menambah sokongan untuk kunci utama RSA sebagai tambahan kepada kunci ECC untuk meningkatkan keserasian dengan cip bukan ECC.
  • Pilihan tamat masa token telah ditambahkan pada /etc/crypttab, yang membolehkan anda menentukan masa maksimum untuk menunggu sambungan token PKCS#11/FIDO2, selepas itu anda akan digesa untuk memasukkan kata laluan atau kunci pemulihan.
  • systemd-timesyncd melaksanakan tetapan SaveIntervalSec, yang membolehkan anda menyimpan masa sistem semasa ke cakera secara berkala, contohnya, untuk melaksanakan jam monotonik pada sistem tanpa RTC.
  • Pilihan telah ditambahkan pada utiliti systemd-analyze: "--image" dan "--root" untuk menyemak fail unit di dalam imej atau direktori akar tertentu, "--recursive-errors" untuk mengambil kira unit bergantung apabila ralat dikesan, "--luar talian" untuk menyemak fail unit yang disimpan secara berasingan ke cakera, "β€”json" untuk output dalam format JSON, "β€”quiet" untuk melumpuhkan mesej yang tidak penting, "β€”profile" untuk diikat pada profil mudah alih. Juga ditambah ialah perintah inspect-elf untuk menghuraikan fail teras dalam format ELF dan keupayaan untuk menyemak fail unit dengan nama unit yang diberikan, tidak kira sama ada nama ini sepadan dengan nama fail.
  • systemd-networkd telah mengembangkan sokongan untuk bas Rangkaian Kawasan Pengawal (CAN). Tetapan ditambahkan untuk mengawal mod CAN: Loopback, OneShot, PresumeAck dan ClassicDataLengthCode. Menambahkan TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 dan DataSyncJumpWidth pilihan kepada bahagian antara muka penyegerakan [CAN] untuk mengawal fail CANwork.AN.
  • Systemd-networkd telah menambah pilihan Label untuk klien DHCPv4, yang membolehkan anda mengkonfigurasi label alamat yang digunakan semasa mengkonfigurasi alamat IPv4.
  • systemd-udevd untuk "ethtool" melaksanakan sokongan untuk nilai "maks" khas yang menetapkan saiz penimbal kepada nilai maksimum yang disokong oleh perkakasan.
  • Dalam fail .link untuk systemd-udevd kini anda boleh mengkonfigurasi pelbagai parameter untuk menggabungkan penyesuai rangkaian dan penyambung pengendali perkakasan (offload).
  • systemd-networkd menawarkan fail .network baharu secara lalai: 80-container-vb.network untuk menentukan jambatan rangkaian yang dicipta semasa menjalankan systemd-nspawn dengan pilihan "--network-bridge" atau "--network-zone"; 80-6rd-tunnel.network untuk menentukan terowong yang dibuat secara automatik apabila menerima respons DHCP dengan pilihan 6RD.
  • Systemd-networkd dan systemd-udevd telah menambah sokongan untuk pemajuan IP melalui antara muka InfiniBand, yang mana bahagian β€œ[IPoIB]” telah ditambahkan pada fail systemd.netdev dan pemprosesan nilai β€œipoib” telah dilaksanakan dalam Jenis tetapan.
  • systemd-networkd menyediakan konfigurasi laluan automatik untuk alamat yang dinyatakan dalam parameter AllowedIPs, yang boleh dikonfigurasikan melalui parameter RouteTable dan RouteMetric dalam bahagian [WireGuard] dan [WireGuardPeer].
  • systemd-networkd menyediakan penjanaan automatik alamat MAC yang tidak berubah untuk antara muka batadv dan jambatan. Untuk melumpuhkan tingkah laku ini, anda boleh menentukan MACAddress=tiada dalam fail .netdev.
  • Tetapan WakeOnLanPassword telah ditambahkan pada fail .link dalam bahagian β€œ[Link]” untuk menentukan kata laluan apabila WoL berjalan dalam mod β€œSecureOn”.
  • Menambahkan tetapan AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO dan UseRawPacketSize pada bahagian "[CAKE]" pada fail .network untuk menentukan parameter rangkaian CAKE (Mekanisme pengurusan gilir Aplikasi Biasa Dipertingkatkan) .
  • Menambahkan tetapan IgnoreCarrierLoss pada bahagian "[Rangkaian]" fail .network, membolehkan anda menentukan berapa lama untuk menunggu sebelum bertindak balas terhadap kehilangan isyarat pembawa.
  • Systemd-nspawn, homectl, machinectl dan systemd-run telah melanjutkan sintaks parameter "--setenv" - jika hanya nama pembolehubah ditentukan (tanpa "="), nilai akan diambil daripada pembolehubah persekitaran yang sepadan (untuk contoh, apabila menentukan "--setenv=FOO" nilai akan diambil daripada pembolehubah persekitaran $FOO dan digunakan dalam pembolehubah persekitaran dengan nama yang sama ditetapkan dalam bekas).
  • systemd-nspawn telah menambah pilihan "--suppress-sync" untuk melumpuhkan panggilan sistem sync()/fsync()/fdatasync() apabila mencipta bekas (berguna apabila kelajuan menjadi keutamaan dan memelihara artifak binaan sekiranya kegagalan tidak penting, kerana ia boleh dibuat semula pada bila-bila masa).
  • Pangkalan data hwdb baharu telah ditambah, yang merangkumi pelbagai jenis penganalisis isyarat (multimeter, penganalisis protokol, osiloskop, dll.). Maklumat tentang kamera dalam hwdb telah dikembangkan dengan medan dengan maklumat tentang jenis kamera (biasa atau inframerah) dan peletakan lensa (depan atau belakang).
  • Mendayakan penjanaan nama antara muka rangkaian yang tidak berubah untuk peranti hadapan bersih yang digunakan dalam Xen.
  • Analisis fail teras oleh utiliti systemd-coredump berdasarkan perpustakaan libdw/libelf kini dilakukan dalam proses yang berasingan, diasingkan dalam persekitaran kotak pasir.
  • systemd-importd telah menambah sokongan untuk pembolehubah persekitaran $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, yang dengannya anda boleh melumpuhkan penjanaan subpartition Btrfs, serta mengkonfigurasi kuota dan penyegerakan cakera.
  • Dalam systemd-journald, pada sistem fail yang menyokong mod copy-on-write, mod COW didayakan semula untuk jurnal yang diarkibkan, membolehkannya dimampatkan menggunakan Btrfs.
  • systemd-journald melaksanakan penyahduplikasian medan yang sama dalam satu mesej, yang dilakukan pada peringkat sebelum meletakkan mesej dalam jurnal.
  • Menambahkan pilihan "--show" pada perintah penutupan untuk memaparkan penutupan berjadual.

Sumber: opennet.ru

Tambah komen