ProHoster > Blog > berita internet > keluaran pengurus sistem systemd 249

keluaran pengurus sistem systemd 249

Selepas tiga bulan pembangunan, keluaran pengurus sistem systemd 249 dibentangkan. Keluaran baharu menyediakan keupayaan untuk menentukan pengguna/kumpulan dalam format JSON, menstabilkan protokol Jurnal, memudahkan organisasi memuatkan partition cakera berturut-turut, menambah keupayaan untuk memautkan program BPF kepada perkhidmatan, dan melaksanakan pengguna pemetaan pengecam dalam partition yang dipasang, sebahagian besar tetapan rangkaian baharu dan peluang untuk melancarkan bekas ditawarkan.

Perubahan utama:

  • Protokol Jurnal didokumenkan dan boleh digunakan dalam klien sebagai ganti protokol syslog untuk penghantaran rekod log tempatan. Protokol Jurnal telah dilaksanakan sejak sekian lama dan sudah digunakan di sesetengah perpustakaan pelanggan, namun sokongan rasminya baru sahaja diumumkan.
  • Userdb dan nss-systemd menyediakan sokongan untuk membaca definisi pengguna tambahan yang terdapat dalam direktori /etc/userdb/, /run/userdb/, /run/host/userdb/ dan /usr/lib/userdb/, yang dinyatakan dalam format JSON. Dimaklumkan bahawa ciri ini akan menyediakan mekanisme tambahan untuk mencipta pengguna dalam sistem, menyediakannya dengan integrasi penuh dengan NSS dan /etc/shadow. Sokongan JSON untuk entri pengguna/kumpulan juga akan membenarkan pelbagai pengurusan sumber dan tetapan lain dilampirkan kepada pengguna yang dikenali oleh pam_systemd dan systemd-logind.
  • nss-systemd menyediakan sintesis entri pengguna/kumpulan dalam /etc/shadow menggunakan kata laluan cincang daripada systemd-homed.
  • Mekanisme telah dilaksanakan yang memudahkan organisasi kemas kini menggunakan partition cakera yang menggantikan satu sama lain (satu partition aktif, dan yang kedua adalah ganti - kemas kini disalin ke partition ganti, selepas itu ia menjadi aktif). Jika terdapat dua partition root atau /usr dalam imej cakera, dan udev tidak mengesan kehadiran parameter 'root=', atau sedang memproses imej cakera yang ditentukan melalui pilihan "--image" dalam systemd-nspawn dan systemd -membedah utiliti, partition but boleh dikira dengan membandingkan label GPT (dengan andaian label GPT menyebut nombor versi kandungan partition dan systemd akan memilih partition dengan perubahan yang lebih terkini).
  • Tetapan BPFProgram telah ditambahkan pada fail perkhidmatan, yang dengannya anda boleh mengatur pemuatan program BPF ke dalam kernel dan mengurusnya dengan mengikat perkhidmatan sistem tertentu.
  • Systemd-fstab-generator dan systemd-repart menambah keupayaan untuk but daripada cakera yang hanya mempunyai partition /usr dan tiada partition root (partition root akan dijana oleh systemd-repart semasa but pertama).
  • Dalam systemd-nspawn, pilihan "--private-user-chown" telah digantikan dengan pilihan "--private-user-ownership" yang lebih generik, yang boleh menerima nilai "chown" sebagai setara dengan "-- private-user-chown", "off" untuk melumpuhkan tetapan lama, "map" untuk memetakan ID pengguna pada sistem fail yang dipasang dan "auto" untuk memilih "map" jika kefungsian yang diperlukan terdapat dalam kernel (5.12+) atau mundur. kepada panggilan rekursif kepada "chown" sebaliknya. Menggunakan pemetaan, anda boleh memetakan fail seorang pengguna pada partition asing yang dipasang kepada pengguna lain pada sistem semasa, menjadikannya lebih mudah untuk berkongsi fail antara pengguna yang berbeza. Dalam mekanisme direktori rumah mudah alih sistemd-homed, pemetaan akan membolehkan pengguna mengalihkan direktori rumah mereka ke media luaran dan menggunakannya pada komputer berbeza yang tidak mempunyai reka letak ID pengguna yang sama.
  • Dalam systemd-nspawn, pilihan "--private-user" kini boleh menggunakan nilai "identity" untuk mencerminkan ID pengguna secara langsung semasa menyediakan ruang nama pengguna, i.e. UID 0 dan UID 1 dalam bekas akan ditunjukkan dalam UID 0 dan UID 1 pada bahagian hos, untuk mengurangkan vektor serangan (bekas hanya akan menerima keupayaan proses dalam ruang namanya).
  • Pilihan "--bind-user" telah ditambahkan pada systemd-nspawn untuk memajukan akaun pengguna yang sedia ada dalam persekitaran hos ke bekas (direktori rumah dipasang ke dalam bekas, kemasukan pengguna/kumpulan ditambah dan pemetaan UID dilakukan di antara bekas dan persekitaran hos).
  • Menambah sokongan untuk meminta set kata laluan kepada systemd-ask-password dan systemd-sysusers (passwd.hashed-password. dan passwd.plaintext-password. ) menggunakan mekanisme yang diperkenalkan dalam systemd 247 untuk memindahkan data sensitif dengan selamat menggunakan fail perantaraan dalam direktori berasingan. Secara lalai, bukti kelayakan diterima daripada proses dengan PID1, yang menerimanya, contohnya, daripada pengurus pengurusan kontena, yang membolehkan anda mengkonfigurasi kata laluan pengguna pada but pertama.
  • systemd-firstboot menambah sokongan untuk menggunakan pemindahan selamat mekanisme data sensitif untuk menanyakan pelbagai parameter sistem, yang boleh digunakan untuk memulakan tetapan sistem apabila mula-mula but imej kontena yang tidak mempunyai tetapan yang diperlukan dalam direktori /etc.
  • Proses PID 1 memastikan bahawa kedua-dua nama unit dan keterangan dipaparkan semasa but. Anda boleh menukar output melalui parameter "StatusUnitFormat=combined" dalam system.conf atau pilihan baris arahan kernel "systemd.status-unit-format=combined"
  • Pilihan "--image" telah ditambahkan pada systemd-machine-id-setup dan systemd-repart utiliti untuk memindahkan fail dengan id mesin ke imej cakera atau untuk meningkatkan saiz imej cakera.
  • Parameter MakeDirectories telah ditambahkan pada fail konfigurasi partition yang digunakan oleh utiliti systemd-repart, yang boleh digunakan untuk mencipta direktori arbitrari dalam sistem fail yang dicipta sebelum ditunjukkan dalam jadual partition (contohnya, untuk mencipta direktori untuk titik lekap dalam partition root supaya anda boleh melekapkan partition dengan segera dalam mod baca sahaja). Untuk mengawal bendera GPT dalam bahagian yang dibuat, parameter Bendera, Baca Sahaja dan TiadaAuto yang sepadan telah ditambahkan. Parameter CopyBlocks mempunyai nilai "auto" untuk memilih partition but semasa secara automatik sebagai sumber apabila menyalin blok (contohnya, apabila anda perlu memindahkan partition root anda sendiri ke media baharu).
  • GPT melaksanakan bendera "grow-file-system", yang serupa dengan pilihan pemasangan x-systemd.growfs dan menyediakan pengembangan automatik saiz FS ke sempadan peranti blok jika saiz FS lebih kecil daripada partition. Bendera boleh digunakan pada sistem fail Ext3, XFS dan Btrfs, dan boleh digunakan pada partition yang dikesan secara automatik. Bendera didayakan secara lalai untuk partition boleh tulis yang dibuat secara automatik melalui systemd-repart. Pilihan GrowFileSystem telah ditambahkan untuk mengkonfigurasi bendera dalam systemd-repart.
  • Fail /etc/os-release menyediakan sokongan untuk pembolehubah IMAGE_VERSION dan IMAGE_ID baharu untuk menentukan versi dan ID imej yang dikemas kini secara atom. Penentu %M dan %A dicadangkan untuk menggantikan nilai yang ditentukan ke dalam pelbagai arahan.
  • Parameter "--extension" telah ditambahkan pada utiliti portablectl untuk mengaktifkan imej sambungan sistem mudah alih (contohnya, melalui mereka anda boleh mengedarkan imej dengan perkhidmatan tambahan yang disepadukan ke dalam partition root).
  • Utiliti systemd-coredump menyediakan pengekstrakan maklumat binaan ELF apabila menjana lambakan teras proses, yang boleh berguna untuk menentukan pakej mana yang dimiliki oleh proses yang gagal jika maklumat tentang nama dan versi pakej deb atau rpm telah dibina ke dalam fail ELF.
  • Pangkalan perkakasan baharu untuk peranti FireWire (IEEE 1394) telah ditambahkan pada udev.
  • Dalam udev, tiga perubahan telah ditambahkan pada skema pemilihan nama antara muka rangkaian "net_id" yang melanggar keserasian ke belakang: aksara yang salah dalam nama antara muka kini digantikan dengan "_"; Nama slot palam panas PCI untuk sistem s390 diproses dalam bentuk perenambelasan; Penggunaan sehingga 65535 peranti PCI terbina dalam dibenarkan (sebelum ini nombor di atas 16383 telah disekat).
  • systemd-resolved menambah domain "home.arpa" pada senarai NTA (Negative Trust Anchors), yang disyorkan untuk rangkaian rumah tempatan, tetapi tidak digunakan dalam DNSSEC.
  • Parameter CPUAffinity menyediakan penghuraian penentu "%".
  • Parameter ManageForeignRoutingPolicyRules telah ditambahkan pada fail .network, yang boleh digunakan untuk mengecualikan systemd-networkd daripada memproses dasar penghalaan pihak ketiga.
  • Parameter RequiredFamilyForOnline telah ditambahkan pada fail ".network" untuk menentukan kehadiran alamat IPv4 atau IPv6 sebagai tanda bahawa antara muka rangkaian berada dalam keadaan "dalam talian". Networkctl menyediakan paparan status "dalam talian" untuk setiap pautan.
  • Menambah parameter OutgoingInterface pada fail .network untuk menentukan antara muka keluar semasa mengkonfigurasi jambatan rangkaian.
  • Parameter Kumpulan telah ditambahkan pada fail ".network", membolehkan anda mengkonfigurasi kumpulan Multipath untuk entri dalam bahagian "[NextHop]".
  • Menambahkan pilihan "-4" dan "-6" pada systemd-network-wait-online untuk mengehadkan menunggu sambungan kepada IPv4 atau IPv6 sahaja.
  • Parameter RelayTarget telah ditambahkan pada tetapan pelayan DHCP, yang menukar pelayan kepada mod Ralay DHCP. Untuk konfigurasi tambahan geganti DHCP, pilihan RelayAgentCircuitId dan RelayAgentRemoteId ditawarkan.
  • Parameter ServerAddress telah ditambahkan pada pelayan DHCP, membolehkan anda menetapkan alamat IP pelayan secara eksplisit (jika tidak, alamat dipilih secara automatik).
  • Pelayan DHCP melaksanakan bahagian [DHCPServerStaticLease], yang membolehkan anda mengkonfigurasi pengikatan alamat statik (pajakan DHCP), menentukan pengikatan IP tetap kepada alamat MAC dan sebaliknya.
  • Tetapan RestrictAddressFamilies menyokong nilai "tiada", yang bermaksud bahawa perkhidmatan itu tidak akan mempunyai akses kepada soket mana-mana keluarga alamat.
  • Dalam fail ".network" dalam bahagian [Address], [DHCPv6PrefixDelegation] dan [IPv6Prefix], sokongan untuk tetapan RouteMetric dilaksanakan, yang membolehkan anda menentukan metrik untuk awalan laluan yang dibuat untuk alamat yang ditentukan.
  • nss-myhostname dan systemd-resolved menyediakan sintesis rekod DNS dengan alamat untuk hos dengan nama khas "_outbound", yang mana IP tempatan sentiasa dikeluarkan, dipilih mengikut laluan lalai yang digunakan untuk sambungan keluar.
  • Dalam fail .network, dalam bahagian β€œ[DHCPv4]”, tetapan RoutesToNTP aktif lalai telah ditambahkan, yang memerlukan penambahan laluan berasingan melalui antara muka rangkaian semasa untuk mengakses alamat pelayan NTP yang diperoleh untuk antara muka ini menggunakan DHCP (serupa dengan DNS , tetapan membenarkan anda untuk menjamin bahawa trafik ke pelayan NTP akan dihalakan melalui antara muka yang melaluinya alamat ini diterima).
  • Menambahkan tetapan SocketBindAllow dan SocketBindDeny untuk mengawal akses kepada soket yang terikat pada perkhidmatan semasa.
  • Untuk fail unit, tetapan bersyarat yang dipanggil ConditionFirmware telah dilaksanakan, yang membolehkan anda membuat semakan yang menilai fungsi perisian tegar, seperti bekerja pada sistem UEFI dan device.tree, serta menyemak keserasian dengan keupayaan pepohon peranti tertentu.
  • Melaksanakan pilihan ConditionOSRelease untuk menyemak medan dalam fail /etc/os-release. Apabila mentakrifkan syarat untuk menyemak nilai medan, operator β€œ=”, β€œ!=”, β€œ<β€œ, β€œ<=”, β€œ>=”, β€œ>” boleh diterima.
  • Dalam utiliti hostnamectl, arahan seperti "get-xyz" dan "set-xyz" dibebaskan daripada awalan "get" dan "set", sebagai contoh, bukannya "hostnamectl get-hostname" dan "hostnamectl "set-hostname" anda boleh menggunakan arahan "hostnamectl hostname" ", penetapan nilai yang ditentukan dengan menentukan argumen tambahan ("hostnamectl hostname value"). Sokongan untuk arahan lama telah dikekalkan untuk memastikan keserasian.
  • Utiliti systemd-detect-virt dan tetapan ConditionVirtualization memastikan pengecaman yang betul bagi persekitaran Amazon EC2.
  • Tetapan LogLevelMax dalam fail unit kini digunakan bukan sahaja pada mesej log yang dijana oleh perkhidmatan, tetapi juga pada mesej proses PID 1 yang menyebut perkhidmatan tersebut.
  • Dengan syarat keupayaan untuk memasukkan data SBAT (UEFI Secure Boot Advanced Targeting) dalam fail EFI PE systemd-boot.
  • /etc/crypttab melaksanakan pilihan baharu "tanpa kepala" dan "gema kata laluan" - yang pertama membolehkan anda melangkau semua operasi yang berkaitan dengan gesaan interaktif untuk kata laluan dan PIN daripada pengguna, dan yang kedua membolehkan anda mengkonfigurasi kaedah untuk memaparkan input kata laluan (tunjukkan apa-apa, tunjukkan watak demi watak dan paparkan asterisk). Pilihan "--echo" telah ditambahkan pada systemd-ask-password untuk tujuan yang sama.
  • systemd-cryptenroll, systemd-cryptsetup, dan systemd-homed telah mengembangkan sokongan untuk membuka kunci partition LUKS2 yang disulitkan menggunakan token FIDO2. Menambahkan pilihan baharu "--fido2-dengan-kehadiran-pengguna", "--fido2-dengan-pengesahan-pengguna" dan "-fido2-dengan-pin-klien" untuk mengawal pengesahan kehadiran fizikal pengguna, pengesahan dan keperluan untuk masuk kod PIN.
  • Menambahkan pilihan "--user", "--system", "--merge" dan "--file" pada systemd-journal-gatewayd, serupa dengan pilihan journalctl.
  • Selain kebergantungan langsung antara unit yang ditentukan melalui parameter OnFailure dan Slice, sokongan untuk kebergantungan songsang tersirat OnFailureOf dan SliceOf telah ditambah, yang boleh berguna, contohnya, untuk menentukan semua unit yang disertakan dalam slice.
  • Menambahkan jenis kebergantungan baharu antara unit: OnSuccess dan OnSuccessOf (bertentangan dengan OnFailure, dipanggil apabila berjaya disiapkan); PropagatesStopTo dan StopPropagatedFrom (membolehkan anda menyebarkan acara berhenti unit ke unit lain); Upholds dan UpheldBy (alternatif untuk Mulakan Semula).
  • Utiliti systemd-ask-password kini mempunyai pilihan β€œ--emoji” untuk mengawal kemunculan simbol gembok (πŸ”) dalam baris input kata laluan.
  • Menambahkan dokumentasi pada struktur pokok sumber systemd.
  • Untuk unit, sifat MemoryAvailable telah ditambah, menunjukkan jumlah memori yang tinggal unit sebelum mencapai had yang ditetapkan melalui parameter MemoryMax, MemoryHigh atau MemoryAvailable.

Sumber: opennet.ru

Tambah komen