ProHoster > blog > aħbarijiet fuq l-internet > rilaxx tal-maniġer tas-sistema systemd 250

rilaxx tal-maniġer tas-sistema systemd 250

Wara ħames xhur ta 'żvilupp, ġie ppreżentat ir-rilaxx tal-maniġer tas-sistema systemd 250. Ir-rilaxx il-ġdid introduċa l-abbiltà li taħżen kredenzjali f'forma kriptata, implimentat verifika ta' diviżorji GPT misjuba awtomatikament bl-użu ta 'firma diġitali, informazzjoni mtejba dwar il-kawżi ta' dewmien meta servizzi tal-bidu, u għażliet miżjuda biex jillimitaw l-aċċess għas-servizz għal ċerti sistemi ta 'fajls u interfaces tan-netwerk, jiġi pprovdut appoġġ għall-monitoraġġ tal-integrità tal-partizzjoni bl-użu tal-modulu dm-integrity, u jiġi miżjud appoġġ għall-aġġornament awtomatiku sd-boot.

Bidliet ewlenin:

  • Appoġġ miżjud għal kredenzjali kriptati u awtentikati, li jistgħu jkunu utli għall-ħażna sigura ta 'materjali sensittivi bħal ċwievet SSL u passwords ta' aċċess. Id-deċifrar tal-kredenzjali jitwettaq biss meta jkun meħtieġ u b'rabta mal-installazzjoni jew it-tagħmir lokali. Id-dejta hija kkodifikata awtomatikament bl-użu ta 'algoritmi ta' encryption simetriċi, li ċ-ċavetta tagħhom tista 'tinstab fis-sistema tal-fajls, fiċ-ċippa TPM2, jew bl-użu ta' skema ta 'kombinazzjoni. Meta jibda s-servizz, il-kredenzjali jiġu awtomatikament decrypted u jsiru disponibbli għas-servizz fil-forma normali tiegħu. Biex taħdem bi kredenzjali encrypted, ġiet miżjuda l-utilità 'systemd-creds', u s-settings LoadCredentialEncrypted u SetCredentialEncrypted ġew proposti għas-servizzi.
  • sd-stub, l-eżekutibbli EFI li jippermetti lill-firmware EFI jgħabbi l-qalba tal-Linux, issa jappoġġja l-ibbutjar tal-qalba bl-użu tal-protokoll EFI LINUX_EFI_INITRD_MEDIA_GUID. Ma' sd-stub hemm ukoll il-ħila li tippakkja kredenzjali u fajls sysext f'arkivju cpio u tittrasferixxi dan l-arkivju lejn il-kernel flimkien mal-initrd (fajls addizzjonali jitqiegħdu fid-direttorju /.extra/). Din il-karatteristika tippermettilek tuża ambjent initrd immutabbli verifikabbli, ikkumplimentat minn sysexts u data ta 'awtentikazzjoni kriptata.
  • L-ispeċifikazzjoni tal-Diviżorji Discoverable ġiet estiża b'mod sinifikanti, u tipprovdi għodod għall-identifikazzjoni, l-immuntar u l-attivazzjoni tal-ħitan tas-sistema bl-użu ta 'GPT (GUID Partition Tables). Meta mqabbel ma 'rilaxxi preċedenti, l-ispeċifikazzjoni issa tappoġġja l-partizzjoni tal-għeruq u l-partizzjoni /usr għall-biċċa l-kbira tal-arkitetturi, inklużi pjattaformi li ma jużawx UEFI.

    Discoverable Partitions iżid ukoll appoġġ għal diviżorji li l-integrità tagħhom hija vverifikata mill-modulu dm-verity bl-użu ta 'firem diġitali PKCS#7, li jagħmilha aktar faċli biex jinħolqu immaġini tad-disk awtentikati bis-sħiħ. L-appoġġ għall-verifika huwa integrat f'diversi utilitajiet li jimmanipulaw immaġini tad-disk, inklużi systemd-nspawn, systemd-sysext, systemd-dissect, servizzi RootImage, systemd-tmpfiles, u systemd-sysusers.

  • Għal unitajiet li jieħdu ħafna żmien biex jibdew jew jieqfu, minbarra li juru bar animat tal-progress, huwa possibbli li turi informazzjoni dwar l-istatus li tippermettilek tifhem x'qed jiġri eżatt bis-servizz fil-mument u liema servizz huwa l-maniġer tas-sistema. bħalissa qed jistenna biex jitlesta.
  • Żid il-parametru DefaultOOMScoreAdjust għal /etc/systemd/system.conf u /etc/systemd/user.conf, li jippermettilek taġġusta l-limitu OOM-killer għal memorja baxxa, applikabbli għal proċessi li systemd jibda għas-sistema u l-utenti. B'mod awtomatiku, il-piż tas-servizzi tas-sistema huwa ogħla minn dak tas-servizzi tal-utent, i.e. Meta jkun hemm memorja insuffiċjenti, il-probabbiltà tat-terminazzjoni tas-servizzi tal-utent hija ogħla minn dik ta 'dawk tas-sistema.
  • Żid l-issettjar RestrictFileSystems, li jippermettilek tirrestrinġi l-aċċess tas-servizzi għal ċerti tipi ta’ sistemi ta’ fajls. Biex tara t-tipi ta' sistemi ta' fajls disponibbli, tista' tuża l-kmand "systemd-analyze filesystems". B'analoġija, ġiet implimentata l-għażla RestrictNetworkInterfaces, li tippermettilek tirrestrinġi l-aċċess għal ċerti interfaces tan-netwerk. L-implimentazzjoni hija bbażata fuq il-modulu BPF LSM, li jirrestrinġi l-aċċess ta 'grupp ta' proċessi għal oġġetti tal-kernel.
  • Żieda fajl ta' konfigurazzjoni /etc/integritytab ġdid u utilità systemd-integritysetup li tikkonfigura l-modulu dm-integrity biex tikkontrolla l-integrità tad-dejta fil-livell tas-settur, pereżempju, biex tiggarantixxi l-immutabilità tad-dejta kriptata (Encryption Awtentikata, tiżgura li blokka tad-dejta tkun ma ġewx modifikati b'mod roundabout). Il-format tal-fajl /etc/integritytab huwa simili għall-fajls /etc/crypttab u /etc/veritytab, ħlief li dm-integrity jintuża minflok dm-crypt u dm-verity.
  • Ġie miżjud fajl unitarju ġdid systemd-boot-update.service, meta jiġi attivat u l-bootloader sd-boot ikun installat, systemd awtomatikament jaġġorna l-verżjoni tal-bootloader sd-boot, u jżomm il-kodiċi tal-bootloader dejjem aġġornat. sd-boot innifsu issa huwa mibni awtomatikament b'appoġġ għall-mekkaniżmu SBAT (UEFI Secure Boot Advanced Targeting), li jsolvi problemi bir-revoka taċ-ċertifikat għal UEFI Secure Boot. Barra minn hekk, sd-boot jipprovdi l-abbiltà li parse l-issettjar tal-boot tal-Microsoft Windows biex jiġġenera b'mod korrett l-ismijiet tal-partizzjonijiet tal-boot bil-Windows u juri l-verżjoni tal-Windows.

    sd-boot jipprovdi wkoll l-abbiltà li tiddefinixxi skema ta 'kulur fil-ħin tal-bini. Matul il-proċess tal-ibbutjar, żied appoġġ għall-bidla tar-riżoluzzjoni tal-iskrin billi tagħfas iċ-ċavetta "r". Miżjud hotkey "f" biex tmur għall-interface tal-konfigurazzjoni tal-firmware. Miżjud mod biex awtomatikament ibbutja s-sistema li tikkorrispondi għall-oġġett tal-menu magħżul matul l-aħħar boot. Miżjud il-kapaċità li awtomatikament jgħabbi sewwieqa EFI li jinsabu fid-direttorju /EFI/systemd/drivers/ fit-taqsima ESP (EFI System Partition).

  • Fajl ta 'unità ġdid factory-reset.target huwa inkluż, li huwa pproċessat f'systemd-logind b'mod simili għall-operazzjonijiet ta' reboot, poweroff, sospensjoni u hibernate, u jintuża biex jinħolqu handlers għat-twettiq ta 'reset tal-fabbrika.
  • Il-proċess riżolt bis-sistema issa joħloq socket tas-smigħ addizzjonali f'127.0.0.54 minbarra 127.0.0.53. It-talbiet li jaslu f'127.0.0.54 huma dejjem ridiretti lejn server DNS upstream u mhumiex ipproċessati lokalment.
  • Ipprovda l-abbiltà li tinbena systemd-importd u systemd-resolved bil-librerija OpenSSL minflok libgcrypt.
  • Żid l-appoġġ inizjali għall-arkitettura LoongArch użata fil-proċessuri Loongson.
  • systemd-gpt-auto-generator jipprovdi l-abbiltà li awtomatikament jiġi kkonfigurat partizzjonijiet ta 'skambju definiti mis-sistema kkodifikati mis-subsistema LUKS2.
  • Il-kodiċi tal-parsing tal-immaġni GPT użat f'systemd-nspawn, systemd-dissect, u utilitajiet simili jimplimenta l-abbiltà li jiddekodifika immaġini għal arkitetturi oħra, li jippermetti li systemd-nspawn jintuża biex imexxi immaġini fuq emulaturi ta 'arkitetturi oħra.
  • Meta tispezzjona immaġini tad-disk, systemd-dissect issa juri informazzjoni dwar l-iskop tal-partizzjoni, bħall-adegwatezza għall-ibbutjar permezz tal-UEFI jew it-tħaddim f'kontenitur.
  • Il-qasam "SYSEXT_SCOPE" ġie miżjud mal-fajls system-extension.d/, li jippermettilek tindika l-ambitu tal-immaġni tas-sistema - "initrd", "system" jew "portable".
  • Żdied qasam “PORTABLE_PREFIXES” mal-fajl os-release, li jista’ jintuża f’immaġini portabbli biex jiddetermina l-prefissi tal-fajl tal-unità appoġġjati.
  • systemd-logind jintroduċi settings ġodda HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress u HandleHibernateKeyLongPress, li jistgħu jintużaw biex jiddeterminaw x'jiġri meta ċerti ċwievet jinżammu 'l isfel għal aktar minn 5 sekondi (pereżempju, meta tagħfas iċ-ċavetta tista' tiġi kkonfigurata malajr fil-modalità standby). , u meta tinżamm 'l isfel, se tmur torqod).
  • Għall-unitajiet, is-settings StartupAllowedCPUs u StartupAllowedMemoryNodes huma implimentati, li huma differenti minn settings simili mingħajr il-prefiss tal-Istartjar peress li huma applikati biss fl-istadju tal-ibbutjar u l-għeluq, li jippermettilek li tistabbilixxi restrizzjonijiet oħra tar-riżorsi waqt il-boot.
  • Miżjud [Kundizzjoni|Asserzjoni][Memorja|CPU|IO]Verifiki tal-pressjoni li jippermettu li l-attivazzjoni tal-unità tinqabeż jew ma tfalli jekk il-mekkaniżmu PSI jiskopri tagħbija kbira fuq il-memorja, CPU, u I/O fis-sistema.
  • Il-limitu ta 'inode massimu default żdied għall-partizzjoni /dev minn 64k għal 1M, u għall-partizzjoni /tmp minn 400k għal 1M.
  • Ġie propost setting ExecSearchPath għas-servizzi, li jagħmilha possibbli li tinbidel it-triq għat-tiftix għal fajls eżekutibbli mnedija permezz ta' settings bħal ExecStart.
  • Żid l-issettjar RuntimeRandomizedExtraSec, li jippermettilek li tintroduċi devjazzjonijiet każwali fil-timeout RuntimeMaxSec, li jillimita l-ħin ta 'eżekuzzjoni ta' unità.
  • Is-sintassi tas-settings ta 'RuntimeDirectory, StateDirectory, CacheDirectory u LogsDirectory ġiet estiża, li fiha billi tispeċifika valur addizzjonali separat b'kolon, issa tista' torganizza l-ħolqien ta 'rabta simbolika għal direttorju partikolari għall-organizzazzjoni tal-aċċess fuq diversi mogħdijiet.
  • Għas-servizzi, is-settings TTYRows u TTYColumns huma offruti biex jiġi stabbilit in-numru ta’ ringieli u kolonni fl-apparat TTY.
  • Żid l-issettjar ExitType, li jippermettilek tibdel il-loġika biex tiddetermina t-tmiem ta 'servizz. B'mod awtomatiku, systemd jimmonitorja biss il-mewt tal-proċess ewlieni, iżda jekk ExitType=cgroup huwa ssettjat, il-maniġer tas-sistema se jistenna li jitlesta l-aħħar proċess fis-cgroup.
  • L-implimentazzjoni ta 'systemd-cryptsetup ta' appoġġ TPM2/FIDO2/PKCS11 issa hija mibnija wkoll bħala plugin cryptsetup, li jippermetti li l-kmand normali cryptsetup jintuża biex jinfetaħ partizzjoni kriptata.
  • Il-handler TPM2 f'systemd-cryptsetup/systemd-cryptsetup iżid appoġġ għaċ-ċwievet primarji RSA flimkien maċ-ċwievet ECC biex itejjeb il-kompatibilità maċ-ċipep mhux ECC.
  • L-għażla ta 'token-timeout ġiet miżjuda ma' /etc/crypttab, li tippermettilek tiddefinixxi l-ħin massimu biex tistenna għal konnessjoni token PKCS#11/FIDO2, wara li tkun imħeġġeġ biex tidħol password jew ċavetta ta 'rkupru.
  • systemd-timesyncd jimplimenta l-issettjar SaveIntervalSec, li jippermettilek li perjodikament tiffranka l-ħin tas-sistema kurrenti fuq disk, pereżempju, biex timplimenta arloġġ monotoniku fuq sistemi mingħajr RTC.
  • Ġew miżjuda għażliet mal-utilità systemd-analyse: “--image” u “--root” għall-iċċekkjar ta’ fajls tal-unità ġewwa immaġini partikolari jew direttorju tal-għeruq, “--recursive-errors” biex jitqiesu l-unitajiet dipendenti meta jkun hemm żball jiġi skopert, “--offline” għall-iċċekkjar separatament tal-fajls tal-unità salvati fuq disk, “—json” għall-output fil-format JSON, “—quiet” biex tiddiżattiva messaġġi mhux importanti, “—profil” biex torbot ma’ profil portabbli. Miżjud ukoll il-kmand inspect-elf għall-parsing tal-fajls ewlenin fil-format ELF u l-abbiltà li jiċċekkja l-fajls tal-unità b'isem tal-unità partikolari, irrispettivament minn jekk dan l-isem jaqbilx mal-isem tal-fajl.
  • systemd-networkd espandiet l-appoġġ għax-xarabank tan-Netwerk taż-Żona tal-Kontrollur (CAN). Settings miżjuda biex jikkontrollaw il-modi CAN: Loopback, OneShot, PresumeAck u ClassicDataLengthCode. Miżjud għażliet TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 u DataSyncJumpWidth għat-taqsima tas-sinkronizzazzjoni tal-bit CAN.
  • Systemd-networkd żied għażla Label għall-klijent DHCPv4, li tippermettilek tikkonfigura t-tikketta tal-indirizz użata meta tikkonfigura l-indirizzi IPv4.
  • systemd-udevd għal "ethtool" jimplimenta appoġġ għal valuri "massimu" speċjali li jistabbilixxu d-daqs tal-buffer għall-valur massimu appoġġjat mill-hardware.
  • Fil-fajls .link għal systemd-udevd issa tista 'tikkonfigura diversi parametri biex tgħaqqad l-adapters tan-netwerk u tikkonnettja hardware handlers (offload).
  • systemd-networkd joffri fajls .network ġodda b'mod awtomatiku: 80-container-vb.network biex jiddefinixxi l-pontijiet tan-netwerk maħluqa meta jħaddem systemd-nspawn bl-għażliet “--network-bridge” jew “--network-zone”; 80-6rd-tunnel.network biex jiddefinixxi mini li jinħolqu awtomatikament meta tirċievi rispons DHCP bl-għażla 6RD.
  • Systemd-networkd u systemd-udevd żiedu appoġġ għat-trażmissjoni tal-IP fuq interfaces InfiniBand, li għalihom it-taqsima "[IPoIB]" ġiet miżjuda mal-fajls systemd.netdev, u l-ipproċessar tal-valur "ipoib" ġie implimentat fit-Tip. iffissar.
  • systemd-networkd jipprovdi konfigurazzjoni awtomatika tar-rotot għall-indirizzi speċifikati fil-parametru AllowedIPs, li jistgħu jiġu kkonfigurati permezz tal-parametri RouteTable u RouteMetric fis-sezzjonijiet [WireGuard] u [WireGuardPeer].
  • systemd-networkd jipprovdi ġenerazzjoni awtomatika ta 'indirizzi MAC li ma jinbidlux għall-interfaces batadv u bridge. Biex tiddiżattiva din l-imġieba, tista' tispeċifika MACAddress=ebda f'fajls .netdev.
  • Setting WakeOnLanPassword ġie miżjud mal-fajls .link fit-taqsima “[Link]” biex tiddetermina l-password meta WoL ikun qed jaħdem fil-mod “SecureOn”.
  • Miżjud AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO u UseRawPacketSize settings mat-taqsima “[CAKE]” tal-fajls .network biex jiddefinixxu l-parametri tan-netwerk tal-ġestjoni CAKE (Common Applications Quept Enhanced) .
  • Żid issettjar IgnoreCarrierLoss mat-taqsima "[Netwerk]" tal-fajls .network, li jippermettilek tiddetermina kemm għandek tistenna qabel tirreaġixxi għal telf ta 'sinjal trasportatur.
  • Systemd-nspawn, homectl, machinectl u systemd-run estendew is-sintassi tal-parametru "--setenv" - jekk ikun speċifikat biss l-isem tal-varjabbli (mingħajr "="), il-valur se jittieħed mill-varjabbli ambjentali korrispondenti (għal eżempju, meta tispeċifika "--setenv=FOO" il-valur se jittieħed mill-varjabbli ambjentali $FOO u jintuża fil-varjabbli ambjentali tal-istess isem stabbilit fil-kontenitur).
  • systemd-nspawn żied għażla "--suppress-sync" biex tiddiżattiva s-sejħiet tas-sistema sync()/fsync()/fdatasync() meta toħloq kontenitur (utli meta l-veloċità hija prijorità u l-preservazzjoni tal-artifacts tal-bini f'każ ta' falliment mhix importanti, peress li jistgħu jerġgħu jinħolqu fi kwalunkwe ħin).
  • Ġiet miżjuda database ġdida tal-hwdb, li tinkludi diversi tipi ta’ analizzaturi tas-sinjali (multimetri, analizzaturi tal-protokoll, oxxilloskopji, eċċ.). L-informazzjoni dwar il-kameras f'hwdb ġiet estiża b'qasam b'informazzjoni dwar it-tip ta' kamera (regolari jew infra-aħmar) u t-tqegħid tal-lenti (quddiem jew fuq wara).
  • Ġenerazzjoni attivata ta' ismijiet ta' interface tan-netwerk li ma jinbidlux għal apparati netfront użati f'Xen.
  • L-analiżi tal-fajls ewlenin mill-utilità systemd-coredump ibbażata fuq il-libreriji libdw/libelf issa titwettaq fi proċess separat, iżolat f'ambjent sandbox.
  • systemd-importd żied appoġġ għall-varjabbli ambjentali $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, li bihom tista' tiddiżattiva l-ġenerazzjoni ta' subpartitions Btrfs, kif ukoll tikkonfigura l-kwoti u s-sinkronizzazzjoni tad-disk.
  • F'systemd-journald, fuq sistemi ta' fajls li jappoġġaw il-modalità ta' kopja fuq il-kitba, il-modalità COW hija attivata mill-ġdid għal ġurnali arkivjati, li jippermettilhom li jiġu kkompressati bl-użu ta' Btrfs.
  • systemd-journald jimplimenta d-duplikazzjoni ta' oqsma identiċi f'messaġġ wieħed, li titwettaq fl-istadju qabel ma jitqiegħed il-messaġġ fil-ġurnal.
  • Miżjud "--show" għażla għall-kmand ta 'għeluq biex juri l-għeluq skedat.

Sors: opennet.ru

Żid kumment