ProHoster > blog > aħbarijiet fuq l-internet > rilaxx tal-maniġer tas-sistema systemd 243

rilaxx tal-maniġer tas-sistema systemd 243

Wara ħames xhur ta 'żvilupp ippreżentata rilaxx tal-maniġer tas-sistema 243 tas-sistema. Fost l-innovazzjonijiet, nistgħu ninnotaw l-integrazzjoni f'PID 1 ta 'handler għal memorja baxxa fis-sistema, appoġġ għat-twaħħil tal-programmi BPF tiegħek stess għall-iffiltrar tat-traffiku tal-unità, bosta għażliet ġodda għal systemd-networkd, mod għall-monitoraġġ tal-bandwidth tan-netwerk interfaces, li jippermettu awtomatikament fuq sistemi 64-bit numri PID 22-bit minflok 16-bit, transizzjoni għal ġerarkija cgroups unifikata, inklużjoni f'systemd-network-generator.

Bidliet ewlenin:

  • Rikonoxximent ta’ sinjali ġenerati mill-qalba dwar il-memorja barra (Out-Of-Memory, OOM) ġie miżjud mal-immaniġġjar PID 1 biex jittrasferixxu unitajiet li laħqu l-limitu tal-konsum tal-memorja fi stat speċjali bil-kapaċità fakultattiva li jġiegħelhom itemmu jew tieqaf;
  • Għall-fajls tal-unità, parametri ġodda IPIngressFilterPath u
    IPEgressFilterPath, li jippermettilek tikkonnettja programmi BPF ma 'handlers arbitrarji biex tiffiltra pakketti IP deħlin u ħerġin iġġenerati minn proċessi assoċjati ma' din l-unità. Il-karatteristiċi proposti jippermettulek toħloq tip ta 'firewall għal servizzi systemd. Eżempju ta’ kitba filtru tan-netwerk sempliċi bbażat fuq BPF;

  • Il-kmand "nadif" ġie miżjud mal-utilità systemctl biex tħassar il-cache, il-fajls tar-runtime, l-informazzjoni dwar l-istatus u d-direttorji tal-log;
  • systemd-networkd iżid appoġġ għall-interfaces tan-netwerk MACsec, nlmon, IPVTAP u Xfrm;
  • systemd-networkd jimplimenta konfigurazzjoni separata ta 'stacks DHCPv4 u DHCPv6 permezz tas-sezzjonijiet "[DHCPv4]" u "[DHCPv6]" fil-fajl ta' konfigurazzjoni. Żiedet l-għażla RoutesToDNS biex iżżid rotta separata mas-server DNS speċifikat fil-parametri riċevuti mis-server DHCP (sabiex it-traffiku lid-DNS jintbagħat permezz tal-istess link bħar-rotta ewlenija riċevuta mid-DHCP). Ġew miżjuda għażliet ġodda għal DHCPv4: MaxAttempts - numru massimu ta 'talbiet biex jinkiseb indirizz, BlackList - lista sewda ta' servers DHCP, SendRelease - tippermetti li jintbagħtu messaġġi DHCP RELEASE meta tintemm is-sessjoni;
  • Kmandi ġodda ġew miżjuda mal-utilità systemd-analyze:
    • "systemd-analyze timestamp" - parsing tal-ħin u konverżjoni;
    • “systemd-analyze timespan” - analiżi u konverżjoni ta’ perjodi ta’ żmien;
    • “kondizzjoni systemd-analyze” - parsing u ttestjar ta' espressjonijiet ConditionXYZ;
    • "systemd-analyze exit-status" - parsing u konverżjoni tal-kodiċi tal-ħruġ minn numri għal ismijiet u viċi versa;
    • "systemd-analyze unit-files" - Jelenka l-mogħdijiet tal-fajls kollha għall-unitajiet u psewdonimi tal-unità.
  • Għażliet SuccessExitStatus, RestartPreventExitStatus u
    RestartForceExitStatus issa jappoġġja mhux biss kodiċijiet ta' ritorn numeriċi, iżda wkoll l-identifikaturi tat-test tagħhom (per eżempju, "DATAERR"). Tista 'tara l-lista ta' kodiċijiet assenjati lill-identifikaturi billi tuża l-kmand "sytemd-analyze exit-status";

  • Il-kmand "ħassar" ġie miżjud mal-utilità networkctl biex tħassar tagħmir tan-netwerk virtwali, kif ukoll l-għażla "—stats" biex turi l-istatistika tal-apparat;
  • Is-settings ta' SpeedMeter u SpeedMeterIntervalSec ġew miżjuda ma' networkd.conf għall-kejl perjodiku tal-fluss ta' interfaces tan-netwerk. L-istatistika miksuba mir-riżultati tal-kejl tista' tidher fl-output tal-kmand 'networkctl status';
  • Miżjud utilità ġdida systemd-network-generator għall-ġenerazzjoni ta 'fajls
    .network, .netdev u .link ibbażati fuq settings tal-IP mgħoddija meta tnedew permezz tal-linja tal-kmand tal-kernel tal-Linux fil-format tas-settings Dracut;

  • Il-valur sysctl "kernel.pid_max" fuq sistemi ta '64 bit issa huwa stabbilit awtomatikament għal 4194304 (PIDs ta' 22 bit minflok 16-bit), li jnaqqas il-probabbiltà ta 'ħabtiet meta jassenja PIDs, iżid il-limitu fuq in-numru ta' simultanjament. tmexxija tal-proċessi, u għandha impatt pożittiv fuq is-sigurtà. Il-bidla tista' potenzjalment twassal għal kwistjonijiet ta' kompatibilità, iżda kwistjonijiet bħal dawn għadhom ma ġewx irrappurtati fil-prattika;
  • B'mod awtomatiku, l-istadju tal-bini jaqleb għall-ġerarkija unifikata cgroups-v2 ("-Ddefault-ġerarkija=unifikata"). Preċedentement, l-inadempjenza kienet mod ibridu ("-Ddefault-ġerarkija = ibridu");
  • L-imġiba tal-filtru tas-sejħa tas-sistema (SystemCallFilter) ġiet mibdula, li, fil-każ ta 'sejħa tas-sistema pprojbita, issa jtemm il-proċess kollu, aktar milli ħjut individwali, peress li t-terminazzjoni tal-ħjut individwali tista' twassal għal problemi imprevedibbli. Il-bidliet japplikaw biss jekk għandek Linux kernel 4.14+ u libseccomp 2.4.0+;
  • Programmi mhux privileġġjati jingħataw il-kapaċità li jibagħtu pakketti ICMP Echo (ping) billi jistabbilixxu s-sysctl "net.ipv4.ping_group_range" għall-firxa sħiħa ta 'gruppi (għall-proċessi kollha);
  • Biex tħaffef il-proċess tal-bini, il-ġenerazzjoni ta 'manwali manwali twaqqaf awtomatikament (biex tinbena dokumentazzjoni sħiħa, għandek bżonn tuża l-għażla "-Dman=true" jew "-Dhtml=true" għal manwali f'format html). Biex tagħmilha aktar faċli biex tara d-dokumentazzjoni, żewġ skripts huma inklużi: build/man/man u build/man/html għall-ġenerazzjoni u l-previewing ta’ manwali ta’ interess;
  • Biex tipproċessa ismijiet ta 'dominju b'karattri minn alfabeti nazzjonali, il-librerija libidn2 tintuża awtomatikament (biex tirritorna libidn, uża l-għażla "-Dlibidn=true");
  • L-appoġġ għall-fajl eżekutibbli /usr/sbin/halt.local, li pprovda funzjonalità li ma kinitx distribwita b'mod wiesa' fid-distribuzzjonijiet, twaqqaf. Biex torganizza t-tnedija ta 'kmandi meta tintefa, huwa rakkomandat li tuża skripts f' /usr/lib/systemd/system-shutdown/ jew tiddefinixxi unità ġdida li tiddependi fuq final.target;
  • Fl-aħħar stadju tal-għeluq, systemd issa awtomatikament iżid il-livell tal-log fis-sysctl "kernel.printk", li jsolvi l-problema bil-wiri fil-ġurnal avvenimenti li seħħew fl-istadji aktar tard tal-għeluq, meta d-daemons tal-illoggjar regolari jkunu diġà tlestew. ;
  • F'journalctl u utilitajiet oħra li juru zkuk, it-twissijiet huma enfasizzati bl-isfar, u r-rekords tal-awditjar huma enfasizzati bil-blu biex jenfasizzawhom viżwalment mill-folla;
  • Fil-varjabbli ambjentali $PATH, il-mogħdija għal bin/ issa tiġi qabel it-triq għal sbin/, i.e. jekk ikun hemm ismijiet identiċi ta' fajls eżekutibbli fiż-żewġ direttorji, il-fajl minn bin/ jiġi esegwit;
  • systemd-logind jipprovdi sejħa SetBrightness() biex tibdel b'mod sikur il-luminożità tal-iskrin fuq bażi ta 'kull sessjoni;
  • Il-bandiera “--wait-for-initialization” ġiet miżjuda mal-kmand “udevadm info” biex tistenna li l-apparat jinizjalizza;
  • Matul il-boot tas-sistema, il-handler PID 1 issa juri l-ismijiet tal-unitajiet minflok linja bid-deskrizzjoni tagħhom. Biex terġa 'lura għall-imġieba tal-passat, tista' tuża l-għażla StatusUnitFormat f' /etc/systemd/system.conf jew l-għażla tal-kernel systemd.status_unit_format;
  • Miżjud għażla KExecWatchdogSec għal /etc/systemd/system.conf għal watchdog PID 1, li tispeċifika l-timeout għall-bidu mill-ġdid bl-użu ta 'kexec. Setting antik
    ShutdownWatchdogSec ingħata isem ġdid għal RebootWatchdogSec u jiddefinixxi timeout għall-impjiegi waqt l-għeluq jew il-bidu mill-ġdid normali;

  • Għażla ġdida ġiet miżjuda għas-servizzi ExecCondition, li jippermettilek tispeċifika kmandi li se jiġu esegwiti qabel ExecStartPre. Ibbażat fuq il-kodiċi ta 'żball ritornat mill-kmand, tittieħed deċiżjoni dwar eżekuzzjoni ulterjuri ta' l-unità - jekk il-kodiċi 0 jiġi rritornat, it-tnedija ta 'l-unità tkompli, jekk minn 1 sa 254 tispiċċa skiet mingħajr bandiera ta' falliment, jekk 255 tispiċċa b' bandiera tal-falliment;
  • Żid servizz ġdid systemd-pstore.service biex tiġi estratta data minn sys/fs/pstore/ u mill-iffrankar għal /var/lib/pstore għal aktar analiżi;
  • Kmandi ġodda ġew miżjuda mal-utilità timedatectl għall-konfigurazzjoni tal-parametri NTP għal systemd-timesyncd fir-rigward tal-interfaces tan-netwerk;
  • Il-kmand "localectl list-locales" m'għadux juri lokalitajiet għajr UTF-8;
  • Jiżgura li l-iżbalji tal-assenjazzjoni varjabbli fil-fajls sysctl.d/ jiġu injorati jekk l-isem tal-varjabbli jibda bil-karattru “-“;
  • Servizz systemd-random-seed.service issa huwa kompletament responsabbli għall-inizjalizzazzjoni tal-grupp ta 'entropija tal-ġeneratur ta' numru pseudorandom tal-kernel Linux. Servizzi li jeħtieġu /dev/urandom inizjalizzati b'mod korrett għandhom jinbdew wara systemd-random-seed.service;
  • Is-systemd-boot boot loader jipprovdi l-abbiltà mhux obbligatorja għall-appoġġ fajl taż-żerriegħa b'sekwenza każwali fil-Partizzjoni tas-Sistema EFI (ESP);
  • Kmandi ġodda ġew miżjuda mal-utilità bootctl: "bootctl random-seed" biex tiġġenera fajl taż-żerriegħa fl-ESP u "bootctl is-installed" biex tiċċekkja l-installazzjoni tas-systemd-boot boot loader. bootctl ġie aġġustat ukoll biex juri twissijiet dwar konfigurazzjoni skorretta tal-boot entries (per eżempju, meta l-immaġni tal-kernel titħassar, iżda l-entrata għat-tagħbija titħalla);
  • Jipprovdi għażla awtomatika tal-partizzjoni ta' tpartit meta s-sistema tidħol fil-modalità sleep. Il-partizzjoni tintgħażel skont il-prijorità kkonfigurata għaliha, u fil-każ ta 'prijoritajiet identiċi, l-ammont ta' spazju ħieles;
  • Miżjud għażla keyfile-timeout għal /etc/crypttab biex tissettja kemm l-apparat biċ-ċavetta ta 'kodifikazzjoni se jistenna qabel ma jitlob password biex jaċċessa l-partizzjoni encrypted;
  • Miżjud għażla IOWeight biex tissettja l-piż I/O għall-iskeder BFQ;
  • systemd-resolved żied il-mod 'strett' għal DNS-over-TLS u implimenta l-abbiltà li jdaħħal biss risponsi DNS pożittivi ("Cache no-negative" f'resolved.conf);
  • Għal VXLAN, systemd-networkd żied għażla GenericProtocolExtension biex tippermetti l-estensjonijiet tal-protokoll VXLAN. Għal VXLAN u GENEVE, l-għażla IPDoNotFragment ġiet miżjuda biex tissettja l-bandiera tal-projbizzjoni tal-frammentazzjoni għall-pakketti ħerġin;
  • F'systemd-networkd, fit-taqsima "[Rotta]", l-għażla FastOpenNoCookie dehret li tippermetti l-mekkaniżmu biex jinfetħu malajr il-konnessjonijiet TCP (TFO - TCP Fast Open, RFC 7413) fir-rigward tar-rotot individwali, kif ukoll l-għażla TTLPropagate biex tikkonfigura TTL LSP (Label Switched Path). L-għażla "Tip" tipprovdi appoġġ għal modi ta 'routing lokali, broadcast, anycast, multicast, any u xresolve;
  • Systemd-networkd joffri għażla DefaultRouteOnDevice fit-taqsima “[Netwerk]” biex tikkonfigura awtomatikament rotta default għal apparat tan-netwerk partikolari;
  • Systemd-networkd żied ProxyARP u
    ProxyARPWifi għall-issettjar tal-imġieba tal-prokura ARP, MulticastRouter għall-issettjar ta 'parametri tar-rotot fil-modalità multicast, MulticastIGMPVersion għall-bidla tal-verżjoni IGMP (Internet Group Management Protocol) għal multicast;

  • Systemd-networkd żied għażliet Lokali, Peer u PeerPort għall-mini FooOverUDP biex tikkonfigura l-indirizzi IP lokali u remoti, kif ukoll in-numru tal-port tan-netwerk. Għall-mini TUN, l-għażla VnetHeader ġiet miżjuda biex jiġi kkonfigurat l-appoġġ GSO (Offload tas-Segment Ġeneriku);
  • F'systemd-networkd, fil-fajls .network u .link fit-taqsima [Match], dehret għażla Proprjetà, li tippermettilek tidentifika l-apparati mill-proprjetajiet speċifiċi tagħhom f'udev;
  • F'systemd-networkd, ġiet miżjuda għażla AssignToLoopback għall-mini, li tikkontrolla jekk it-tarf tal-mina huwiex assenjat lill-apparat loopback "lo";
  • systemd-networkd jattiva awtomatikament il-munzell IPv6 jekk ikun imblukkat permezz tas-sysctl disable_ipv6 - IPv6 jiġi attivat jekk is-settings tal-IPv6 (statiku jew DHCPv6) huma definiti għall-interface tan-netwerk, inkella l-valur sysctl diġà stabbilit ma jinbidilx;
  • Fil-fajls .network, l-issettjar ta’ CriticalConnection ġie sostitwit bl-għażla KeepConfiguration, li tipprovdi aktar mezzi għad-definizzjoni ta’ sitwazzjonijiet (“iva”, “static”, “dhcp-on-stop”, “dhcp”) li fihom systemd-networkd għandu ma tmissx konnessjonijiet eżistenti meta l-istartjar;
  • Vulnerabbiltà ffissata CVE-2019-15718, ikkawżat minn nuqqas ta 'kontroll ta' aċċess għall-interface D-Bus systemd-solvuti. Il-kwistjoni tippermetti utent mhux privileġġjat li jwettaq operazzjonijiet li huma disponibbli biss għall-amministraturi, bħall-bdil tas-settings tad-DNS u jidderieġi mistoqsijiet DNS lil server diżonesti;
  • Vulnerabbiltà ffissata CVE-2019-9619relatati man-nuqqas ta' attivazzjoni ta' pam_systemd għal sessjonijiet mhux interattivi, li jippermetti l-ispoofing tas-sessjoni attiva.

Sors: opennet.ru

Żid kumment