ProHoster > blog > aħbarijiet fuq l-internet > rilaxx tal-maniġer tas-sistema systemd 248

rilaxx tal-maniġer tas-sistema systemd 248

Wara erba 'xhur ta' żvilupp, jiġi ppreżentat ir-rilaxx tal-maniġer tas-sistema systemd 248. Ir-rilaxx il-ġdid jipprovdi appoġġ għal immaġini għall-espansjoni tad-direttorji tas-sistema, il-fajl ta 'konfigurazzjoni /etc/veritytab, l-utilità systemd-cryptenroll, il-ftuħ ta' LUKS2 bl-użu ta 'ċipep TPM2 u FIDO2 tokens, unitajiet li jmexxu fi spazju iżolat ta 'identifikatur IPC, protokoll BATMAN għal netwerks tal-malji, backend nftables għal systemd-nspawn. Systemd-oomd ġie stabbilizzat.

Bidliet ewlenin:

  • Ġie implimentat il-kunċett ta 'immaġini ta' Estensjoni tas-Sistema, li jista 'jintuża biex testendi l-ġerarkija tad-direttorji /usr/ u /opt/, u jżidu fajls addizzjonali waqt ir-runtime, anki jekk id-direttorji speċifikati huma mmuntati għal qari biss. Meta immaġni ta 'estensjoni tas-sistema tkun immuntata, il-kontenut tagħha jiġi mgħotti fuq il-ġerarkija /usr/ u /opt/ bl-użu ta' OverlayFS.

    Ġiet proposta utilità ġdida, systemd-sysext, biex tikkonnettja, skonnettja, tara u taġġorna immaġini tal-estensjonijiet tas-sistema. Biex tikkonnettja awtomatikament immaġini diġà installati waqt il-boot, is-servizz systemd-sysext.service ġie miżjud. Miżjud "SYSEXT_LEVEL=" parametru mal-fajl os-release biex jiddetermina l-livell ta 'estensjonijiet tas-sistema appoġġjati.

  • Għall-unitajiet, l-issettjar ExtensionImages ġie implimentat, li jista 'jintuża biex jgħaqqad immaġini ta' estensjoni tas-sistema mal-ġerarkija tal-ispazji tal-isem FS ta 'servizzi iżolati individwali.
  • Miżjud /etc/veritytab fajl tal-konfigurazzjoni biex jiġi kkonfigurat il-verifika tad-dejta fil-livell tal-blokk bl-użu tal-modulu dm-verity. Il-format tal-fajl huwa simili għal /etc/crypttab - "section_name device_for_data device_for_hashes check_hash_root options." Miżjud systemd.verity.root_options għażla tal-linja tal-kmand tal-kernel biex tikkonfigura l-imġieba tad-dm-verity għall-apparat tal-għeruq.
  • systemd-cryptsetup iżid il-kapaċità li jiġi estratt l-URI tat-token PKCS#11 u ċ-ċavetta kriptata mill-header tal-metadata LUKS2 f'format JSON, li tippermetti li informazzjoni dwar il-ftuħ ta 'apparat kriptat tiġi integrata fl-apparat innifsu mingħajr ma jinvolvi fajls esterni.
  • systemd-cryptsetup jipprovdi appoġġ għall-ftuħ ta 'diviżorji encrypted LUKS2 bl-użu ta' ċipep TPM2 u tokens FIDO2, minbarra tokens PKCS#11 appoġġjati qabel. It-tagħbija ta' libfido2 issir permezz ta' dlopen(), i.e. id-disponibbiltà hija kkontrollata fuq il-fly, aktar milli bħala dipendenza hard-wired.
  • Għażliet ġodda "no-write-workqueue" u "no-read-workqueue" ġew miżjuda ma' /etc/crypttab għal systemd-cryptsetup biex jippermettu l-ipproċessar sinkroniku ta 'I/O assoċjati ma' encryption u decryptset.
  • L-utilità systemd-repart żiedet il-kapaċità li tattiva diviżorji encrypted bl-użu taċ-ċipep TPM2, pereżempju, biex toħloq partizzjoni /var encrypted fuq l-ewwel boot.
  • L-utilità systemd-cryptenroll ġiet miżjuda biex torbot it-tokens TPM2, FIDO2 u PKCS#11 ma' diviżorji LUKS, kif ukoll biex tneħħi l-pinnijiet u tara tokens, torbot ċwievet żejda u tissettja password għall-aċċess.
  • Żid il-parametru PrivateIPC, li jippermettilek tikkonfigura l-fajl tal-unità biex tmexxi proċessi fi spazju IPC iżolat bl-identifikaturi separati u l-kju tal-messaġġi tagħhom stess. Biex tikkonnettja unità ma 'spazju ta' identifikatur IPC diġà maħluq, hija proposta l-għażla IPCNamespacePath.
  • Miżjud ExecPaths u NoExecPaths settings biex jippermettu li l-bandiera noexec tiġi applikata għal partijiet speċifiċi tas-sistema tal-fajls.
  • systemd-networkd iżid appoġġ għall-protokoll tal-malji BATMAN (Better Approach To Mobile Adhoc Networking), li jippermetti l-ħolqien ta 'netwerks deċentralizzati li fihom kull nodu huwa konness permezz ta' nodi ġirien. Għall-konfigurazzjoni, it-taqsima [BatmanAdvanced] f'.netdev, il-parametru BatmanAdvanced f'fajls .network, u tip ta 'apparat ġdid "batadv" huma proposti.
  • L-implimentazzjoni tal-mekkaniżmu ta 'rispons bikri għal memorja baxxa fis-sistema systemd-oomd ġiet stabilizzata. Żid l-għażla DefaultMemoryPressureDurationSec biex jiġi kkonfigurat il-ħin ta’ stennija biex riżorsa tiġi rilaxxata qabel ma taffettwa unità. Systemd-oomd juża s-subsistema tal-qalba PSI (Pressure Stall Information) u jippermettilek li tiskopri l-bidu ta’ dewmien minħabba nuqqas ta’ riżorsi u ttemm b’mod selettiv proċessi li jużaw ħafna riżorsi fi stadju meta s-sistema għadha mhix fi stat kritiku u ma tkunx tibda tirrimja b'mod intensiv il-cache u tiċċaqlaq id-data f'partizzjoni ta' tpartit.
  • Miżjud parametru tal-linja tal-kmand tal-qalba "root=tmpfs", li jippermettilek li timmonta l-partizzjoni tal-għeruq f'ħażna temporanja li tinsab fir-RAM bl-użu ta 'Tmpfs.
  • Il-parametru /etc/crypttab li jispeċifika l-fajl ewlieni issa jista' jindika t-tipi ta' socket AF_UNIX u SOCK_STREAM. F'dan il-każ, iċ-ċavetta għandha tingħata meta tikkonnettja mas-sokit, li, pereżempju, tista 'tintuża biex toħloq servizzi li joħorġu ċwievet b'mod dinamiku.
  • L-isem tal-host ta' riżerva għall-użu mill-maniġer tas-sistema u l-isem ta' l-host systemd issa jista' jiġi ssettjat b'żewġ modi: permezz tal-parametru DEFAULT_HOSTNAME f'os-release u permezz tal-varjabbli ambjentali $SYSTEMD_DEFAULT_HOSTNAME. systemd-hostnamed jittratta wkoll "localhost" fl-isem tal-host u jżid il-kapaċità li jesporta l-isem tal-host kif ukoll il-proprjetajiet "HardwareVendor" u "HardwareModel" permezz ta' DBus.
  • Il-blokk b'varjabbli tal-ambjent esposti issa jista 'jiġi kkonfigurat permezz tal-għażla ManagerEnvironment il-ġdida f'system.conf jew user.conf, u mhux biss permezz tal-linja tal-kmand tal-kernel u l-issettjar tal-fajl tal-unità.
  • Fiż-żmien tal-kompilazzjoni, huwa possibbli li tuża s-sejħa tas-sistema fexecve() biex tibda proċessi minflok execve() biex tnaqqas id-dewmien bejn il-verifika tal-kuntest tas-sigurtà u l-applikazzjoni tiegħu.
  • Għall-fajls tal-unità, ġew miżjuda operazzjonijiet kondizzjonali ġodda ConditionSecurity=tpm2 u ConditionCPUFeature biex jiċċekkjaw għall-preżenza ta 'apparati TPM2 u kapaċitajiet individwali tas-CPU (pereżempju, ConditionCPUFeature=rdand jista' jintuża biex jiċċekkja jekk il-proċessur jappoġġjax l-operazzjoni RDRAND).
  • Għall-kernels disponibbli, ġiet implimentata ġenerazzjoni awtomatika ta' tabelli tas-sejħiet tas-sistema għall-filtri seccomp.
  • Żid il-ħila li tissostitwixxi bind mounts ġodda fl-ispazji tal-isem tal-muntatura eżistenti tas-servizzi, mingħajr ma jerġgħu jibdew is-servizzi. Is-sostituzzjoni ssir bil-kmandi 'systemctl bind ...' u 'systemctl mount-image …”.
  • Appoġġ miżjud għall-ispeċifikazzjoni tal-mogħdijiet fis-settings StandardOutput u StandardError fil-forma “truncate: » għat-tindif qabel l-użu.
  • Miżjud il-kapaċità li tiġi stabbilita konnessjoni għal sessjoni ta 'utent speċifikat f'kontenitur lokali għal sd-bus. Per eżempju "systemctl -user -M lennart@ start quux".
  • Il-parametri li ġejjin huma implimentati fil-fajls systemd.link fit-taqsima [Link]:
    • Promiskwu - jippermettilek taqleb l-apparat għall-modalità "promiskwa" biex tipproċessa l-pakketti kollha tan-netwerk, inklużi dawk mhux indirizzati lis-sistema attwali;
    • TransmitQueues u ReceiveQueues għall-iffissar tan-numru ta 'kjuwijiet TX u RX;
    • TransmitQueueLength biex tissettja d-daqs tal-kju TX; GenericSegmentOffloadMaxBytes u GenericSegmentOffloadMaxSegment għall-iffissar ta' limiti għall-użu tat-teknoloġija GRO (Generic Receive Offload).
  • Settings ġodda ġew miżjuda mal-fajls systemd.network:
    • [Netwerk] RouteTable biex tagħżel tabella tar-routing;
    • [RoutingPolicyRule] Tip għat-tip ta' rotta ("blackhole, "unreachable", "projbit");
    • [IPv6AcceptRA] RouteDenyList u RouteAllowList għal-listi ta' reklami ta' rotot permessi u miċħuda;
    • [DHCPv6] UżaAddres biex tinjora l-indirizz maħruġ mid-DHCP;
    • [DHCPv6PrefixDelegation] ManageTemporaryAddress;
    • Politika ta’ Attivazzjoni biex tiddefinixxi l-politika dwar l-attività tal-interface (dejjem żomm l-istat UP jew DOWN, jew ħalli l-utent jibdel l-istati bil-kmand “ip link set dev”).
  • Miżjud [VLAN] Protokoll, IngressQOSMaps, EgressQOSMaps, u [MACVLAN] BroadcastMulticastQueueLength għażliet għall-fajls systemd.netdev biex jiġi kkonfigurat l-ipproċessar tal-pakketti VLAN.
  • Waqqaf l-immuntar tad-direttorju /dev/ fil-modalità noexec peress li jikkawża kunflitt meta tuża l-bandiera eżekutibbli mal-fajls /dev/sgx. Biex tirritorna l-imġieba l-antika, tista 'tuża l-issettjar NoExecPaths=/dev.
  • Il-permessi tal-fajl /dev/vsock ġew mibdula għal 0o666, u l-fajls /dev/vhost-vsock u /dev/vhost-net tmexxew għall-grupp kvm.
  • Id-database tal-ID tal-ħardwer ġiet estiża b'qarrejja tal-marki tas-swaba' USB li jappoġġjaw b'mod korrett il-modalità sleep.
  • Appoġġ miżjud issolvi systemd għall-ħruġ ta 'tweġibiet għal mistoqsijiet DNSSEC permezz ta' risolver stub. Il-klijenti lokali jistgħu jwettqu l-validazzjoni DNSSEC fuqhom infushom, filwaqt li l-klijenti esterni huma prokurati mhux mibdula lis-server DNS prinċipali.
  • Miżjud l-għażla CacheFromLocalhost għal resolved.conf, meta ssettjat, systemd-resolved se juża caching anke għal sejħiet lis-server DNS f'127.0.0.1 (b'mod awtomatiku, il-caching ta' tali talbiet huwa diżattivat biex jiġi evitat caching doppju).
  • systemd-resolved iżid appoġġ għal RFC-5001 NSIDs fis-solvent tad-DNS lokali, li jippermetti lill-klijenti jiddifferenzjaw bejn l-interazzjonijiet mas-solvent lokali u server DNS ieħor.
  • L-utilità resolvectl timplimenta l-abbiltà li turi informazzjoni dwar is-sors tad-dejta (cache lokali, talba tan-netwerk, rispons tal-proċessur lokali) u l-użu tal-kriptaġġ meta tittrażmetti d-dejta. L-għażliet --cache, --synthesize, --network, --zone, --trust-anchor, u --validate huma pprovduti biex jikkontrollaw il-proċess tad-determinazzjoni tal-isem.
  • systemd-nspawn iżid appoġġ għall-konfigurazzjoni ta 'firewall bl-użu ta' nftables flimkien mal-appoġġ iptables eżistenti. Is-setup IPMasquerade f'systemd-networkd żiedet il-kapaċità li tuża backend ibbażat fuq nftables.
  • systemd-localed appoġġ miżjud għas-sejħa locale-gen biex tiġġenera lokalitajiet nieqsa.
  • Għażliet --pager/-no-pager/-json= ġew miżjuda ma 'diversi utilitajiet biex jippermettu/jiddiżattivaw il-mod ta' paging u l-output fil-format JSON. Miżjud il-kapaċità li jiġi stabbilit in-numru ta 'kuluri użati fit-terminal permezz tal-varjabbli ambjentali SYSTEMD_COLORS ("16" jew "256").
  • Il-bini b'ġerarkiji tad-direttorju separati (split / u /usr) u l-appoġġ cgroup v1 ġew deprecati.
  • Il-fergħa prinċipali f'Git ingħatat l-isem mill-ġdid minn 'master' għal 'main'.

Sors: opennet.ru

Żid kumment