Wara erba 'xhur ta' żvilupp, jiġi ppreżentat ir-rilaxx tal-maniġer tas-sistema systemd 248. Ir-rilaxx il-ġdid jipprovdi appoġġ għal immaġini għall-espansjoni tad-direttorji tas-sistema, il-fajl ta 'konfigurazzjoni /etc/veritytab, l-utilità systemd-cryptenroll, il-ftuħ ta' LUKS2 bl-użu ta 'ċipep TPM2 u FIDO2 tokens, unitajiet li jmexxu fi spazju iżolat ta 'identifikatur IPC, protokoll BATMAN għal netwerks tal-malji, backend nftables għal systemd-nspawn. Systemd-oomd ġie stabbilizzat.
Bidliet ewlenin:
- Ġie implimentat il-kunċett ta 'immaġini ta' Estensjoni tas-Sistema, li jista 'jintuża biex testendi l-ġerarkija tad-direttorji /usr/ u /opt/, u jżidu fajls addizzjonali waqt ir-runtime, anki jekk id-direttorji speċifikati huma mmuntati għal qari biss. Meta immaġni ta 'estensjoni tas-sistema tkun immuntata, il-kontenut tagħha jiġi mgħotti fuq il-ġerarkija /usr/ u /opt/ bl-użu ta' OverlayFS.
Ġiet proposta utilità ġdida, systemd-sysext, biex tikkonnettja, skonnettja, tara u taġġorna immaġini tal-estensjonijiet tas-sistema. Biex tikkonnettja awtomatikament immaġini diġà installati waqt il-boot, is-servizz systemd-sysext.service ġie miżjud. Miżjud "SYSEXT_LEVEL=" parametru mal-fajl os-release biex jiddetermina l-livell ta 'estensjonijiet tas-sistema appoġġjati.
- Għall-unitajiet, l-issettjar ExtensionImages ġie implimentat, li jista 'jintuża biex jgħaqqad immaġini ta' estensjoni tas-sistema mal-ġerarkija tal-ispazji tal-isem FS ta 'servizzi iżolati individwali.
- Miżjud /etc/veritytab fajl tal-konfigurazzjoni biex jiġi kkonfigurat il-verifika tad-dejta fil-livell tal-blokk bl-użu tal-modulu dm-verity. Il-format tal-fajl huwa simili għal /etc/crypttab - "section_name device_for_data device_for_hashes check_hash_root options." Miżjud systemd.verity.root_options għażla tal-linja tal-kmand tal-kernel biex tikkonfigura l-imġieba tad-dm-verity għall-apparat tal-għeruq.
- systemd-cryptsetup iżid il-kapaċità li jiġi estratt l-URI tat-token PKCS#11 u ċ-ċavetta kriptata mill-header tal-metadata LUKS2 f'format JSON, li tippermetti li informazzjoni dwar il-ftuħ ta 'apparat kriptat tiġi integrata fl-apparat innifsu mingħajr ma jinvolvi fajls esterni.
- systemd-cryptsetup jipprovdi appoġġ għall-ftuħ ta 'diviżorji encrypted LUKS2 bl-użu ta' ċipep TPM2 u tokens FIDO2, minbarra tokens PKCS#11 appoġġjati qabel. It-tagħbija ta' libfido2 issir permezz ta' dlopen(), i.e. id-disponibbiltà hija kkontrollata fuq il-fly, aktar milli bħala dipendenza hard-wired.
- Għażliet ġodda "no-write-workqueue" u "no-read-workqueue" ġew miżjuda ma' /etc/crypttab għal systemd-cryptsetup biex jippermettu l-ipproċessar sinkroniku ta 'I/O assoċjati ma' encryption u decryptset.
- L-utilità systemd-repart żiedet il-kapaċità li tattiva diviżorji encrypted bl-użu taċ-ċipep TPM2, pereżempju, biex toħloq partizzjoni /var encrypted fuq l-ewwel boot.
- L-utilità systemd-cryptenroll ġiet miżjuda biex torbot it-tokens TPM2, FIDO2 u PKCS#11 ma' diviżorji LUKS, kif ukoll biex tneħħi l-pinnijiet u tara tokens, torbot ċwievet żejda u tissettja password għall-aċċess.
- Żid il-parametru PrivateIPC, li jippermettilek tikkonfigura l-fajl tal-unità biex tmexxi proċessi fi spazju IPC iżolat bl-identifikaturi separati u l-kju tal-messaġġi tagħhom stess. Biex tikkonnettja unità ma 'spazju ta' identifikatur IPC diġà maħluq, hija proposta l-għażla IPCNamespacePath.
- Miżjud ExecPaths u NoExecPaths settings biex jippermettu li l-bandiera noexec tiġi applikata għal partijiet speċifiċi tas-sistema tal-fajls.
- systemd-networkd iżid appoġġ għall-protokoll tal-malji BATMAN (Better Approach To Mobile Adhoc Networking), li jippermetti l-ħolqien ta 'netwerks deċentralizzati li fihom kull nodu huwa konness permezz ta' nodi ġirien. Għall-konfigurazzjoni, it-taqsima [BatmanAdvanced] f'.netdev, il-parametru BatmanAdvanced f'fajls .network, u tip ta 'apparat ġdid "batadv" huma proposti.
- L-implimentazzjoni tal-mekkaniżmu ta 'rispons bikri għal memorja baxxa fis-sistema systemd-oomd ġiet stabilizzata. Żid l-għażla DefaultMemoryPressureDurationSec biex jiġi kkonfigurat il-ħin ta’ stennija biex riżorsa tiġi rilaxxata qabel ma taffettwa unità. Systemd-oomd juża s-subsistema tal-qalba PSI (Pressure Stall Information) u jippermettilek li tiskopri l-bidu ta’ dewmien minħabba nuqqas ta’ riżorsi u ttemm b’mod selettiv proċessi li jużaw ħafna riżorsi fi stadju meta s-sistema għadha mhix fi stat kritiku u ma tkunx tibda tirrimja b'mod intensiv il-cache u tiċċaqlaq id-data f'partizzjoni ta' tpartit.
- Miżjud parametru tal-linja tal-kmand tal-qalba "root=tmpfs", li jippermettilek li timmonta l-partizzjoni tal-għeruq f'ħażna temporanja li tinsab fir-RAM bl-użu ta 'Tmpfs.
- Il-parametru /etc/crypttab li jispeċifika l-fajl ewlieni issa jista' jindika t-tipi ta' socket AF_UNIX u SOCK_STREAM. F'dan il-każ, iċ-ċavetta għandha tingħata meta tikkonnettja mas-sokit, li, pereżempju, tista 'tintuża biex toħloq servizzi li joħorġu ċwievet b'mod dinamiku.
- L-isem tal-host ta' riżerva għall-użu mill-maniġer tas-sistema u l-isem ta' l-host systemd issa jista' jiġi ssettjat b'żewġ modi: permezz tal-parametru DEFAULT_HOSTNAME f'os-release u permezz tal-varjabbli ambjentali $SYSTEMD_DEFAULT_HOSTNAME. systemd-hostnamed jittratta wkoll "localhost" fl-isem tal-host u jżid il-kapaċità li jesporta l-isem tal-host kif ukoll il-proprjetajiet "HardwareVendor" u "HardwareModel" permezz ta' DBus.
- Il-blokk b'varjabbli tal-ambjent esposti issa jista 'jiġi kkonfigurat permezz tal-għażla ManagerEnvironment il-ġdida f'system.conf jew user.conf, u mhux biss permezz tal-linja tal-kmand tal-kernel u l-issettjar tal-fajl tal-unità.
- Fiż-żmien tal-kompilazzjoni, huwa possibbli li tuża s-sejħa tas-sistema fexecve() biex tibda proċessi minflok execve() biex tnaqqas id-dewmien bejn il-verifika tal-kuntest tas-sigurtà u l-applikazzjoni tiegħu.
- Għall-fajls tal-unità, ġew miżjuda operazzjonijiet kondizzjonali ġodda ConditionSecurity=tpm2 u ConditionCPUFeature biex jiċċekkjaw għall-preżenza ta 'apparati TPM2 u kapaċitajiet individwali tas-CPU (pereżempju, ConditionCPUFeature=rdand jista' jintuża biex jiċċekkja jekk il-proċessur jappoġġjax l-operazzjoni RDRAND).
- Għall-kernels disponibbli, ġiet implimentata ġenerazzjoni awtomatika ta' tabelli tas-sejħiet tas-sistema għall-filtri seccomp.
- Żid il-ħila li tissostitwixxi bind mounts ġodda fl-ispazji tal-isem tal-muntatura eżistenti tas-servizzi, mingħajr ma jerġgħu jibdew is-servizzi. Is-sostituzzjoni ssir bil-kmandi 'systemctl bind ...' u 'systemctl mount-image …”.
- Appoġġ miżjud għall-ispeċifikazzjoni tal-mogħdijiet fis-settings StandardOutput u StandardError fil-forma “truncate: » għat-tindif qabel l-użu.
- Miżjud il-kapaċità li tiġi stabbilita konnessjoni għal sessjoni ta 'utent speċifikat f'kontenitur lokali għal sd-bus. Per eżempju "systemctl -user -M lennart@ start quux".
- Il-parametri li ġejjin huma implimentati fil-fajls systemd.link fit-taqsima [Link]:
- Promiskwu - jippermettilek taqleb l-apparat għall-modalità "promiskwa" biex tipproċessa l-pakketti kollha tan-netwerk, inklużi dawk mhux indirizzati lis-sistema attwali;
- TransmitQueues u ReceiveQueues għall-iffissar tan-numru ta 'kjuwijiet TX u RX;
- TransmitQueueLength biex tissettja d-daqs tal-kju TX; GenericSegmentOffloadMaxBytes u GenericSegmentOffloadMaxSegment għall-iffissar ta' limiti għall-użu tat-teknoloġija GRO (Generic Receive Offload).
- Settings ġodda ġew miżjuda mal-fajls systemd.network:
- [Netwerk] RouteTable biex tagħżel tabella tar-routing;
- [RoutingPolicyRule] Tip għat-tip ta' rotta ("blackhole, "unreachable", "projbit");
- [IPv6AcceptRA] RouteDenyList u RouteAllowList għal-listi ta' reklami ta' rotot permessi u miċħuda;
- [DHCPv6] UżaAddres biex tinjora l-indirizz maħruġ mid-DHCP;
- [DHCPv6PrefixDelegation] ManageTemporaryAddress;
- Politika ta’ Attivazzjoni biex tiddefinixxi l-politika dwar l-attività tal-interface (dejjem żomm l-istat UP jew DOWN, jew ħalli l-utent jibdel l-istati bil-kmand “ip link set dev”).
- Miżjud [VLAN] Protokoll, IngressQOSMaps, EgressQOSMaps, u [MACVLAN] BroadcastMulticastQueueLength għażliet għall-fajls systemd.netdev biex jiġi kkonfigurat l-ipproċessar tal-pakketti VLAN.
- Waqqaf l-immuntar tad-direttorju /dev/ fil-modalità noexec peress li jikkawża kunflitt meta tuża l-bandiera eżekutibbli mal-fajls /dev/sgx. Biex tirritorna l-imġieba l-antika, tista 'tuża l-issettjar NoExecPaths=/dev.
- Il-permessi tal-fajl /dev/vsock ġew mibdula għal 0o666, u l-fajls /dev/vhost-vsock u /dev/vhost-net tmexxew għall-grupp kvm.
- Id-database tal-ID tal-ħardwer ġiet estiża b'qarrejja tal-marki tas-swaba' USB li jappoġġjaw b'mod korrett il-modalità sleep.
- Appoġġ miżjud issolvi systemd għall-ħruġ ta 'tweġibiet għal mistoqsijiet DNSSEC permezz ta' risolver stub. Il-klijenti lokali jistgħu jwettqu l-validazzjoni DNSSEC fuqhom infushom, filwaqt li l-klijenti esterni huma prokurati mhux mibdula lis-server DNS prinċipali.
- Miżjud l-għażla CacheFromLocalhost għal resolved.conf, meta ssettjat, systemd-resolved se juża caching anke għal sejħiet lis-server DNS f'127.0.0.1 (b'mod awtomatiku, il-caching ta' tali talbiet huwa diżattivat biex jiġi evitat caching doppju).
- systemd-resolved iżid appoġġ għal RFC-5001 NSIDs fis-solvent tad-DNS lokali, li jippermetti lill-klijenti jiddifferenzjaw bejn l-interazzjonijiet mas-solvent lokali u server DNS ieħor.
- L-utilità resolvectl timplimenta l-abbiltà li turi informazzjoni dwar is-sors tad-dejta (cache lokali, talba tan-netwerk, rispons tal-proċessur lokali) u l-użu tal-kriptaġġ meta tittrażmetti d-dejta. L-għażliet --cache, --synthesize, --network, --zone, --trust-anchor, u --validate huma pprovduti biex jikkontrollaw il-proċess tad-determinazzjoni tal-isem.
- systemd-nspawn iżid appoġġ għall-konfigurazzjoni ta 'firewall bl-użu ta' nftables flimkien mal-appoġġ iptables eżistenti. Is-setup IPMasquerade f'systemd-networkd żiedet il-kapaċità li tuża backend ibbażat fuq nftables.
- systemd-localed appoġġ miżjud għas-sejħa locale-gen biex tiġġenera lokalitajiet nieqsa.
- Għażliet --pager/-no-pager/-json= ġew miżjuda ma 'diversi utilitajiet biex jippermettu/jiddiżattivaw il-mod ta' paging u l-output fil-format JSON. Miżjud il-kapaċità li jiġi stabbilit in-numru ta 'kuluri użati fit-terminal permezz tal-varjabbli ambjentali SYSTEMD_COLORS ("16" jew "256").
- Il-bini b'ġerarkiji tad-direttorju separati (split / u /usr) u l-appoġġ cgroup v1 ġew deprecati.
- Il-fergħa prinċipali f'Git ingħatat l-isem mill-ġdid minn 'master' għal 'main'.
Sors: opennet.ru