systemd စနစ်မန်နေဂျာ ထုတ်ဝေမှု ၂၄၂

ငါးလကြာမှ ဖွံ့ဖြိုးတိုးတက်လာသည်။ တင်ဆက် စနစ်မန်နေဂျာ ထုတ်ဝေမှု 246 systemd. အသစ်ထွက်ရှိမှုတွင် အအေးခံယူနစ်များအတွက် ပံ့ပိုးမှု၊ ဒစ်ဂျစ်တယ် လက်မှတ်ကို အသုံးပြု၍ အမြစ်ဒစ်ခ်ရုပ်ပုံအား အတည်ပြုနိုင်မှု၊ ZSTD အယ်လဂိုရီသမ်ကို အသုံးပြု၍ မှတ်တမ်းချုံ့ခြင်းနှင့် core dumps များအတွက် ပံ့ပိုးမှု၊ FIDO2 တိုကင်များကို အသုံးပြု၍ သယ်ဆောင်ရလွယ်ကူသော အိမ်လမ်းညွှန်များကို လော့ခ်ဖွင့်နိုင်မှု၊ Microsoft BitLocker ကိုသော့ဖွင့်ရန် ပံ့ပိုးမှုတို့ ပါဝင်ပါသည်။ /etc/ crypttab မှတဆင့် အပိုင်းခွဲများကို BlackList ကို DenyList သို့ အမည်ပြောင်းထားသည်။

အဓိက အပြောင်းအလဲများ:

• အခြားလုပ်ဆောင်စရာများကို လုပ်ဆောင်ရန်အတွက် သင်သည် လုပ်ငန်းစဉ်များကို ရပ်တန့်နိုင်ပြီး အရင်းအမြစ်အချို့ (CPU၊ I/O နှင့် ဖြစ်နိုင်ချေရှိသော memory ပင်) ကို ယာယီဖယ်ရှားနိုင်သည့် cgroups v2 ပေါ်အခြေခံ၍ ရေခဲသေတ္တာ အရင်းအမြစ်ထိန်းချုပ်ကိရိယာအတွက် ပံ့ပိုးမှု ထပ်လောင်းထည့်သွင်းထားသည်။ ယူနစ်များ၏ အေးခဲခြင်းနှင့် အအေးခံခြင်းကို "systemctl freeze" ညွှန်ကြားချက်အသစ် သို့မဟုတ် D-Bus မှတစ်ဆင့် ထိန်းချုပ်ထားသည်။
• ဒစ်ဂျစ်တယ်လက်မှတ်ကို အသုံးပြု၍ အမြစ်ဒစ်ခ်ရုပ်ပုံအား အတည်ပြုရန်အတွက် ပံ့ပိုးမှု ထပ်လောင်းထည့်သွင်းထားသည်။ ဝန်ဆောင်မှုယူနစ်များတွင် ဆက်တင်အသစ်များကို အသုံးပြု၍ အတည်ပြုခြင်းကို လုပ်ဆောင်သည်- RootHash (RootImage ရွေးချယ်မှုမှတစ်ဆင့် သတ်မှတ်ထားသော ဒစ်ခ်ပုံအား အတည်ပြုရန်) နှင့် RootHashSignature (အမြစ် hash အတွက် PKCS#7 ဖော်မတ်ရှိ ဒစ်ဂျစ်တယ်လက်မှတ်)။
• PID 1 ကိုင်တွယ်သူသည် ကနဦးစတင်သည့်အဆင့်တွင် ကြိုတင်စုစည်းထားသော AppArmor စည်းမျဉ်းများ (/etc/apparmor/earlypolicy) ကို အလိုအလျောက်တင်နိုင်မှုကို အကောင်အထည်ဖော်ပေးပါသည်။
• ယူနစ်ဖိုင်ဆက်တင်အသစ်များကို ပေါင်းထည့်လိုက်သည်- ConditionPathIsEncrypted နှင့် AssertPathIsEncrypted သည် encryption (dm-crypt/LUKS) ကိုအသုံးပြုသော ပိတ်ဆို့စက်ပစ္စည်းပေါ်တွင် သတ်မှတ်ထားသောလမ်းကြောင်းကိုစစ်ဆေးရန် ConditionEnvironment နှင့် AssertEnvironment (ဥပမာ၊ PAM မှသတ်မှတ်ထားသည့်အရာများ သို့မဟုတ်၊ ကွန်တိန်နာများ တပ်ဆင်သည့်အခါ)။
• *.mount ယူနစ်များအတွက်၊ ReadWriteOnly ဆက်တင်ကို အကောင်အထည်ဖော်ထားပြီး၊ ၎င်းကို ဖတ်ရှုရန်နှင့် စာရေးရန်အတွက် တပ်ဆင်ရန် မဖြစ်နိုင်ပါက အပိုင်းတစ်ခုကို ဖတ်ရှုရန်သာမုဒ်တွင် တပ်ဆင်ခြင်းကို တားမြစ်ထားသည်။ /etc/fstab တွင် ဤမုဒ်ကို “x-systemd.rw-only” ရွေးချယ်မှုကို အသုံးပြု၍ စီစဉ်သတ်မှတ်ထားသည်။
• *.socket ယူနစ်များအတွက်၊ PassPacketInfo ဆက်တင်ကို ပေါင်းထည့်ခဲ့ပြီး၊ ၎င်းသည် kernel အား socket မှဖတ်ရှုသော ပက်ကတ်တစ်ခုစီအတွက် အပိုမက်တာဒေတာကို ထည့်သွင်းနိုင်စေသည် (socket အတွက် IP_PKTINFO၊ IPV6_RECVPKTINFO နှင့် NETLINK_PKTINFO မုဒ်များကိုဖွင့်ထားသည်)။
• ဝန်ဆောင်မှုများ (*.service units) အတွက် CoredumpFilter ဆက်တင်များကို အဆိုပြုထားသည် (core dumps များတွင် ထည့်သွင်းသင့်သော မှတ်ဉာဏ်အပိုင်းများကို သတ်မှတ်သည်) နှင့်
  TimeoutStartFailureMode/TimeoutStopFailureMode (ဝန်ဆောင်မှုတစ်ခုစတင်ခြင်း သို့မဟုတ် ရပ်တန့်သည့်အခါ အချိန်ကုန်သွားသောအခါတွင် အပြုအမူ (SIGTERM၊ SIGABRT သို့မဟုတ် SIGKILL) ကို သတ်မှတ်သည်)။

• ယခုအခါ ရွေးချယ်စရာအများစုသည် "0x" ရှေ့ဆက်ကို အသုံးပြု၍ သတ်မှတ်ထားသော ဆယ်ဂဏန်းတန်တန်ဖိုးများကို ပံ့ပိုးပေးပါသည်။
• ကီးများ သို့မဟုတ် လက်မှတ်များ သတ်မှတ်ခြင်းဆိုင်ရာ အမျိုးမျိုးသော command line parameters များနှင့် configuration files များတွင်၊ လက်မှတ်များကို ကုဒ်ဝှက်မထားထားသော disk တွင် လက်မှတ်များထည့်ရန် မလိုလားသည့်အခါတွင် ကီးများနှင့် လက်မှတ်များကို unix sockets (AF_UNIX) သို့ လွှဲပြောင်းရန်အတွက် လမ်းကြောင်းကို သတ်မှတ်ရန် ဖြစ်နိုင်သည် သိုလှောင်မှု။
• ယူနစ်များ၊ tmpfiles.d/၊ sysusers.d/ နှင့် အခြားဖွဲ့စည်းပုံဖိုင်များတွင် အသုံးပြုနိုင်သည့် သီးသန့်သတ်မှတ်မှုအသစ်ခြောက်ခုအတွက် ပံ့ပိုးမှုထည့်သွင်းထားသည်- လက်ရှိဗိသုကာကို အစားထိုးရန်အတွက် %a၊ နယ်ပယ်များကို အစားထိုးရန်အတွက် %o/%w/%B/%W /etc/os-release မှ identifiers နှင့် %l တိုတောင်းသော hostname အစားထိုးမှု။
• ယူနစ်ဖိုင်များသည် လွန်ခဲ့သော 6 နှစ်က ငြင်းဆိုထားသည့် “.include” syntax ကို မပံ့ပိုးတော့ပါ။
• StandardError နှင့် StandardOutput ဆက်တင်များသည် “syslog” နှင့် “syslog-console” တို့ကို “journal” နှင့် “journal+console” အဖြစ် အလိုအလျောက်ပြောင်းသွားမည့် တန်ဖိုးများကို မပံ့ပိုးတော့ပါ။
• အလိုအလျောက်ဖန်တီးထားသော tmpfs-based mount point (/tmp, /run, /dev/shm, etc.) အတွက်၊ /tmp နှင့် /dev/ အတွက် RAM အရွယ်အစား၏ 50% နှင့် ဆက်စပ်သော inode အရွယ်အစားနှင့် အရေအတွက်အပေါ် ကန့်သတ်ချက်များ ပေးထားသည်။ shm နှင့် အခြားလူတိုင်းအတွက် RAM ၏ 10%။
• kernel command line ရွေးချယ်စရာအသစ်များ ထပ်ထည့်သည်- systemd.hostname သည် ကနဦးစတင်သည့်အဆင့်တွင် hostname ကိုသတ်မှတ်ရန်၊ udev.blockdev_read_only သည် physical drives များနှင့်ဆက်စပ်နေသော block ပစ္စည်းများအားလုံးကို read-only mode သို့ကန့်သတ်ရန် ("blockdev --setrw" command ကိုသုံးနိုင်သည်။ ရွေးချယ်ထားသော ပယ်ဖျက်ခြင်း)၊ swap partition ၏ အလိုအလျောက် အသက်သွင်းခြင်းကို ပိတ်ရန် systemd .swap၊ systemd.clock-usec သည် စနစ်နာရီကို microseconds ဖြင့် သတ်မှတ်ရန်၊ systemd.condition-needs-update နှင့် systemd.condition-first-boot မှ ConditionNeedsUpdate နှင့် ConditionFirstBoot ကို အစားထိုးရန် စစ်ဆေးမှုများ။
• မူရင်းအားဖြင့်၊ sysctl fs.suid_dumpable ကို 2 ("suidsafe") ဟု သတ်မှတ်ထားပြီး suid အလံပါသည့် လုပ်ငန်းစဉ်များအတွက် အဓိကအမှိုက်များကို သိမ်းဆည်းခွင့်ပြုသည်။
• ဖိုင် /usr/lib/udev/hwdb.d/60-autosuspend.hwdb ကို ChromiumOS မှ ဟာ့ဒ်ဝဲဒေတာဘေ့စ်သို့ ချေးယူထားပြီး အလိုအလျောက် အိပ်စက်ခြင်းမုဒ်ကို ပံ့ပိုးပေးသည့် PCI နှင့် USB စက်ပစ္စည်းများအကြောင်း အချက်အလက် ပါဝင်သည်။
• ManageForeignRoutes ဆက်တင်ကို networkd.conf သို့ ပေါင်းထည့်လိုက်သည်၊ ဖွင့်လိုက်သောအခါ၊ systemd-networkd သည် အခြားသော utilities များမှ စီစဉ်သတ်မှတ်ထားသော လမ်းကြောင်းအားလုံးကို စတင်စီမံမည်ဖြစ်သည်။
• “[SR-IOV]” ကဏ္ဍကို SR-IOV (Single Root I/O Virtualization) ပံ့ပိုးပေးသော ကွန်ရက်စက်ပစ္စည်းများကို ပုံစံသတ်မှတ်ခြင်းအတွက် .network ဖိုင်များသို့ ပေါင်းထည့်လိုက်ပါပြီ။
• systemd-networkd တွင်၊ IPv4AcceptLocal ဆက်တင်ကို “[Network]” ကဏ္ဍသို့ ပေါင်းထည့်ထားပြီး ဒေသန္တရအရင်းအမြစ်လိပ်စာဖြင့် ရောက်ရှိလာသော ပက်ကေ့ခ်ျများကို ကွန်ရက်အင်တာဖေ့စ်တွင် လက်ခံရရှိရန် ခွင့်ပြုထားသည်။
• systemd-networkd သည် [HierarchyTokenBucket] မှတဆင့် HTB အသွားအလာ ဦးစားပေးသတ်မှတ်ခြင်းဆိုင်ရာ စည်းကမ်းများကို ပြင်ဆင်သတ်မှတ်နိုင်သည့် စွမ်းရည်ကို ပေါင်းထည့်ထားသည်။
  [HierarchyTokenBucketClass]၊ [PFIFO] မှတဆင့် "pfifo"၊ [GenericRandomEarlyDetection] မှတဆင့် "SFB" မှတဆင့် [StochasticFairBlue]၊ "ကိတ်မုန့်"
  [CAKE]၊ "PIE" မှတဆင့် [PIE]၊ "DRR" မှတဆင့် [DeficitRoundRobinScheduler] နှင့်
  [DeficitRoundRobinSchedulerClass]၊ "BFIFO" [BFIFO]၊
  "PFIFOHeadDrop" မှတဆင့် [PFIFOHeadDrop]၊ "PFIFOFast" [PFIFOFast]၊ "HHF" မှတဆင့်
  [HeavyHitterFilter]၊ "ETS" မှတဆင့် [EnhancedTransmissionSelection]၊
  [QuickFairQueueing] နှင့် [QuickFairQueueingClass] မှတဆင့် "QFQ" ။

• systemd-networkd တွင်၊ DHCP မှတစ်ဆင့်ရရှိသော gateway အချက်အလက်အသုံးပြုမှုကို ပိတ်ရန် UseGateway ဆက်တင်ကို [DHCPv4] ကဏ္ဍတွင် ထည့်သွင်းထားသည်။
• systemd-networkd တွင်၊ [DHCPv4] နှင့် [DHCPServer] ကဏ္ဍများတွင်၊ အပိုရောင်းချသူရွေးချယ်စရာများကို ထည့်သွင်းခြင်းနှင့် လုပ်ဆောင်ခြင်းအတွက် SendVendorOption ဆက်တင်ကို ထည့်သွင်းထားသည်။
• systemd-networkd သည် POP3၊ SMTP နှင့် LPR ဆာဗာများအကြောင်း အချက်အလက်ပေါင်းထည့်ရန် [DHCPServer] ကဏ္ဍရှိ EmitPOP3/POP3၊ EmitSMTP/SMTP နှင့် EmitLPR/LPR ရွေးချယ်မှုများအသစ်တစ်ခုကို အကောင်အထည်ဖော်သည်။
• systemd-networkd တွင်၊ [Bridge] ကဏ္ဍရှိ .netdev ဖိုင်များတွင်၊ အသုံးပြုရန် VLAN ပရိုတိုကောကို ရွေးချယ်ရန်အတွက် VLANProtocol ဆက်တင်ကို ပေါင်းထည့်ထားသည်။
• systemd-networkd တွင်၊ [Link] ကဏ္ဍရှိ .network ဖိုင်များတွင်၊ လင့်ခ်အုပ်စုတစ်စုကို စီမံခန့်ခွဲရန်အတွက် Group ဆက်တင်ကို လုပ်ဆောင်ထားသည်။
• BlackList ဆက်တင်များကို DenyList သို့ အမည်ပြောင်းထားသည် (နောက်ပြန်လိုက်ဖက်ညီမှုအတွက် အမည်ဟောင်းကိုင်တွယ်မှုကို ထိန်းသိမ်းထားသည်)။
• Systemd-networkd သည် IPv6 နှင့် DHCPv6 နှင့်ဆက်စပ်သော ဆက်တင်များစွာကို ပေါင်းထည့်ထားသည်။
• လိပ်စာချိတ်ဆက်မှုအားလုံးကို အပ်ဒိတ်လုပ်ရန် (ငှားရမ်းခြင်း) အား ဖိအားပေးရန်အတွက် networkctl တွင် “forcerenew” အမိန့်ကို ပေါင်းထည့်ခဲ့သည်။
• systemd-resolved တွင်၊ DNS configuration တွင်၊ DNS-over-TLS လက်မှတ်အတည်ပြုခြင်းအတွက် port နံပါတ်နှင့် host name ကို သတ်မှတ်ရန် ဖြစ်နိုင်သည်။ DNS-over-TLS အကောင်အထည်ဖော်မှုသည် SNI စစ်ဆေးခြင်းအတွက် ပံ့ပိုးမှု ထပ်လောင်းပေးထားသည်။
• ယခုအခါ Systemd-resolved သည် single-label DNS အမည်များ ( single-label ၊ host name တစ်ခုမှ ) ၏ redirection ကို configure လုပ်နိုင်စွမ်းရှိပါသည်။
• systemd-journald သည် ဂျာနယ်များတွင် ကွက်လပ်ကြီးများကို ချုံ့ရန် zstd algorithm ကို အသုံးပြုခြင်းအတွက် ပံ့ပိုးမှုပေးပါသည်။ ဂျာနယ်များတွင်အသုံးပြုသည့် hash tables များတွင် တိုက်မိခြင်းမှကာကွယ်ရန် အလုပ်ပြီးပါပြီ။
• မှတ်တမ်းမက်ဆေ့ဂျ်များကိုပြသသည့်အခါ စာရွက်စာတမ်းဆိုင်ရာလင့်ခ်များပါရှိသော နှိပ်နိုင်သော URL များကို journalctl သို့ ပေါင်းထည့်ထားသည်။
• systemd-journald စတင်ခြင်းတွင် စာရင်းစစ်ခြင်းကို ဖွင့်ထားခြင်းရှိမရှိ ထိန်းချုပ်ရန် journald.conf သို့ စာရင်းစစ်ဆက်တင်တစ်ခုကို ပေါင်းထည့်ခဲ့သည်။
• Systemd-coredump သည် zstd algorithm ကို အသုံးပြု၍ core dump များကို ချုံ့နိုင်ပါပြီ။
• ဖန်တီးထားသောအပိုင်းသို့ UUID တစ်ခုသတ်မှတ်ရန် systemd-repart သို့ UUID ဆက်တင်ကို ပေါင်းထည့်ထားသည်။
• ခရီးဆောင်အိမ်သုံးလမ်းညွှန်များကို စီမံခန့်ခွဲပေးသည့် systemd-homed ဝန်ဆောင်မှုသည် FIDO2 တိုကင်များကို အသုံးပြု၍ အိမ်လမ်းညွှန်များကို လော့ခ်ဖွင့်နိုင်သည့် စွမ်းရည်ကို ထည့်သွင်းထားသည်။ LUKS အခန်းကန့် ကုဒ်ဝှက်ခြင်း နောက်ခံအစွန်သည် ဆက်ရှင်တစ်ခု ပြီးဆုံးသောအခါ ဗလာဖိုင်စနစ်ပိတ်ဆို့ခြင်းများကို အလိုအလျောက် ပြန်ပေးရန်အတွက် ပံ့ပိုးမှု ထည့်ပေးထားသည်။ စနစ်ပေါ်ရှိ /home partition ကို ကုဒ်ဝှက်ထားပြီးဖြစ်ကြောင်း ဆုံးဖြတ်ပါက ဒေတာကို နှစ်ထပ်ကုဒ်ဝှက်ခြင်းမှ အကာအကွယ် ထပ်လောင်းထားသည်။
• /etc/crypttab တွင် ဆက်တင်များထည့်ထားသည်- အသုံးပြုပြီးနောက် သော့ကိုဖျက်ရန် "keyfile-erase" နှင့် partition တစ်ခုကို စကားဝှက်အလွတ်ဖြင့် လော့ခ်ဖွင့်ရန် ကြိုးပမ်းရန်အတွက် "keyfile-erase" နှင့် user အား စကားဝှက်ကို မတောင်းဆိုမီ (ကုဒ်ဝှက်ထားသော ပုံများကို ထည့်သွင်းရန်အတွက် အသုံးဝင်သည် ပထမ boot ပြီးနောက်၊ တပ်ဆင်မှုအတွင်းမဟုတ်ဘဲ) ဖြင့်သတ်မှတ်ထားသောစကားဝှက်တစ်ခု။
• systemd-cryptsetup သည် /etc/crypttab ကို အသုံးပြု၍ boot time တွင် Microsoft BitLocker partitions များကိုသော့ဖွင့်ရန်အတွက် ပံ့ပိုးမှု ပေးပါသည်။ စာဖတ်စွမ်းရည်ကိုလည်း ထည့်သွင်းထားပါတယ်။
  /etc/cryptsetup-keys.d/ ဖိုင်များမှ အခန်းကန့်များကို အလိုအလျောက်သော့ဖွင့်ရန်အတွက် သော့များ .key နှင့် /run/cryptsetup-keys.d/ .သော့။

• .desktop autostart ဖိုင်များမှ ယူနစ်ဖိုင်များကို ဖန်တီးရန် systemd-xdg-autostart-generator ကို ပေါင်းထည့်ထားသည်။
• "reboot-to-firmware" command ကို "bootctl" သို့ ပေါင်းထည့်ခဲ့သည်။
• systemd-firstboot တွင် ရွေးချယ်စရာများ ထပ်ထည့်သည်- "--image" ကို စတင်ရန် disk image ကို သတ်မှတ်ရန်၊ /etc/kernel/cmdline ဖိုင်ကို အစပြုရန် "--root-password-hashed" သို့ "--kernel-command-line"၊ root စကားဝှက်ကို ဖျက်ရန် "--delete-root-password" ကို သတ်မှတ်ပါ။

source: opennet.ru