systemd प्रणाली प्रबन्धक रिलीज 243

विकासको पाँच महिना पछि प्रस्तुत प्रणाली प्रबन्धक रिलीज systemd 243। आविष्कारहरू मध्ये, हामी प्रणालीमा कम मेमोरीको लागि ह्यान्डलरको PID 1 मा एकीकरण, एकाइ ट्राफिक फिल्टर गर्नका लागि तपाईंको आफ्नै BPF कार्यक्रमहरू संलग्न गर्न समर्थन, systemd-networkd का लागि धेरै नयाँ विकल्पहरू, नेटवर्कको ब्यान्डविथ अनुगमनको लागि एक मोड नोट गर्न सक्छौं। इन्टरफेसहरू, 64-बिटको सट्टा 22-बिट प्रणालीहरू 16-बिट PID नम्बरहरूमा पूर्वनिर्धारित रूपमा सक्षम गर्दै, एकीकृत cgroups पदानुक्रममा संक्रमण, systemd-network-generator मा समावेश।

मुख्य परिवर्तनहरू:

• मेमोरी उपभोग सीमामा पुगेका एकाइहरूलाई समाप्त गर्न बाध्य पार्ने वैकल्पिक क्षमताको साथ एकाइहरूलाई स्थानान्तरण गर्न मेमोरी बाहिर (आउट-अफ-मेमोरी, OOM) बारे कर्नेल-उत्पन्न संकेतहरूको पहिचान PID 1 ह्यान्डलरमा थपिएको छ। वा रोक्नुहोस्;
• एकाइ फाइलहरूको लागि, नयाँ प्यारामिटरहरू IPIngressFilterPath र
  IPEgressFilterPath, जसले तपाईंलाई BPF प्रोग्रामहरूलाई मनमानी ह्यान्डलरहरूसँग जडान गर्न अनुमति दिन्छ आगमन र बाहिर जाने IP प्याकेटहरू यस एकाइसँग सम्बन्धित प्रक्रियाहरूद्वारा उत्पन्न गर्न फिल्टर गर्न। प्रस्तावित सुविधाहरूले तपाईंलाई systemd सेवाहरूको लागि फायरवालको एक प्रकार सिर्जना गर्न अनुमति दिन्छ। उदाहरण लेखन BPF मा आधारित एक साधारण नेटवर्क फिल्टर;

• क्यास, रनटाइम फाइलहरू, स्थिति जानकारी र लग डाइरेक्टरीहरू मेटाउन systemctl उपयोगितामा "सफा" आदेश थपिएको छ;
• systemd-networkd ले MACsec, nlmon, IPVTAP र Xfrm नेटवर्क इन्टरफेसहरूको लागि समर्थन थप्छ;
• systemd-networkd ले कन्फिगरेसन फाइलमा "[DHCPv4]" र "[DHCPv6]" खण्डहरू मार्फत DHCPv4 र DHCPv6 स्ट्याकहरूको छुट्टै कन्फिगरेसन लागू गर्दछ। DHCP सर्भरबाट प्राप्त प्यारामिटरहरूमा निर्दिष्ट गरिएको DNS सर्भरमा छुट्टै मार्ग थप्न RoutesToDNS विकल्प थपियो (ताकि DNS मा ट्राफिक DHCP बाट प्राप्त भएको मुख्य मार्गको रूपमा उही लिङ्क मार्फत पठाइन्छ)। DHCPv4 का लागि नयाँ विकल्पहरू थपिएका छन्: MaxAttempts - ठेगाना प्राप्त गर्न अनुरोधहरूको अधिकतम संख्या, ब्ल्याकलिस्ट - DHCP सर्भरहरूको कालो सूची, SendRelease - सत्र समाप्त हुँदा DHCP रिलिज सन्देशहरू पठाउन सक्षम गर्नुहोस्;
• प्रणाली-विश्लेषण उपयोगितामा नयाँ आदेशहरू थपिएका छन्:
  • "प्रणाली-विश्लेषण टाइमस्ट्याम्प" - समय पार्सिङ र रूपान्तरण;
  • "systemd-analyze timespan" - समय अवधिको विश्लेषण र रूपान्तरण;
  • "प्रणाली-विश्लेषण अवस्था" - पार्सिङ र कन्डिशन एक्सवाईजेड अभिव्यक्ति परीक्षण;
  • "प्रणाली-विश्लेषण निकास-स्थिति" - पार्सिङ र निकास कोडहरूलाई नम्बरहरूबाट नामहरूमा रूपान्तरित गर्ने र यसको विपरीत;
  • "systemd-analyze unit-files" - एकाइहरू र एकाइ उपनामका लागि सबै फाइल मार्गहरू सूचीबद्ध गर्दछ।
• विकल्पहरू SuccessExitStatus, RestartPreventExitStatus र
  RestartForceExitStatus ले अब संख्यात्मक फिर्ता कोडहरू मात्र समर्थन गर्दैन, तर तिनीहरूको पाठ पहिचानकर्ताहरू (उदाहरणका लागि, "DATAERR")। तपाईंले "sytemd-analyze exit-status" आदेश प्रयोग गरेर पहिचानकर्ताहरूलाई तोकिएका कोडहरूको सूची हेर्न सक्नुहुन्छ;

• भर्चुअल सञ्जाल यन्त्रहरू मेटाउनको लागि networkctl उपयोगितामा "delete" आदेश थपिएको छ, साथै यन्त्र तथ्याङ्कहरू प्रदर्शन गर्न "—stats" विकल्प;
• SpeedMeter र SpeedMeterIntervalSec सेटिङहरू नेटवर्क इन्टरफेसहरूको आवधिक रूपमा मापन गर्न networkd.conf मा थपिएका छन्। मापन परिणामहरूबाट प्राप्त तथ्याङ्कहरू 'networkctl स्थिति' आदेशको आउटपुटमा हेर्न सकिन्छ;
• फाइलहरू उत्पन्न गर्नका लागि नयाँ उपयोगिता systemd-network-generator थपियो
  .network, .netdev र .link लाई Dracut सेटिंग्स ढाँचामा Linux कर्नेल कमाण्ड लाइन मार्फत सुरु गर्दा पास गरिएको IP सेटिङहरूमा आधारित छ;

• 64-बिट प्रणालीहरूमा sysctl "kernel.pid_max" मान अब पूर्वनिर्धारित रूपमा 4194304 (22-बिटको सट्टा 16-bit PIDs) मा सेट गरिएको छ, जसले PID हरू तोक्दा टकरावको सम्भावना कम गर्छ, एकै साथ संख्याको सीमा बढाउँछ। चलिरहेको प्रक्रिया, र सुरक्षा मा सकारात्मक प्रभाव छ। परिवर्तनले सम्भावित रूपमा अनुकूलता समस्याहरू निम्त्याउन सक्छ, तर त्यस्ता मुद्दाहरू व्यवहारमा अझै रिपोर्ट गरिएको छैन;
• पूर्वनिर्धारित रूपमा, निर्माण चरण एकीकृत पदानुक्रम cgroups-v2 ("-Ddefault-hierarchy=unified") मा स्विच हुन्छ। पहिले, पूर्वनिर्धारित हाइब्रिड मोड थियो ("-Ddefault-hierarchy=hybrid");
• प्रणाली कल फिल्टर (SystemCallFilter) को व्यवहार परिवर्तन गरिएको छ, जसले, प्रतिबन्धित प्रणाली कलको अवस्थामा, अब व्यक्तिगत थ्रेडहरूको सट्टा सम्पूर्ण प्रक्रिया समाप्त गर्दछ, किनकि व्यक्तिगत थ्रेडहरू बन्द गर्दा अप्रत्याशित समस्याहरू निम्त्याउन सक्छ। यदि तपाइँसँग लिनक्स कर्नेल 4.14+ र libseccomp 2.4.0+ छ भने मात्र परिवर्तनहरू लागू हुन्छन्;
• विशेषाधिकाररहित कार्यक्रमहरूलाई समूहहरूको सम्पूर्ण दायरा (सबै प्रक्रियाहरूको लागि) को लागि sysctl "net.ipv4.ping_group_range" सेट गरेर ICMP इको (पिंग) प्याकेटहरू पठाउने क्षमता दिइएको छ;
• निर्माण प्रक्रियालाई गति दिनको लागि, म्यानुअल म्यानुअलहरूको उत्पादन पूर्वनिर्धारित रूपमा रोकिएको छ (पूर्ण कागजातहरू निर्माण गर्न, तपाईंले html ढाँचामा म्यानुअलहरूको लागि "-Dman=true" वा "-Dhtml=true" विकल्प प्रयोग गर्न आवश्यक छ)। कागजातहरू हेर्न सजिलो बनाउनको लागि, दुई स्क्रिप्टहरू समावेश गरिएका छन्: बिल्ड/म्यान/म्यान र बिल्ड/म्यान/एचटीएमएल सिर्जना गर्न र रूचिको म्यानुअलहरू पूर्वावलोकन गर्नको लागि;
• राष्ट्रिय अक्षरहरूबाट क्यारेक्टरहरूसँग डोमेन नामहरू प्रशोधन गर्न, libidn2 पुस्तकालय पूर्वनिर्धारित रूपमा प्रयोग गरिन्छ (libidn फर्काउन, "-Dlibidn=true" विकल्प प्रयोग गर्नुहोस्);
• /usr/sbin/halt.local कार्यान्वयनयोग्य फाइलको लागि समर्थन, जसले वितरणहरूमा व्यापक रूपमा वितरण नगरिएको कार्यक्षमता प्रदान गर्दछ, बन्द गरिएको छ। बन्द गर्दा आदेशहरूको सुरुवातलाई व्यवस्थित गर्न, यसलाई /usr/lib/systemd/system-shutdown/ मा लिपिहरू प्रयोग गर्न वा final.target मा निर्भर गर्ने नयाँ एकाइ परिभाषित गर्न सिफारिस गरिन्छ।
• बन्दको अन्तिम चरणमा, systemd ले अब स्वचालित रूपमा sysctl "kernel.printk" मा लग स्तर बढाउँछ, जसले शटडाउनको पछिल्ला चरणहरूमा देखा परेका लग घटनाहरूमा देखाउने समस्या समाधान गर्छ, जब नियमित लगिङ डेमनहरू पूरा भइसकेका छन्। ;
• journalctl र लगहरू देखाउने अन्य उपयोगिताहरूमा, चेतावनीहरू पहेंलो रंगमा हाइलाइट गरिएका छन्, र अडिट रेकर्डहरूलाई भीडबाट दृश्यात्मक रूपमा हाइलाइट गर्न नीलोमा हाइलाइट गरिएको छ;
• $PATH वातावरण चरमा, bin/ को बाटो अब sbin/ को बाटो अघि आउँछ, अर्थात्। यदि दुबै डाइरेक्टरीहरूमा कार्यान्वयनयोग्य फाइलहरूको समान नामहरू छन् भने, bin/ बाट फाइल निष्पादित हुनेछ;
• systemd-logind ले प्रति-सत्रको आधारमा सुरक्षित रूपमा स्क्रिनको चमक परिवर्तन गर्न SetBrightness() कल प्रदान गर्दछ;
• "--wait-for-initialization" फ्ल्यागलाई "udevadm info" आदेशमा यन्त्र सुरु हुनको लागि पर्खन थपिएको छ;
• प्रणाली बुटको समयमा, PID 1 ह्यान्डलरले अब तिनीहरूको विवरणको साथ लाइनको सट्टा एकाइहरूको नामहरू प्रदर्शन गर्दछ। विगतको व्यवहारमा फर्कन, तपाईले /etc/systemd/system.conf वा systemd.status_unit_format कर्नेल विकल्पमा StatusUnitFormat विकल्प प्रयोग गर्न सक्नुहुन्छ;
• watchdog PID 1 को लागि /etc/systemd/system.conf मा KExecWatchdogSec विकल्प थपियो, जसले kexec प्रयोग गरेर पुन: सुरु गर्नको लागि टाइमआउट निर्दिष्ट गर्दछ। पुरानो सेटिंग
  ShutdownWatchdogSec लाई RebootWatchdogSec मा पुन: नामाकरण गरिएको छ र बन्द वा सामान्य पुन: सुरु गर्दा कामहरूको लागि समय समाप्ति परिभाषित गर्दछ;

• सेवाहरूको लागि नयाँ विकल्प थपिएको छ Execcondition, जसले तपाईंलाई ExecStartPre अघि कार्यान्वयन गरिने आदेशहरू निर्दिष्ट गर्न अनुमति दिन्छ। आदेशद्वारा फर्काइएको त्रुटि कोडको आधारमा, एकाइको थप कार्यान्वयनमा निर्णय गरिन्छ - यदि कोड 0 फर्काइयो भने, एकाइ प्रक्षेपण जारी रहन्छ, यदि 1 देखि 254 सम्म यो चुपचाप विफलता झण्डा बिना समाप्त हुन्छ, यदि 255 सँग समाप्त हुन्छ। असफलता झण्डा;
• थप विश्लेषणको लागि sys/fs/pstore/ र बचतबाट /var/lib/pstore मा डेटा निकाल्न systemd-pstore.service नयाँ सेवा थपियो;
• नेटवर्क इन्टरफेसहरूको सम्बन्धमा systemd-timesyncd का लागि NTP प्यारामिटरहरू कन्फिगर गर्नको लागि timedatectl उपयोगितामा नयाँ आदेशहरू थपिएका छन्;
• "localectl list-locales" आदेशले UTF-8 बाहेक अन्य स्थानहरू देखाउँदैन;
• sysctl.d/ फाइलहरूमा चर असाइनमेन्ट त्रुटिहरूलाई बेवास्ता गरिएको सुनिश्चित गर्दछ यदि चर नाम "-" क्यारेक्टरबाट सुरु हुन्छ;
• सेवा systemd-random-seed.service लिनक्स कर्नेल स्यूडोरेन्डम नम्बर जनरेटरको एन्ट्रोपी पूल प्रारम्भ गर्नका लागि अब पूर्ण रूपमा जिम्मेवार छ। सेवाहरू जसलाई सही रूपमा प्रारम्भिक /dev/urandom आवश्यक पर्दछ systemd-random-seed.service पछि सुरु गर्नुपर्छ;
• Systemd-boot बुट लोडरले समर्थन गर्ने वैकल्पिक क्षमता प्रदान गर्दछ बीज फाइल EFI प्रणाली विभाजन (ESP) मा अनियमित अनुक्रम संग;
• bootctl उपयोगितामा नयाँ आदेशहरू थपिएका छन्: "bootctl random-seed" ESP मा बीज फाइल उत्पन्न गर्न र "bootctl is-installed" systemd-boot बूट लोडरको स्थापना जाँच गर्न। bootctl लाई बुट प्रविष्टिहरूको गलत कन्फिगरेसनको बारेमा चेतावनीहरू प्रदर्शन गर्न समायोजन गरिएको छ (उदाहरणका लागि, जब कर्नेल छवि मेटाइन्छ, तर यसलाई लोड गर्नको लागि प्रविष्टि छोडिन्छ);
• प्रणाली स्लीप मोडमा जाँदा स्वैप विभाजनको स्वचालित चयन प्रदान गर्दछ। विभाजन यसको लागि कन्फिगर गरिएको प्राथमिकताको आधारमा चयन गरिन्छ, र समान प्राथमिकताहरूको अवस्थामा, खाली ठाउँको मात्रा;
• गुप्तिकरण कुञ्जी भएको यन्त्रले एन्क्रिप्टेड विभाजनमा पहुँच गर्न पासवर्डको लागि प्रम्प्ट गर्नु अघि कति समय पर्खने छ सेट गर्न /etc/crypttab मा keyfile-timeout विकल्प थपियो;
• BFQ अनुसूचकको लागि I/O वजन सेट गर्न IOWeight विकल्प थपियो;
• systemd-समाधानले DNS-over-TLS का लागि 'कडा' मोड थप्यो र सकारात्मक DNS प्रतिक्रियाहरू मात्र क्यास गर्ने क्षमतालाई कार्यान्वयन गर्‍यो (solved.conf मा "क्यास नो-नेगेटिभ");
• VXLAN का लागि, systemd-networkd ले VXLAN प्रोटोकल विस्तारहरू सक्षम गर्न GenericProtocolExtension विकल्प थपेको छ। VXLAN र GENEVE को लागि, IPDoNotFragment विकल्प बाहिर जाने प्याकेटहरूको लागि खण्डीकरण निषेध झण्डा सेट गर्न थपिएको छ;
• systemd-networkd मा, "[Route]" खण्डमा, FastOpenNoCookie विकल्पले व्यक्तिगत रुटहरूको सम्बन्धमा TCP जडानहरू (TFO - TCP Fast Open, RFC 7413) चाँडै खोल्ने मेकानिजमलाई सक्षम पारेको देखिन्छ, साथै TTLPप्रसार विकल्प। TTL LSP कन्फिगर गर्न (लेबल स्विच गरिएको पथ)। "प्रकार" विकल्पले स्थानीय, प्रसारण, anycast, multicast, any र xresolve राउटिङ मोडहरूको लागि समर्थन प्रदान गर्दछ;
• Systemd-networkd ले "[नेटवर्क]" खण्डमा एक पूर्वनिर्धारित नेटवर्क उपकरणको लागि पूर्वनिर्धारित मार्ग स्वतः कन्फिगर गर्न DefaultRouteOnDevice विकल्प प्रदान गर्दछ;
• Systemd-networkd ले ProxyARP र थपेको छ
  ProxyARPWifi प्रोक्सी एआरपी व्यवहार सेट गर्नको लागि, मल्टिकास्ट मोडमा रूटिङ प्यारामिटरहरू सेट गर्नको लागि मल्टिकास्ट राउटर, मल्टीकास्टका लागि IGMP (इन्टरनेट समूह व्यवस्थापन प्रोटोकल) संस्करण परिवर्तन गर्नको लागि MulticastIGMPVersion;

• Systemd-networkd ले स्थानीय र टाढाको IP ठेगानाहरू, साथै नेटवर्क पोर्ट नम्बर कन्फिगर गर्न FooOverUDP टनेलहरूको लागि स्थानीय, Peer र PeerPort विकल्पहरू थपेको छ। TUN टनेलहरूको लागि, GSO (जेनेरिक सेगमेन्ट अफलोड) समर्थन कन्फिगर गर्न VnetHeader विकल्प थपिएको छ;
• systemd-networkd मा, .network र .link फाइलहरू [Match] खण्डमा, एक Property विकल्प देखा परेको छ, जसले तपाईंलाई udev मा तिनीहरूको विशिष्ट गुणहरूद्वारा यन्त्रहरू पहिचान गर्न अनुमति दिन्छ;
• Systemd-networkd मा, सुरुङहरूको लागि AssignToLoopback विकल्प थपिएको छ, जसले सुरुङको अन्त्य लुपब्याक यन्त्र "lo" मा तोकिएको छ कि छैन भनेर नियन्त्रण गर्छ;
• systemd-networkd स्वचालित रूपमा IPv6 स्ट्याक सक्रिय गर्दछ यदि यो sysctl disable_ipv6 मार्फत रोकिएको छ - IPv6 सक्रिय हुन्छ यदि IPv6 सेटिङहरू (स्थिर वा DHCPv6) नेटवर्क इन्टरफेसको लागि परिभाषित गरिएको छ, अन्यथा पहिले नै सेट गरिएको sysctl मान परिवर्तन हुँदैन;
• नेटवर्क फाइलहरूमा, क्रिटिकल जडान सेटिङलाई KeepConfiguration विकल्पद्वारा प्रतिस्थापन गरिएको छ, जसले परिस्थितिहरू ("हो", "स्थिर", "dhcp-on-stop", "dhcp") परिभाषित गर्नका लागि थप माध्यमहरू उपलब्ध गराउँछ जसमा systemd-networkd हुनुपर्छ। स्टार्टअप हुँदा अवस्थित जडानहरू नछुनुहोस्;
• जोखिम फिक्स CVE-2019-15718, D-Bus इन्टरफेसमा पहुँच नियन्त्रणको कमीको कारणले गर्दा systemd-solved। समस्याले एक विशेषाधिकार प्राप्त प्रयोगकर्तालाई अपरेसनहरू गर्न अनुमति दिन्छ जुन प्रशासकहरूलाई मात्र उपलब्ध हुन्छ, जस्तै DNS सेटिङहरू परिवर्तन गर्ने र DNS क्वेरीहरूलाई दुष्ट सर्भरमा निर्देशित गर्ने;
• जोखिम फिक्स CVE-2019-9619गैर-अन्तर्क्रियात्मक सत्रहरूको लागि pam_systemd सक्षम नगर्नेसँग सम्बन्धित, जसले सक्रिय सत्रको स्पूफिङलाई अनुमति दिन्छ।

स्रोत: opennet.ru