UKI (एकीकृत कर्नेल छवि) समर्थनको साथ systemd प्रणाली प्रबन्धक 252 को रिलीज

विकासको पाँच महिना पछि, प्रणाली प्रबन्धक systemd 252 को रिलीज प्रस्तुत गरियो। नयाँ संस्करणमा मुख्य परिवर्तन एक आधुनिक बुट प्रक्रियाको लागि समर्थनको एकीकरण थियो, जसले तपाईंलाई कर्नेल र बुटलोडर मात्र होइन, तर कम्पोनेन्टहरू पनि प्रमाणित गर्न अनुमति दिन्छ। डिजिटल हस्ताक्षर प्रयोग गरेर आधारभूत प्रणाली वातावरणको।

प्रस्तावित विधिले लोड गर्दा एकीकृत कर्नेल छवि UKI (एकीकृत कर्नेल छवि) को प्रयोग समावेश गर्दछ, जसले UEFI (UEFI बुट स्टब), लिनक्स कर्नेल छवि र मेमोरीमा लोड गरिएको initrd प्रणाली वातावरणबाट कर्नेल लोड गर्न ह्यान्डलरलाई संयोजन गर्दछ। रूट FS माउन्ट गर्नु अघि चरणमा प्रारम्भिक सुरुवातको लागि। UKI छविलाई PE ढाँचामा एकल कार्यान्वयनयोग्य फाइलको रूपमा प्याकेज गरिएको छ, जुन परम्परागत बुटलोडरहरू प्रयोग गरेर लोड गर्न सकिन्छ वा UEFI फर्मवेयरबाट सिधै कल गर्न सकिन्छ। UEFI बाट कल गर्दा, कर्नेल मात्र होइन, initrd को सामग्रीको डिजिटल हस्ताक्षरको पूर्णता र विश्वसनीयता प्रमाणित गर्न सम्भव छ।

TPM PCR (विश्वसनीय प्लेटफर्म मोड्युल प्लेटफर्म कन्फिगरेसन दर्ता) रजिष्टरहरूको मापदण्डहरू गणना गर्नको लागि अखण्डताको निगरानी गर्न र UKI छविको डिजिटल हस्ताक्षर उत्पन्न गर्न प्रयोग गरिन्छ, नयाँ उपयोगिता systemd-माप समावेश गरिएको छ। हस्ताक्षरमा प्रयोग गरिएको सार्वजनिक कुञ्जी र सँगैको PCR जानकारी सिधै UKI बुट छविमा इम्बेड गर्न सकिन्छ (साँचो र हस्ताक्षर '.pcrsig' र '.pcrkey' फिल्डहरूमा PE फाइलमा सुरक्षित गरिएको छ) र बाहिरबाट निकाल्न सकिन्छ। वा आन्तरिक उपयोगिताहरू।

विशेष गरी, systemd-cryptsetup, systemd-cryptenroll र systemd-creds उपयोगिताहरूलाई यो जानकारी प्रयोग गर्नको लागि अनुकूलित गरिएको छ, जसको साथ तपाईंले गुप्तिकरण गरिएको डिस्क विभाजनहरू डिजिटल रूपमा हस्ताक्षर गरिएको कर्नेलमा बाँधिएको सुनिश्चित गर्न सक्नुहुन्छ (यस अवस्थामा, इन्क्रिप्टेड विभाजनमा पहुँच। UKI छविले TPM मा अवस्थित प्यारामिटरहरूमा आधारित डिजिटल हस्ताक्षरद्वारा प्रमाणीकरण पास गरेको खण्डमा मात्र प्रदान गरिन्छ।

थप रूपमा, systemd-pcrphase उपयोगिता समावेश गरिएको छ, जसले तपाईंलाई TPM 2.0 निर्दिष्टीकरण समर्थन गर्ने क्रिप्टोप्रोसेसरहरूको मेमोरीमा अवस्थित प्यारामिटरहरूमा विभिन्न बुट चरणहरूको बाइन्डिङ नियन्त्रण गर्न अनुमति दिन्छ (उदाहरणका लागि, तपाईंले LUKS2 विभाजन डिक्रिप्शन कुञ्जीलाई मात्र उपलब्ध गराउन सक्नुहुन्छ। initrd छवि र पछिका चरणहरूमा डाउनलोडहरूमा पहुँच रोक्नुहोस्)।

केही अन्य परिवर्तनहरू:

• सेटिङहरूमा फरक लोकेल निर्दिष्ट नगरेसम्म पूर्वनिर्धारित लोकेल C.UTF-8 हो भनी सुनिश्चित गर्दछ।
• यो अब पहिलो बुटको समयमा पूर्ण सेवा प्रिसेट अपरेशन ("systemctl preset") गर्न सम्भव छ। बुट समयमा प्रिसेटहरू सक्षम गर्न "-Dfirst-boot-full-preset" विकल्पको साथ निर्माण गर्न आवश्यक छ, तर भविष्यका विमोचनहरूमा पूर्वनिर्धारित रूपमा सक्षम हुने योजना छ।
• प्रयोगकर्ता व्यवस्थापन एकाइहरूमा CPU स्रोत नियन्त्रक समावेश छ, जसले यो सुनिश्चित गर्न सम्भव बनायो कि CPUWeight सेटिङहरू प्रणालीलाई भागहरूमा विभाजन गर्न प्रयोग गरिने सबै स्लाइस एकाइहरूमा लागू गरिएको छ (app.slice, background.slice, session.slice) बीच स्रोतहरू अलग गर्न। विभिन्न प्रयोगकर्ता सेवाहरू, CPU स्रोतहरूको लागि प्रतिस्पर्धा गर्दै। CPUWeight ले उपयुक्त स्रोत प्रावधान मोड सक्रिय गर्न "निष्क्रिय" मानलाई पनि समर्थन गर्दछ।
• अस्थायी ("अस्थायी") एकाइहरूमा र systemd-repart उपयोगितामा, /etc/systemd/system/name.d/ डाइरेक्टरीमा ड्रप-इन फाइलहरू सिर्जना गरेर ओभरराइड सेटिङहरूलाई अनुमति दिइन्छ।
• प्रणाली छविहरूको लागि, समर्थन-समाप्त झण्डा सेट गरिएको छ, नयाँ प्यारामिटर "SUPPORT_END=" को मानमा आधारित यो तथ्य निर्धारण गर्दै /etc/os-release फाइल।
• "सर्त प्रमाण=" र "AssertCredential=" सेटिङहरू थपियो, जुन प्रणालीमा निश्चित प्रमाणहरू उपस्थित नभएमा एकाइहरूलाई बेवास्ता गर्न वा क्र्यास गर्न प्रयोग गर्न सकिन्छ।
• "DefaultSmackProcessLabel=" र "DefaultDeviceTimeoutSec=" सेटिङहरू system.conf र user.conf मा पूर्वनिर्धारित SMACK सुरक्षा स्तर र एकाइ सक्रियता टाइमआउट परिभाषित गर्न थपियो।
• "कन्डिशन फर्मवेयर=" र "AssertFirmware=" सेटिङहरूमा, व्यक्तिगत SMBIOS फिल्डहरू निर्दिष्ट गर्ने क्षमता थपिएको छ, उदाहरणका लागि, यदि /sys/class/dmi/id/board_name फिल्डमा मान "कस्टम" समावेश छ भने मात्र एकाइ सुरू गर्न। बोर्ड", तपाइँ "कन्डिशन फर्मवेयर = smbios" -फिल्ड (बोर्ड_नाम = "कस्टम बोर्ड")" निर्दिष्ट गर्न सक्नुहुन्छ।
• प्रारम्भिक प्रक्रिया (PID 1) को बखत, SMBIOS क्षेत्रहरू (प्रकार 11, "OEM विक्रेता स्ट्रिङहरू") बाट प्रमाणहरू आयात गर्ने क्षमता qemu_fwcfg मार्फत तिनीहरूको परिभाषाको अतिरिक्त थपिएको छ, जसले भर्चुअल मेसिनहरूमा प्रमाणहरूको प्रावधानलाई सरल बनाउँछ र मेटाउँछ। क्लाउड-इनिट र इग्निशन जस्ता तेस्रो-पक्ष उपकरणहरूको लागि आवश्यक छ।
• शटडाउनको समयमा, भर्चुअल फाइल प्रणालीहरू (प्रोक, sys) अनमाउन्ट गर्ने तर्क परिवर्तन गरिएको छ र फाइल प्रणालीहरूको अनमाउन्ट रोक्ने प्रक्रियाहरूको बारेमा जानकारी लगमा बचत गरिएको छ।
• प्रणाली कल फिल्टर (SystemCallFilter) ले पूर्वनिर्धारित रूपमा riscv_flush_icache प्रणाली कलमा पहुँच गर्न अनुमति दिन्छ।
• sd-boot bootloader ले मिश्रित मोडमा बुट गर्ने क्षमता थप्छ, जसमा 64-bit Linux कर्नेल 32-bit UEFI फर्मवेयरबाट चल्छ। ESP (EFI प्रणाली विभाजन) मा पाइने फाइलहरूबाट स्वचालित रूपमा सुरक्षितबुट कुञ्जीहरू लागू गर्न प्रयोगात्मक क्षमता थपियो।
• bootctl उपयोगितामा नयाँ विकल्पहरू थपिएका छन्: "—सबै-आर्किटेक्चरहरू" सबै समर्थित EFI आर्किटेक्चरहरूका लागि बाइनरीहरू स्थापना गर्नका लागि, "—रूट=" र "—इमेज=" डाइरेक्टरी वा डिस्क छविसँग काम गर्नका लागि, "-स्थापना-स्रोत। =" स्थापनाको लागि स्रोत परिभाषित गर्नको लागि, "-efi-boot-option-description=" बुट प्रविष्टि नामहरू नियन्त्रण गर्न।
• 'list-automounts' आदेश स्वचालित रूपमा माउन्ट गरिएका डाइरेक्टरीहरूको सूची र निर्दिष्ट डिस्क छविको सम्बन्धमा आदेशहरू कार्यान्वयन गर्न "--image=" विकल्प प्रदर्शन गर्न systemctl उपयोगितामा थपिएको छ। 'शो' र 'स्टेटस' आदेशहरूमा "--state=" र "--type=" विकल्पहरू थपियो।
• systemd-networkd थपे विकल्पहरू "TCPCongestionControlAlgorithm=" TCP भीड नियन्त्रण एल्गोरिदम चयन गर्न, "KeepFileDescriptor=" TUN/TAP इन्टरफेसहरूको फाइल वर्णनकर्ता बचत गर्न, "NetLabel=" NetLabels सेट गर्न, "RapidCommit=" DCPur6 मार्फत कन्फिगरेसनको गति बढाउन। (RFC 3315)। "RouteTable=" प्यारामिटरले रूटिङ तालिकाहरूको नाम निर्दिष्ट गर्न अनुमति दिन्छ।
• systemd-nspawn ले "--bind=" र "--overlay=" विकल्पहरूमा सापेक्ष फाइल मार्गहरू प्रयोग गर्न अनुमति दिन्छ। कन्टेनरमा रूट प्रयोगकर्ता ID लाई होस्ट साइडमा माउन्ट गरिएको डाइरेक्टरीको मालिकसँग बाँध्न "--bind=" विकल्पमा 'rootidmap' प्यारामिटरको लागि समर्थन थपियो।
• systemd-समाधानले पूर्वनिर्धारित रूपमा यसको एन्क्रिप्शन ब्याकइन्डको रूपमा OpenSSL प्रयोग गर्दछ (gnutls समर्थन विकल्पको रूपमा राखिएको छ)। असमर्थित DNSSEC एल्गोरिदमहरूलाई अब त्रुटि (SERVFAIL) फर्काउनुको सट्टा असुरक्षित मानिन्छ।
• systemd-sysusers, systemd-tmpfiles र systemd-sysctl ले क्रेडेन्सियल भण्डारण संयन्त्र मार्फत सेटिङ्हरू स्थानान्तरण गर्ने क्षमता लागू गर्दछ।
• संस्करण संख्याहरूसँग स्ट्रिङहरू तुलना गर्न systemd-विश्लेषण उपयोगितामा 'compare-versions' आदेश थपियो ('rpmdev-vercmp' र 'dpkg --compare-versions' जस्तै)। 'systemd-analyze dump' आदेशमा मास्कद्वारा एकाइहरू फिल्टर गर्ने क्षमता थपियो।
• बहु-चरण निद्रा मोड चयन गर्दा (निलम्बन-तब-हाइबरनेट), स्ट्यान्डबाइ मोडमा बिताएको समय अब ​​बाँकी ब्याट्री जीवनको पूर्वानुमानको आधारमा चयन गरिन्छ। स्लीप मोडमा तत्काल संक्रमण तब हुन्छ जब ब्याट्री चार्ज 5% भन्दा कम रहन्छ।
• नयाँ आउटपुट मोड "-o छोटो-डेल्टा" लाई 'journalctl' मा थपिएको छ, लगमा विभिन्न सन्देशहरू बीचको भिन्नता देखाउँदै।
• systemd-repart ले Squashfs फाइल प्रणाली र dm-verity को लागि विभाजनहरू सिर्जना गर्न समर्थन थप्छ, डिजिटल हस्ताक्षर सहित।
• निर्दिष्ट टाइमआउट पछि निष्क्रिय सत्र समाप्त गर्न systemd-logind मा "StopIdleSessionSec=" सेटिङ थपियो।
• Systemd-cryptenroll ले प्रयोगकर्तालाई प्रम्प्ट गर्नुको सट्टा फाइलबाट डिक्रिप्शन कुञ्जी निकाल्नको लागि "--unlock-key-file=" विकल्प थपेको छ।
• यो अब udev बिना वातावरणमा systemd-grofs उपयोगिता चलाउन सम्भव छ।
• systemd-backlight ले धेरै ग्राफिक्स कार्डहरू भएका प्रणालीहरूको लागि समर्थन सुधार गरेको छ।
• कागजातमा प्रदान गरिएका कोड उदाहरणहरूको लागि इजाजतपत्र CC0 बाट MIT-0 मा परिवर्तन गरिएको छ।

अनुकूलता तोड्ने परिवर्तनहरू:

• ConditionKernelVersion निर्देशन प्रयोग गरेर कर्नेल संस्करण नम्बर जाँच गर्दा, एक साधारण स्ट्रिङ तुलना अब '=' र '!=' अपरेटरहरूमा प्रयोग गरिन्छ, र यदि तुलना अपरेटर निर्दिष्ट गरिएको छैन भने, ग्लोब-मास्क मिलान प्रयोग गरेर प्रयोग गर्न सकिन्छ। वर्ण '*', '?' र '[', ']'। stverscmp() शैली संस्करणहरू तुलना गर्न, '<', '>', '<=' र '>=' अपरेटरहरू प्रयोग गर्नुहोस्।
• एकाइ फाइलबाट पहुँच जाँच गर्न प्रयोग गरिएको SELinux ट्याग अब पहुँच जाँचको समयमा भन्दा फाइल लोड भएको समयमा पढिन्छ।
• "कन्डिसन फर्स्टबुट" सर्त अब प्रणालीको पहिलो बुटमा सीधा बुट चरणमा मात्र ट्रिगर हुन्छ र बुट पूरा भएपछि एकाइहरूलाई कल गर्दा "झूटा" फर्काउँछ।
• 2024 मा, systemd ले cgroup v1 संसाधन सीमित गर्ने संयन्त्रलाई समर्थन गर्न बन्द गर्ने योजना बनाएको छ, जुन systemd विमोचन 248 मा हटाइएको थियो। प्रशासकहरूलाई cgroup v2-आधारित सेवाहरू cgroup v1 मा स्थानान्तरण गर्नु अघि सावधानी अपनाउन सल्लाह दिइन्छ। cgroups v2 र v1 बीचको मुख्य भिन्नता भनेको CPU स्रोतहरू आवंटित गर्न, मेमोरी खपत नियमन गर्न र I/O को लागि छुट्टै पदानुक्रमको सट्टा सबै प्रकारका स्रोतहरूको लागि साझा cgroups पदानुक्रमको प्रयोग हो। अलग पदानुक्रमले विभिन्न पदानुक्रमहरूमा सन्दर्भ गरिएको प्रक्रियाको लागि नियमहरू लागू गर्दा ह्यान्डलरहरू र थप कर्नेल स्रोत लागतहरू बीच अन्तरक्रिया व्यवस्थित गर्न कठिनाइहरू निम्त्याउँछ।
• 2023 को दोस्रो आधामा, हामी विभाजन डाइरेक्टरी पदानुक्रमहरूको लागि समर्थन समाप्त गर्ने योजना गर्छौं, जहाँ /usr लाई मूलबाट अलग माउन्ट गरिएको छ, वा /bin र /usr/bin, /lib र /usr/lib छुट्याइएको छ।

स्रोत: opennet.ru