systemd systeembeheerder release 246

Na vijf maanden ontwikkeling ingediend systeembeheerder release systemd 246. De nieuwe release omvat ondersteuning voor het bevriezen van eenheden, de mogelijkheid om de rootschijfimage te verifiëren met behulp van een digitale handtekening, ondersteuning voor logcompressie en core dumps met behulp van het ZSTD-algoritme, de mogelijkheid om draagbare thuismappen te ontgrendelen met behulp van FIDO2-tokens, ondersteuning voor het ontgrendelen van Microsoft BitLocker partities via /etc/crypttab, BlackList is hernoemd naar DenyList.

De belangrijkste veranderingen:

• Ondersteuning toegevoegd voor de vriezerresourcecontroller op basis van cgroups v2, waarmee u processen kunt stoppen en tijdelijk bepaalde bronnen (CPU, I/O en mogelijk zelfs geheugen) kunt vrijmaken om andere taken uit te voeren. Het invriezen en ontdooien van units wordt geregeld met het nieuwe “systemctl Freeze” commando of via D-Bus.
• Ondersteuning toegevoegd voor het verifiëren van de rootschijfimage met behulp van een digitale handtekening. Verificatie wordt uitgevoerd met behulp van nieuwe instellingen in service-eenheden: RootHash (root-hash voor het verifiëren van de schijfkopie die is opgegeven via de RootImage-optie) en RootHashSignature (digitale handtekening in PKCS#7-indeling voor de root-hash).
• De PID 1-handler implementeert de mogelijkheid om automatisch vooraf gecompileerde AppArmor-regels (/etc/apparmor/earlypolicy) te laden tijdens de initiële opstartfase.
• Er zijn nieuwe eenheidsbestandsinstellingen toegevoegd: ConditionPathIsEncrypted en AssertPathIsEncrypted om de plaatsing van het opgegeven pad op een blokapparaat te controleren dat codering gebruikt (dm-crypt/LUKS), ConditionEnvironment en AssertEnvironment om omgevingsvariabelen te controleren (bijvoorbeeld die ingesteld door PAM of bij het opzetten van containers).
• Voor *.mount-eenheden is de ReadWriteOnly-instelling geïmplementeerd, die het koppelen van een partitie in alleen-lezen-modus verbiedt als het niet mogelijk was om deze te koppelen voor lezen en schrijven. In /etc/fstab wordt deze modus geconfigureerd met behulp van de optie “x-systemd.rw-only”.
• Voor *.socket-eenheden is de PassPacketInfo-instelling toegevoegd, waardoor de kernel extra metagegevens kan toevoegen voor elk pakket dat uit de socket wordt gelezen (schakelt de IP_PKTINFO-, IPV6_RECVPKTINFO- en NETLINK_PKTINFO-modi voor de socket in).
• Voor services (*.service-eenheden) worden CoredumpFilter-instellingen voorgesteld (definieert geheugensecties die moeten worden opgenomen in core-dumps) en
  TimeoutStartFailureMode/TimeoutStopFailureMode (definieert het gedrag (SIGTERM, SIGABRT of SIGKILL) wanneer een time-out optreedt bij het starten of stoppen van een service).

• De meeste opties ondersteunen nu hexadecimale waarden die zijn opgegeven met het voorvoegsel "0x".
• In verschillende opdrachtregelparameters en configuratiebestanden die verband houden met het instellen van sleutels of certificaten, is het mogelijk om het pad naar Unix-sockets (AF_UNIX) op te geven voor het overbrengen van sleutels en certificaten via oproepen naar IPC-services wanneer het niet wenselijk is om certificaten op een niet-gecodeerde schijf te plaatsen opslag.
• Ondersteuning toegevoegd voor zes nieuwe specificaties die kunnen worden gebruikt in eenheden, tmpfiles.d/, sysusers.d/ en andere configuratiebestanden: %a voor het vervangen van de huidige architectuur, %o/%w/%B/%W voor het vervangen van velden door ID's uit /etc/os-release en %l voor vervanging van korte hostnamen.
• Eenheidsbestanden ondersteunen niet langer de “.include”-syntaxis, die zes jaar geleden werd beëindigd.
• De instellingen StandardError en StandardOutput ondersteunen niet langer de waarden “syslog” en “syslog-console”, die automatisch worden omgezet naar “journal” en “journal+console”.
• Voor automatisch aangemaakte op tmpfs gebaseerde koppelpunten (/tmp, /run, /dev/shm, etc.) zijn er limieten voor de grootte en het aantal inodes, overeenkomend met 50% van de RAM-grootte voor /tmp en /dev/ shm, en 10% RAM voor alle anderen.
• Nieuwe kernel-opdrachtregelopties toegevoegd: systemd.hostname om de hostnaam in te stellen tijdens de initiële opstartfase, udev.blockdev_read_only om alle blokapparaten die zijn gekoppeld aan fysieke schijven te beperken tot alleen-lezen-modus (je kunt de opdracht "blockdev --setrw" gebruiken om selectief annuleren), systemd .swap om de automatische activering van de swappartitie uit te schakelen, systemd.clock-usec om de systeemklok in microseconden in te stellen, systemd.condition-needs-update en systemd.condition-first-boot om de ConditionNeedsUpdate en ConditionFirstBoot te overschrijven cheques.
• Standaard is sysctl fs.suid_dumpable ingesteld op 2 (“suidsafe”), wat het opslaan van kerndumps voor processen met de suid-vlag mogelijk maakt.
• Het bestand /usr/lib/udev/hwdb.d/60-autosuspend.hwdb is geleend van ChromiumOS in de hardwaredatabase en bevat informatie over PCI- en USB-apparaten die de automatische slaapmodus ondersteunen.
• Er is een ManageForeignRoutes-instelling toegevoegd aan networkd.conf. Indien ingeschakeld, zal systemd-networkd alle routes gaan beheren die door andere hulpprogramma's zijn geconfigureerd.
• Er is een sectie “[SR-IOV]” toegevoegd aan .network-bestanden voor het configureren van netwerkapparaten die SR-IOV (Single Root I/O Virtualization) ondersteunen.
• In systemd-networkd is de IPv4AcceptLocal-instelling toegevoegd aan de sectie "[Netwerk]", zodat pakketten die aankomen met een lokaal bronadres kunnen worden ontvangen op de netwerkinterface.
• systemd-networkd heeft de mogelijkheid toegevoegd om HTB-verkeersprioriteringsdisciplines te configureren via de [HierarchyTokenBucket] en
  [HierarchyTokenBucketClass], "pfifo" via [PFIFO], "GRED" via [GenericRandomEarlyDetection], "SFB" via [StochasticFairBlue], "cake"
  via [CAKE], "PIE" via [PIE], "DRR" via [DeficitRoundRobinScheduler] en
  [DeficitRoundRobinSchedulerClass], "BFIFO" via [BFIFO],
  "PFIFOHeadDrop" via [PFIFOHeadDrop], "PFIFOFast" via [PFIFOFast], "HHF"
  via [HeavyHitterFilter], "ETS" via [EnhancedTransmissionSelection],
  "QFQ" via [QuickFairQueueing] en [QuickFairQueueingClass].

• In systemd-networkd is een UseGateway-instelling toegevoegd aan de sectie [DHCPv4] om het gebruik van gateway-informatie verkregen via DHCP uit te schakelen.
• In systemd-networkd is in de secties [DHCPv4] en [DHCPServer] een SendVendorOption-instelling toegevoegd voor het installeren en verwerken van aanvullende leveranciersopties.
• systemd-networkd implementeert een nieuwe set EmitPOP3/POP3-, EmitSMTP/SMTP- en EmitLPR/LPR-opties in de sectie [DHCPServer] om informatie toe te voegen over POP3-, SMTP- en LPR-servers.
• In systemd-networkd is in de .netdev-bestanden in de sectie [Bridge] een VLANProtocol-instelling toegevoegd om het te gebruiken VLAN-protocol te selecteren.
• In systemd-networkd, in .network-bestanden in de sectie [Link], wordt de Groepsinstelling geïmplementeerd om een ​​groep links te beheren.
• De BlackList-instellingen zijn hernoemd naar DenyList (waarbij de verwerking van oude namen behouden blijft voor achterwaartse compatibiliteit).
• Systemd-networkd heeft een groot deel van de instellingen toegevoegd met betrekking tot IPv6 en DHCPv6.
• Het commando “forcerenew” is toegevoegd aan networkctl om te forceren dat alle adresbindingen worden bijgewerkt (lease).
• In systemd-resolved werd het in de DNS-configuratie mogelijk om het poortnummer en de hostnaam op te geven voor DNS-over-TLS-certificaatverificatie. De DNS-over-TLS-implementatie heeft ondersteuning voor SNI-controle toegevoegd.
• Systemd-resolved heeft nu de mogelijkheid om de omleiding van DNS-namen met één label (enkel label, vanaf één hostnaam) te configureren.
• systemd-journald biedt ondersteuning voor het gebruik van het zstd-algoritme om grote velden in tijdschriften te comprimeren. Er is gewerkt aan bescherming tegen botsingen in hashtabellen die in tijdschriften worden gebruikt.
• Aan journalctl zijn klikbare URL's met links naar documentatie toegevoegd bij het weergeven van logberichten.
• Er is een Audit-instelling toegevoegd aan journald.conf om te bepalen of auditing is ingeschakeld tijdens de initialisatie van systemd-journald.
• Systemd-coredump heeft nu de mogelijkheid om kerndumps te comprimeren met behulp van het zstd-algoritme.
• UUID-instelling toegevoegd aan systemd-repart om een ​​UUID toe te wijzen aan de gemaakte partitie.
• De systemd-homed-service, die het beheer van draagbare thuismappen biedt, heeft de mogelijkheid toegevoegd om thuismappen te ontgrendelen met behulp van FIDO2-tokens. De LUKS-partitie-encryptie-backend heeft ondersteuning toegevoegd voor het automatisch retourneren van lege bestandssysteemblokken wanneer een sessie eindigt. Er is bescherming toegevoegd tegen dubbele encryptie van gegevens als wordt vastgesteld dat de /home-partitie op het systeem al is gecodeerd.
• Instellingen toegevoegd aan /etc/crypttab: “keyfile-erase” om een ​​sleutel te verwijderen na gebruik en “try-empty-password” om te proberen een partitie te ontgrendelen met een leeg wachtwoord voordat de gebruiker om een ​​wachtwoord wordt gevraagd (handig voor het installeren van gecodeerde afbeeldingen met een wachtwoord toegewezen na de eerste keer opstarten, niet tijdens de installatie).
• systemd-cryptsetup voegt ondersteuning toe voor het ontgrendelen van Microsoft BitLocker-partities tijdens het opstarten met behulp van /etc/crypttab. Ook de mogelijkheid om te lezen toegevoegd
  sleutels voor het automatisch ontgrendelen van partities uit de bestanden /etc/cryptsetup-keys.d/.key en /run/cryptsetup-keys.d/.key.

• Systemd-xdg-autostart-generator toegevoegd om eenheidsbestanden te maken van .desktop autostart-bestanden.
• Commando "reboot-to-firmware" toegevoegd aan "bootctl".
• Opties toegevoegd aan systemd-firstboot: "--image" om de schijfkopie op te geven die moet worden opgestart, "--kernel-command-line" om het bestand /etc/kernel/cmdline te initialiseren, "--root-password-hashed" om specificeer de root-wachtwoordhash en "--delete-root-password" om het root-wachtwoord te verwijderen.

Bron: opennet.ru