ProHoster > blog > internetnieuws > systemd systeembeheerder release 253

systemd systeembeheerder release 253

Na drie en een halve maand ontwikkeling werd de release van de systeemmanager systemd 253 gepresenteerd.

Onder de veranderingen in de nieuwe release:

  • Het pakket bevat het 'ukify'-hulpprogramma, ontworpen voor het bouwen, verifiëren en genereren van handtekeningen voor uniforme kernelimages (UKI, Unified Kernel Image), een combinatie van een handler voor het laden van de kernel vanuit UEFI (UEFI boot stub), een Linux-kernelimage en een systeemomgeving geladen in geheugen initrd, gebruikt voor initiële initialisatie in de fase vóór het mounten van het rootbestandssysteem. Het hulpprogramma vervangt de functionaliteit die voorheen werd geboden door de opdracht 'dracut -uefi' en vult deze aan met mogelijkheden voor het automatisch berekenen van offsets in PE-bestanden, het samenvoegen van initrds, het ondertekenen van ingebedde kernelimages, het maken van gecombineerde afbeeldingen met sbsign, heuristieken voor het bepalen van de uname van de kernel, het controleren van de afbeelding met opstartscherm en ondertekend PCR-beleid toegevoegd dat is gegenereerd door het hulpprogramma systemd-measure.
  • Ondersteuning toegevoegd voor initrd-omgevingen die niet worden beperkt door geheugenplaatsing, waarin overlayfs wordt gebruikt in plaats van tmpfs. Voor dergelijke omgevingen verwijdert systemd niet alle bestanden in initrd nadat het rootbestandssysteem is gewijzigd.
  • De parameter “OpenFile” is toegevoegd aan services voor het openen van willekeurige bestanden in het bestandssysteem (of het verbinden met Unix-sockets) en het doorgeven van de bijbehorende bestandsdescriptors aan het gestarte proces (bijvoorbeeld wanneer u de toegang tot een bestand moet organiseren voor een onbevoorrechte service zonder de toegangsrechten tot het bestand te wijzigen).
  • In systemd-cryptenroll is het bij het registreren van nieuwe sleutels mogelijk om gecodeerde partities te ontgrendelen met behulp van FIDO2-tokens (--unlock-fido2-device) zonder dat een wachtwoord nodig is. Een door de gebruiker opgegeven pincode wordt samen met salt opgeslagen om detectie met brute kracht te bemoeilijken.
  • ReloadLimitIntervalSec- en ReloadLimitBurst-instellingen toegevoegd, evenals kernel-opdrachtregelopties (systemd.reload_limit_interval_sec en /systemd.reload_limit_burst) om de intensiteit van het opnieuw opstarten van achtergrondprocessen te beperken.
  • Voor eenheden is de optie “MemoryZSwapMax” geïmplementeerd om de eigenschap memory.zswap.max te configureren, die de maximale zswap-grootte bepaalt.
  • Voor eenheden is de optie “LogFilterPatterns” geïmplementeerd, waarmee u reguliere expressies kunt instellen om de informatie-uitvoer naar het logboek te filteren (kan worden gebruikt om bepaalde uitvoer uit te sluiten of alleen bepaalde gegevens op te slaan).
  • Scope-eenheden ondersteunen nu de instelling “OOMPolicy” om het gedrag in te stellen bij pogingen tot preempt wanneer er weinig geheugen is (inlogsessies zijn ingesteld op OOMPolicy=continu zodat de OOM-killer deze niet met geweld beëindigt).
  • Er is een nieuw servicetype gedefinieerd - "Type=notify-reload", dat het type "Type=notify" uitbreidt met de mogelijkheid om te wachten tot het herstartsignaal is verwerkt (SIGHUP). De services systemd-networkd.service, systemd-udevd.service en systemd-logind zijn overgezet naar het nieuwe type.
  • udev gebruikt een nieuw naamgevingsschema voor netwerkapparaten, met het verschil dat voor USB-apparaten die niet aan de PCI-bus zijn gekoppeld, ID_NET_NAME_PATH nu is ingesteld om meer voorspelbare namen te garanderen. De operator '-=' is geïmplementeerd voor SYMLINK-variabelen, waardoor symbolische links niet zijn geconfigureerd als er eerder een regel voor het toevoegen ervan was gedefinieerd.
  • In systemd-boot is de zaadoverdracht voor pseudo-willekeurige getalgeneratoren in de kernel en voor de schijfbackend herwerkt. Ondersteuning toegevoegd voor het laden van de kernel, niet alleen vanuit de ESP (EFI-systeempartitie), bijvoorbeeld vanuit de firmware of rechtstreeks voor QEMU. Het parseren van SMBIOS-parameters is mogelijk om het opstarten in een virtualisatieomgeving te bepalen. Er is een nieuwe 'if-safe'-modus geïmplementeerd waarin het certificaat voor UEFI Secure Boot alleen vanuit de ESP wordt geladen als het als veilig wordt beschouwd (draait op een virtuele machine).
  • Het hulpprogramma bootctl implementeert het genereren van systeemtokens op alle EFI-systemen, behalve virtualisatieomgevingen. 'kernel-identify'- en 'kernel-inspect'-opdrachten toegevoegd om het kernelimagetype en informatie over opdrachtregelopties en kernelversie weer te geven, 'unlink' om het bestand te verwijderen dat is gekoppeld aan het eerste type opstartrecords, 'cleanup' om alles te verwijderen bestanden uit de map "entry-token" in ESP en XBOOTLDR, niet geassocieerd met het eerste type opstartrecords. Er is verwerking van de variabele KERNEL_INSTALL_CONF_ROOT voorzien.
  • Het commando 'systemctl list-dependencies' ondersteunt nu de verwerking van de opties '--type' en '--state', en het commando 'systemctl kexec' voegt ondersteuning toe voor omgevingen gebaseerd op de Xen-hypervisor.
  • In .network-bestanden in de sectie [DHCPv4] is nu ondersteuning voor de opties SocketPriority en QuickAck, RouteMetric=high|medium|low toegevoegd.
  • Systemd-repart heeft opties “--include-partitions”, “--exclude-partitions” en “--defer-partitions” toegevoegd om partities te filteren op UUID-type, waarmee u bijvoorbeeld afbeeldingen kunt bouwen waarin één partitie is gebouwd op basis van de inhoud van een andere partitie. Ook de optie "--sector-size" toegevoegd om de grootte van de sector te specificeren die wordt gebruikt bij het maken van de partitie. Ondersteuning toegevoegd voor het genereren van erofs-bestanden. De instelling Minimaliseren implementeert de verwerking van de “beste” waarde om de minimaal mogelijke afbeeldingsgrootte te selecteren.
  • systemd-journal-remote maakt het gebruik van MaxUse-, KeepFree-, MaxFileSize- en MaxFiles-instellingen mogelijk om het schijfruimteverbruik te beperken.
  • systemd-cryptsetup voegt ondersteuning toe voor het verzenden van proactieve verzoeken naar FIDO2-tokens om hun aanwezigheid vóór authenticatie te bepalen.
  • Nieuwe parameters tpm2-measure-bank en tpm2-measure-pcr zijn toegevoegd aan crypttab.
  • systemd-gpt-auto-generator implementeert het aankoppelen van ESP- en XBOOTLDR-partities in de “noexec,nosuid,nodev”-modi, en voegt ook boekhouding toe voor de rootfstype- en rootflags-parameters die via de kernelopdrachtregel worden doorgegeven.
  • systemd-resolved biedt de mogelijkheid om resolutieparameters te configureren door de opties naamserver, domein, network.dns en network.search_domains op te geven op de kernelopdrachtregel.
  • De opdracht “systemd-analyze plot” heeft nu de mogelijkheid om in JSON-indeling uit te voeren bij het opgeven van de vlag “-json”. Nieuwe opties "--table" en "-no-legend" zijn ook toegevoegd aan de controle-uitvoer.
  • In 2023 zijn we van plan de ondersteuning voor cgroups v1 en gesplitste maphiërarchieën te beëindigen (waarbij /usr afzonderlijk van de root wordt aangekoppeld, of /bin en /usr/bin, /lib en /usr/lib gescheiden zijn).

Bron: opennet.ru

Voeg een reactie