ProHoster > Log > Internett-nyheter > systemd system manager utgivelse 250

systemd system manager utgivelse 250

Etter fem måneders utvikling ble utgivelsen av systemansvarlig systemd 250 presentert. Den nye utgivelsen introduserte muligheten til å lagre legitimasjon i kryptert form, implementerte verifisering av automatisk oppdagede GPT-partisjoner ved hjelp av en digital signatur, forbedret informasjon om årsakene til forsinkelser når starttjenester, og lagt til alternativer for å begrense tjenestetilgang til visse filsystemer og nettverksgrensesnitt, støtte for partisjonsintegritetsovervåking ved bruk av dm-integrity-modulen er gitt, og støtte for sd-boot auto-update er lagt til.

Hovedendringer:

  • Lagt til støtte for kryptert og autentisert legitimasjon, noe som kan være nyttig for sikker lagring av sensitivt materiale som SSL-nøkler og tilgangspassord. Dekryptering av legitimasjon utføres kun når det er nødvendig og i forbindelse med lokal installasjon eller utstyr. Data krypteres automatisk ved hjelp av symmetriske krypteringsalgoritmer, nøkkelen for disse kan være plassert i filsystemet, i TPM2-brikken eller ved hjelp av et kombinasjonsskjema. Når tjenesten starter, dekrypteres legitimasjonen automatisk og blir tilgjengelig for tjenesten i normal form. For å jobbe med kryptert påloggingsinformasjon er 'systemd-creds'-verktøyet lagt til, og innstillingene LoadCredentialEncrypted og SetCredentialEncrypted er foreslått for tjenester.
  • sd-stub, den kjørbare EFI-filen som lar EFI-fastvaren laste inn Linux-kjernen, støtter nå oppstart av kjernen ved å bruke LINUX_EFI_INITRD_MEDIA_GUID EFI-protokollen. Også lagt til sd-stub er muligheten til å pakke legitimasjon og sysext-filer inn i et cpio-arkiv og overføre dette arkivet til kjernen sammen med initrd (ytterligere filer er plassert i /.extra/-katalogen). Denne funksjonen lar deg bruke et verifiserbart uforanderlig initrd-miljø, supplert med sysexts og krypterte autentiseringsdata.
  • Discoverable Partitions-spesifikasjonen har blitt betydelig utvidet, og gir verktøy for å identifisere, montere og aktivere systempartisjoner ved hjelp av GPT (GUID Partition Tables). Sammenlignet med tidligere utgivelser støtter spesifikasjonen nå rotpartisjonen og /usr-partisjonen for de fleste arkitekturer, inkludert plattformer som ikke bruker UEFI.

    Discoverable Partitions legger også til støtte for partisjoner hvis integritet er verifisert av dm-verity-modulen ved å bruke PKCS#7 digitale signaturer, noe som gjør det enklere å lage fullstendig autentiserte diskbilder. Verifikasjonsstøtte er integrert i forskjellige verktøy som manipulerer diskbilder, inkludert systemd-nspawn, systemd-sysext, systemd-dissect, RootImage-tjenester, systemd-tmp-filer og systemd-sysusers.

  • For enheter som bruker lang tid på å starte eller stoppe, i tillegg til å vise en animert fremdriftslinje, er det mulig å vise statusinformasjon som lar deg forstå nøyaktig hva som skjer med tjenesten for øyeblikket og hvilken tjeneste systemansvarlig er venter nå på å fullføre.
  • La til DefaultOOMScoreAdjust-parameteren til /etc/systemd/system.conf og /etc/systemd/user.conf, som lar deg justere OOM-killer-terskelen for lite minne, gjeldende for prosesser som systemd starter for systemet og brukerne. Som standard er vekten av systemtjenester høyere enn for brukertjenester, dvs. Når det ikke er nok minne, er sannsynligheten for oppsigelse av brukertjenester høyere enn for systemtjenester.
  • Lagt til RestrictFileSystems-innstillingen, som lar deg begrense tjenesters tilgang til visse typer filsystemer. For å se de tilgjengelige filsystemtypene kan du bruke kommandoen "systemd-analyze filesystems". I analogi er alternativet RestrictNetworkInterfaces implementert, som lar deg begrense tilgangen til visse nettverksgrensesnitt. Implementeringen er basert på BPF LSM-modulen, som begrenser tilgangen til en gruppe prosesser til kjerneobjekter.
  • Lagt til en ny /etc/integritytab-konfigurasjonsfil og systemd-integritysetup-verktøy som konfigurerer dm-integrity-modulen til å kontrollere dataintegritet på sektornivå, for eksempel for å garantere uforanderligheten til krypterte data (Authenticated Encryption, sikrer at en datablokk har ikke blitt endret i en rundkjøring). Formatet til filen /etc/integritytab ligner på filene /etc/crypttab og /etc/veritytab, bortsett fra at dm-integrity brukes i stedet for dm-crypt og dm-verity.
  • En ny enhetsfil systemd-boot-update.service er lagt til, når den er aktivert og sd-boot bootloader er installert, vil systemd automatisk oppdatere versjonen av sd-boot bootloader, og holde bootloader-koden alltid oppdatert. Selve sd-boot er nå bygget som standard med støtte for SBAT (UEFI Secure Boot Advanced Targeting)-mekanismen, som løser problemer med tilbakekalling av sertifikater for UEFI Secure Boot. I tillegg gir sd-boot muligheten til å analysere Microsoft Windows-oppstartsinnstillinger for å generere navnene på oppstartspartisjoner med Windows og vise Windows-versjonen.

    sd-boot gir også muligheten til å definere et fargeskjema på byggetidspunktet. Under oppstartsprosessen, lagt til støtte for å endre skjermoppløsningen ved å trykke på "r"-tasten. Lagt til hurtigtast "f" for å gå til fastvarekonfigurasjonsgrensesnittet. Lagt til en modus for automatisk å starte systemet som tilsvarer menyelementet som ble valgt under siste oppstart. Lagt til muligheten til å automatisk laste inn EFI-drivere som ligger i /EFI/systemd/drivers/-katalogen i ESP-delen (EFI System Partition).

  • En ny enhetsfil factory-reset.target er inkludert, som behandles i systemd-login på lignende måte som reboot, poweroff, suspend og hibernate operasjoner, og brukes til å lage behandlere for å utføre en fabrikktilbakestilling.
  • Den systemd-løste prosessen oppretter nå en ekstra lyttesocket på 127.0.0.54 i tillegg til 127.0.0.53. Forespørsler som kommer til 127.0.0.54 blir alltid omdirigert til en oppstrøms DNS-server og behandles ikke lokalt.
  • Gir muligheten til å bygge systemd-import og systemd-resolved med OpenSSL-biblioteket i stedet for libgcrypt.
  • Lagt til innledende støtte for LoongArch-arkitekturen brukt i Loongson-prosessorer.
  • systemd-gpt-auto-generator gir muligheten til å automatisk konfigurere systemdefinerte byttepartisjoner kryptert av LUKS2-undersystemet.
  • GPT-bildeparsingskoden som brukes i systemd-nspawn, systemd-dissect og lignende verktøy implementerer muligheten til å dekode bilder for andre arkitekturer, slik at systemd-nspawn kan brukes til å kjøre bilder på emulatorer av andre arkitekturer.
  • Når du inspiserer diskbilder, viser systemd-dissect nå informasjon om formålet med partisjonen, for eksempel egnethet for oppstart via UEFI eller kjøring i en container.
  • "SYSEXT_SCOPE"-feltet er lagt til system-extension.d/-filene, slik at du kan angi omfanget av systembildet - "initrd", "system" eller "portable".
  • Et "PORTABLE_PREFIXES"-felt er lagt til os-release-filen, som kan brukes i bærbare bilder for å finne støttede enhetsfilprefikser.
  • systemd-logind introduserer nye innstillinger HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress og HandleHibernateKeyLongPress, som kan brukes til å finne ut hva som skjer når enkelte taster holdes nede i mer enn 5 sekunder (for eksempel kan du konfigurere Suspend-tasten for å gå raskt i standby-modus , og når den holdes nede, vil den gå i dvale).
  • For enheter implementeres StartupAllowedCPUs og StartupAllowedMemoryNodes-innstillingene, som skiller seg fra lignende innstillinger uten Startup-prefikset ved at de bare brukes ved oppstarts- og avslutningsstadiet, noe som lar deg angi andre ressursbegrensninger under oppstart.
  • Lagt til [Betingelse|Bekrefte][Minne|CPU|IO]Trykkkontroller som gjør at enhetsaktivering kan hoppes over eller mislykkes hvis PSI-mekanismen oppdager en stor belastning på minne, CPU og I/O i systemet.
  • Standard maksimal inodegrense er økt for /dev-partisjonen fra 64k til 1M, og for /tmp-partisjonen fra 400k til 1M.
  • En ExecSearchPath-innstilling er foreslått for tjenester, som gjør det mulig å endre banen for å søke etter kjørbare filer som er lansert gjennom innstillinger som ExecStart.
  • Lagt til RuntimeRandomizedExtraSec-innstillingen, som lar deg introdusere tilfeldige avvik i RuntimeMaxSec-tidsavbruddet, som begrenser utførelsestiden til en enhet.
  • Syntaksen til RuntimeDirectory, StateDirectory, CacheDirectory og LogsDirectory-innstillingene har blitt utvidet, der ved å spesifisere en tilleggsverdi atskilt med et kolon, kan du nå organisere opprettelsen av en symbolsk lenke til en gitt katalog for å organisere tilgang langs flere baner.
  • For tjenester tilbys TTYRows og TTYColumns-innstillinger for å angi antall rader og kolonner i TTY-enheten.
  • Lagt til ExitType-innstillingen, som lar deg endre logikken for å bestemme slutten av en tjeneste. Som standard overvåker systemd bare døden til hovedprosessen, men hvis ExitType=cgroup er satt, vil systemadministratoren vente på at den siste prosessen i cgroup skal fullføres.
  • systemd-cryptsetups implementering av TPM2/FIDO2/PKCS11-støtte er nå også bygget som en cryptsetup-plugin, slik at den vanlige cryptsetup-kommandoen kan brukes til å låse opp en kryptert partisjon.
  • TPM2-behandleren i systemd-cryptsetup/systemd-cryptsetup legger til støtte for RSA-primærnøkler i tillegg til ECC-nøkler for å forbedre kompatibiliteten med ikke-ECC-brikker.
  • Alternativet for token-timeout er lagt til /etc/crypttab, som lar deg definere maksimal tid for å vente på en PKCS#11/FIDO2-tokentilkobling, hvoretter du blir bedt om å angi et passord eller en gjenopprettingsnøkkel.
  • systemd-timesyncd implementerer SaveIntervalSec-innstillingen, som lar deg periodisk lagre gjeldende systemtid til disk, for eksempel for å implementere en monoton klokke på systemer uten RTC.
  • Alternativer er lagt til systemd-analyze-verktøyet: "--image" og "--root" for å sjekke enhetsfiler i et gitt bilde eller rotkatalog, "--rekursive-feil" for å ta hensyn til avhengige enheter ved feil er oppdaget, «--offline» for å sjekke separat enhetsfiler lagret på disk, «—json» for utdata i JSON-format, «—quiet» for å deaktivere uviktige meldinger, «—profile» for å binde til en bærbar profil. Også lagt til er inspect-elf-kommandoen for å analysere kjernefiler i ELF-format og muligheten til å sjekke enhetsfiler med et gitt enhetsnavn, uavhengig av om dette navnet samsvarer med filnavnet.
  • systemd-networkd har utvidet støtte for CAN-bussen (Controller Area Network). Lagt til innstillinger for å kontrollere CAN-moduser: Loopback, OneShot, PresumeAck og ClassicDataLengthCode. Lagt til TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 og DataSyncJumpWidth til alternativene for [CAN]-grensesnitt til [CAN]-seksjonen for synkronisering av filer.
  • Systemd-networkd har lagt til et Label-alternativ for DHCPv4-klienten, som lar deg konfigurere adresseetiketten som brukes når du konfigurerer IPv4-adresser.
  • systemd-udevd for "ethtool" implementerer støtte for spesielle "maks"-verdier som setter bufferstørrelsen til den maksimale verdien som støttes av maskinvaren.
  • I .link-filer for systemd-udevd kan du nå konfigurere ulike parametere for å kombinere nettverkskort og koble til maskinvarehandlere (offload).
  • systemd-networkd tilbyr nye .network-filer som standard: 80-container-vb.network for å definere nettverksbroer opprettet når du kjører systemd-nspawn med alternativene “--network-bridge” eller “--network-zone”; 80-6rd-tunnel.network for å definere tunneler som opprettes automatisk når du mottar et DHCP-svar med 6RD-alternativet.
  • Systemd-networkd og systemd-udevd har lagt til støtte for IP-videresending over InfiniBand-grensesnitt, hvor "[IPoIB]"-delen er lagt til systemd.netdev-filene, og behandling av "ipoib"-verdien er implementert i Kind innstilling.
  • systemd-networkd gir automatisk rutekonfigurasjon for adresser spesifisert i AllowedIPs-parameteren, som kan konfigureres gjennom RouteTable- og RouteMetric-parameterne i [WireGuard]- og [WireGuardPeer]-seksjonene.
  • systemd-networkd gir automatisk generering av ikke-endrende MAC-adresser for batadv- og brogrensesnittene. For å deaktivere denne virkemåten kan du angi MACAddress=none i .netdev-filer.
  • En WakeOnLanPassword-innstilling er lagt til .link-filer i «[Link]»-delen for å bestemme passordet når WoL kjører i «SecureOn»-modus.
  • Lagt til AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO og UseRawPacketSize-innstillingene til «[CAKE]»-delen av .network-filer for å definere parameterne til CAKE (Common Applications Network Kept Enhanced) .
  • La til en IgnoreCarrierLoss-innstilling i «[Nettverk]»-delen av .network-filer, slik at du kan bestemme hvor lenge du skal vente før du reagerer på tap av operatørsignal.
  • Systemd-nspawn, homectl, machinectl og systemd-run har utvidet syntaksen til parameteren "--setenv" - hvis bare variabelnavnet er spesifisert (uten "="), vil verdien bli hentet fra den tilsvarende miljøvariabelen (for For eksempel, når du spesifiserer "--setenv=FOO" vil verdien bli hentet fra $FOO miljøvariabelen og brukt i miljøvariabelen med samme navn satt i containeren).
  • systemd-nspawn har lagt til et "--suppress-sync"-alternativ for å deaktivere sync()/fsync()/fdatasync()-systemanrop når du oppretter en container (nyttig når hastighet er en prioritet og bevare byggeartefakter i tilfelle feil ikke er viktig, siden de kan gjenskapes når som helst).
  • En ny hwdb-database er lagt til, som inkluderer ulike typer signalanalysatorer (multimetre, protokollanalysatorer, oscilloskop, etc.). Informasjon om kameraer i hwdb er utvidet med et felt med informasjon om type kamera (vanlig eller infrarød) og objektivplassering (foran eller bak).
  • Aktivert generering av ikke-endrende nettverksgrensesnittnavn for nettfrontenheter brukt i Xen.
  • Analysen av kjernefiler av systemd-coredump-verktøyet basert på libdw/libelf-bibliotekene utføres nå i en separat prosess, isolert i et sandkassemiljø.
  • systemd-importd har lagt til støtte for miljøvariablene $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, som du kan deaktivere generering av Btrfs-underpartisjoner med, samt konfigurere kvoter og disksynkronisering.
  • I systemd-journald, på filsystemer som støtter kopier-på-skriv-modus, er COW-modus reaktivert for arkiverte journaler, slik at de kan komprimeres ved hjelp av Btrfs.
  • systemd-journald implementerer deduplisering av identiske felt i en enkelt melding, som utføres på stadiet før meldingen plasseres i journalen.
  • Lagt til "--show"-alternativet til avslutningskommando for å vise planlagt avslutning.

Kilde: opennet.ru

Legg til en kommentar