Etter tre måneder med utvikling systemansvarlig utgivelse . I den nye utgivelsen er nye komponenter systemd-homed og systemd-repart lagt til, støtte for bærbare brukerprofiler i JSON-format er inkludert, muligheten til å definere navneområder i systemd-journald er gitt, og støtte for "pidfd"-mekanismen er lagt til . Helt redesignet , som samler det meste av tilgjengelig dokumentasjon og foreslår en ny logo.
Den viktigste :
- Lagt til tjeneste , som gir administrasjon av bærbare hjemmekataloger, levert i form av en montert bildefil, hvor dataene er kryptert. Systemd-homed lar deg lage selvstendige miljøer for brukerdata som kan overføres mellom forskjellige systemer uten å bekymre deg for identifikatorsynkronisering og konfidensialitet. Brukerlegitimasjon er knyttet til hjemmekatalogen i stedet for systeminnstillinger - en profil i formatet brukes i stedet for /etc/passwd, /etc/group og /etc/shadow . For flere detaljer, se systemd-homed.
- Lagt til systemd-hjemmebasert ledsagerkomponent "" ("systemd-userdb"), som oversetter UNIX/glibc NSS-kontoer til JSON-poster og gir en enhetlig Varlink API for spørring og iterering over poster. JSON-profilen knyttet til hjemmekatalogen spesifiserer parameterne som kreves for brukerens arbeid, inkludert brukernavn, passordhash, krypteringsnøkler, kvoter og klargjorte ressurser. Profilen kan sertifiseres med en digital signatur lagret på et eksternt Yubikey-token. For å administrere profiler er verktøyet "userdbctl" foreslått. Støtte for JSON-profiler er lagt til ulike systemd-komponenter, inkludert systemd-logind og pam-systemd, slik at brukere av bærbare kataloger kan autentisere, logge på, angi miljøvariabler, opprette en økt, sette grenser, etc. I fremtiden forventes det at sssd-rammeverket vil kunne generere JSON-profiler med brukerinnstillinger lagret i LDAP.
- Et nytt verktøy "systemd-repart" er lagt til, designet for å ompartisjonere diskpartisjonstabeller i GPT-format. Partisjonsstrukturen er definert i deklarativ form gjennom filer som beskriver hvilke partisjoner som bør eller kan eksistere. Ved hver oppstart sammenlignes den faktiske partisjonstabellen med disse filene, hvoretter de manglende partisjonene legges til, eller hvis den relative eller absolutte størrelsen som er definert i innstillingene ikke stemmer overens, økes størrelsen på de eksisterende. Kun inkrementelle endringer er tillatt, dvs. å slette og redusere størrelsen er ikke mulig, partisjoner kan bare legges til og forstørres.
Verktøyet er designet for å bli lansert fra initrd og oppdager automatisk disken som rotpartisjonen er plassert på, som ikke krever ytterligere konfigurasjon, bortsett fra filer med definisjonen av endringer.I praksis kan systemd-repart være nyttig for operativsystembilder som i utgangspunktet kan sendes i minimal form, og etter den første oppstarten kan utvides til størrelsen på den eksisterende blokkenheten eller suppleres med ekstra partisjoner (for eksempel roten partisjon kan utvides til å dekke hele disken eller etter første oppstart opprette en swap-partisjon eller /home). En annen bruk ville være konfigurasjoner med to roterende partisjoner - bare den første partisjonen kan leveres innledningsvis, og den andre vil bli opprettet ved første oppstart.
- Det er nå mulig å starte flere forekomster av systemd-journald, som hver holder logger i sitt eget navneområde. I tillegg til hovedsystemd-journald.service, tilbyr .service-katalogen en mal for å lage flere forekomster bundet til deres navneområder ved å bruke "LogNamespace"-direktivet. Hvert loggnavneområde betjenes av en egen bakgrunnsprosess med sitt eget sett med innstillinger og begrensninger. Den foreslåtte funksjonen kan være nyttig for lastbalansering med et stort volum av logger eller for å forbedre applikasjonsisolasjon. Lagt til "--namespace"-alternativet til journalctl for å begrense spørringen til kun det angitte navneområdet.
- Systemd-udevd og andre systemd komponenter har lagt til støtte for en mekanisme for å tilordne alternative navn til nettverksgrensesnitt, slik at flere navn kan brukes samtidig for ett grensesnitt. Navnet kan være på opptil 128 tegn (tidligere var nettverksgrensesnittnavnet begrenset til 16 tegn). Som standard tildeler systemd-udevd nå hvert nettverksgrensesnitt alle variantnavn generert av støttede navneskjemaer. Denne virkemåten kan endres gjennom de nye AlternativeName- og AlternativeNamesPolicy-innstillingene i .link-filer. systemd-nspawn implementerer genereringen av alternative navn med det fullstendige beholdernavnet for veth-lenker opprettet på vertssiden.
- sd-event.h API legger til støtte for Linux-kjerneundersystemet "pidfd" for å håndtere situasjonen med PID-gjenbruk (pidfd er assosiert med en spesifikk prosess og endres ikke, mens en PID kan assosieres med en annen prosess etter den gjeldende prosessen knyttet til det, avslutter denne PID). Alle systemkomponenter unntatt PID 1 har blitt konvertert til å bruke pidfds hvis undersystemet støttes av gjeldende kjerne.
- systemd-logind gir tilgangssjekker for den virtuelle terminalendringen via PolicyKit. Som standard gis tillatelser til å endre den aktive terminalen kun til brukere som har startet en økt på den lokale virtuelle terminalen minst én gang.
- For å gjøre det enklere å lage initrd-bilder med systemd, oppdager PID 1-behandleren nå om initrd-en brukes og laster i dette tilfellet automatisk initrd.target i stedet for default.target. Med denne tilnærmingen kan initrd- og hovedsystembildene være forskjellige bare i nærvær av filen /etc/initrd-release.
- Lagt til en ny kjernekommandolinjeparameter - "systemd.cpu_affinity", tilsvarende CPUAffinity-alternativet i /etc/systemd/system.conf og lar deg konfigurere CPU-affinitetsmasken for PID 1 og andre prosesser.
- Aktiverte omlasting av SELinux-database sammen med omstart av PID 1 via kommandoer som "systemctl daemon-reload".
- "systemd.show-status=error"-innstillingen er lagt til PID 1-behandleren, når den er satt, vises kun feilmeldinger og betydelige forsinkelser under lasting på konsollen.
- systemd-sysusers la til støtte for å opprette brukere med et primærgruppenavn som er forskjellig fra brukernavnet.
- systemd-growfs introduserer støtte for XFS-partisjonsutvidelse via x-systemd.growfs-monteringsalternativet i /etc/fstab, i tillegg til tidligere støttet partisjonsutvidelse med Ext4 og Btrfs.
- Lagt til alternativet x-initrd.attach til /etc/crypttab for å definere en kryptert partisjon som allerede er låst opp på initrd-stadiet.
- systemd-cryptsetup har lagt til støtte (alternativ pkcs11-uri i /etc/crypttab) for å låse opp krypterte partisjoner ved å bruke PKCS#11 smartkort, for eksempel for å feste partisjonskryptering til YubiKeys.
- Nye monteringsalternativer "x-systemd.required-by" og "x-systemd.wanted-by" har blitt lagt til /etc/fstab for å eksplisitt konfigurere enheter som definerer monteringsoperasjoner som skal kalles i stedet for local-fs.target og remote -fs .mål.
- En ny tjenestesandboxing-alternativ er lagt til - ProtectClock, som begrenser skriving til systemklokken (tilgang er blokkert på nivået /dev/rtc, systemanrop og CAP_SYS_TIME/CAP_WAKE_ALARM-tillatelser).
- Til spesifikasjon og systemd-gpt-auto-generator har lagt til partisjonsdeteksjon
/var og /var/tmp. - I "systemctl list-unit-files", når du viser en liste over enheter, har en ny kolonne dukket opp som gjenspeiler aktiveringstilstanden som tilbys i produsentens forhåndsinnstillinger for denne typen enhet.
- Et alternativ "—med avhengigheter" er lagt til "systemctl", når installert, vil kommandoer som "systemctl status" og "systemctl cat" vise ikke bare alle tilsvarende enheter, men også enhetene de er avhengige av.
- I systemd-networkd har qdisc-konfigurasjonen lagt til muligheten til å konfigurere TBF (Token Bucket Filter), SFQ (Stochastic Fairness Queuing), CoDel (Controlled-Delay Active Queue Management) og FQ (Fair Queue) parametere.
- systemd-networkd la til støtte for IFB-nettverksenheter ().
- Systemd-networkd implementerer MultiPathRoute-parameteren i [Rute]-delen for å konfigurere flerveisruter.
- I systemd-networkd for DHCPv4-klienten er alternativet SendDecline lagt til, når det er spesifisert, etter å ha mottatt et DHCP-svar med en adresse, utføres en duplikatadressesjekk og hvis en adressekonflikt oppdages, avvises den utstedte adressen. Alternativet RouteMTUBytes er også lagt til DHCPv4-klienten, slik at du kan bestemme MTU-størrelsen for ruter generert fra IP-adressebindinger (leasing).
- PrefixRoute-innstillingen i [Adresse]-delen av .network-filer er avviklet. Den ble erstattet av "AddPrefixRoute"-innstillingen, som har motsatt betydning.
- I .network-filer har støtte for den nye verdien "_dhcp" blitt lagt til Gateway-innstillingen i delen "[Rute]", når den er angitt, velges en statisk rute basert på gatewayen som er konfigurert via DHCP.
- Innstillinger har dukket opp i .network-filene i delen "[RoutingPolicyRule]".
User og SuppressPrefixLength for å spesifisere kilderuting basert på UID-områder og prefiksstørrelse. - I networkctl gir "status"-kommandoen muligheten til å vise logger i forhold til hvert nettverksgrensesnitt.
- systemd-networkd-wait-online legger til støtte for å angi maksimal tid for å vente på et grensesnitt for å bli operativt og for å vente på et grensesnitt for å gå ned.
- Sluttet å behandle .link- og .network-filer med en tom eller kommentert «[Match]»-del.
- I .link- og .network-filene, i «[Match]»-delen, er en «PermanentMACAddress»-innstilling lagt til for å kontrollere den permanente MAC-adressen til enheter i tilfelle bruk av en generert tilfeldig MAC.
- "[TrafficControlQueueingDiscipline]"-delen i .network-filer har blitt omdøpt til "[NetworkEmulator]", og "NetworkEmulator"-prefikset er fjernet fra navnene på tilknyttede innstillinger.
- systemd-resolved for DNS-over-TLS legger til støtte for SNI-sjekking.
Kilde: opennet.ru