ProHoster > Blogg > Internett-nyheter > systemd system manager utgivelse 257

systemd system manager utgivelse 257

Etter seks måneders utvikling presenteres utgivelsen av systembehandleren systemd 257. Viktige endringer: nye verktøy systemd-sbsign og systemd-keyutil, støtte for MPTCP når den aktiveres via socket, initial støtte for bygging med Musl C-biblioteket, updatectl-verktøyet for å administrere installasjonen av oppdateringer via systemd-sysupdate, muligheten til å kjøre tjenester i separate PID-navnerom, beskyttelse mot utilsiktet filsletting ved bruk av "systemd-tmpfiles --purge".

Blant endringene i den nye utgivelsen:

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux og initrd-systemmiljøet lastet inn i minnet.
  • Et nytt verktøy, systemd-keyutil, er lagt til, som implementerer diverse operasjoner på private nøkler og X.509-sertifikater. For eksempel kan systemd-keyutil brukes til å sjekke muligheten til å laste inn private nøkler og sertifikater, samt trekke ut offentlige nøkler fra dem i PEM-format.
  • I ".socket"-enhetene som brukes til å sikre driften av socket-aktiveringsmekanismen (starte prosesser når man prøver å opprette en nettverkstilkobling), er det implementert støtte for MPTCP (Multipath TCP), en utvidelse av TCP-protokollen for å organisere driften av en TCP-tilkobling med levering av pakker samtidig langs flere ruter gjennom forskjellige nettverksgrensesnitt bundet til forskjellige. IP-adresser.
  • Pakken inneholder endringer som kreves for bygging med standard Musl C-biblioteket.
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • Funksjonene til systemd-sysupdate-komponenten, som brukes til å automatisk oppdage, laste ned og installere oppdateringer ved hjelp av en atomær mekanisme for å erstatte partisjoner, filer eller kataloger (to uavhengige partisjoner/filer/kataloger brukes, hvorav den ene inneholder den gjeldende arbeidsressursen, og den andre er der den neste oppdateringen installeres, hvoretter partisjonene/filene/katalogene byttes). I praksis brukes systemd-sysupdate allerede i GNOME OS.

    I tillegg til systemd-sysupdate-prosessen er det lagt til en tjeneste med samme navn, som tillater bruk av D-Bus til å administrere systemoppdateringer av en ikke-privilegert bruker. Et nytt verktøy, updatectl, er også inkludert for å administrere tjenesten. Flagget "--offline" er lagt til i systemd-sysupdate for å forhindre nedlasting av metadata over nettverket og kun bruke versjoner som allerede er lastet ned til det lokale systemet. Støtte for utdata i JSON-format er lagt til for alle kommandoer.

  • En ny egenskap, «PrivatePIDs», er implementert for tjenester, som kan brukes til å organisere oppstart av prosesser med PID 1 (init-prosess) i et separat prosessidentifikatorområde (PID-navneområde). I miljøet som er opprettet for den oppstartede prosessen, vil bare prosesser fra navneområdet som er opprettet for den være synlige.
  • Støtte for samsvar uten hensyn til store og små bokstaver er lagt til i udev-regler (f.eks. 'ATTR{foo}==i»abcd»'). Udev tillater nå uprivilegerte lokale brukere å få tilgang til /dev/udmabuf-enheten ("uaccess"), som er nødvendig for å jobbe med IPMI-kameraer via libcamera. udev gjenkjenner nå forskjellige USB-maskinvarekryptolommebøker og setter ID_HARDWARE_WALLET-egenskapen for dem, slik at de kan settes til "uaccess" for uprivilegerte brukere.
  • Nye felt RELEASE_TYPE, EXPERIMENT og EXPERIMENT_URL er lagt til i /etc/os-release-filen. «RELEASE_TYPE» kan være «experimental», «development», «stable» og «lts» for å skille stabile versjoner fra utviklings- og eksperimentelle versjoner. Parameterne EXPERIMENT og EXPERIMENT_URL er ment å tydeliggjøre den eksperimentelle versjonens natur.
  • Verktøyet run0, utviklet som en erstatning for sudo-programmet, har blitt oppdatert med alternativet "--shell-prompt-prefix", som spesifiserer prefiksstrengen for kommandoshell-ledeteksten. Som standard er prefikset emojien "🦸" for å visuelt fremheve en økt med forhøyede rettigheter.
  • I systemd-tmpfiles gjelder nå alternativet «--purge» bare for innstillinger i tmpfiles.d/ som har «$»-flagget eksplisitt angitt, for å unngå å slette feil filer ved et uhell. Operasjonen «--purge» krever nå også at minst én fil fra tmpfiles.d/-katalogen spesifiseres. Et «?»-flagg er lagt til for linjer av typen «L», som bare vil opprette en symbolsk lenke hvis målfilen finnes.
  • Tjenestebehandleren og relaterte verktøy har fortsatt å migrere prosesssporingskoden til å bruke PIDFD i stedet for PID. En PIDFD er knyttet til en spesifikk prosess og endres ikke, mens en PID kan tilordnes til en annen prosess etter at den gjeldende prosessen som er knyttet til den PID-en, er avsluttet.
  • For tjenester er muligheten til å spesifisere verdien «debug» i parameteren «RestartMode» implementert. I så fall vil omstart av en mislykket tjeneste bli utført med feilsøkingsmodus aktivert (miljøvariabelen DEBUG_INVOCATION=1 er satt), og LogLevelMax-verdien vil midlertidig økes til feilsøkingsnivået.
  • PID 1-håndtereren implementerer muligheten til å laste inn regler for IPE (Integrity Policy Enforcement) LSM-modulen, som definerer integritetspolicyen for hele systemet (hvilke operasjoner som er tillatt og hvordan ektheten til komponenter skal verifiseres).
  • Alternativet «DeferReactivation» er lagt til i enhetsfilene «.timer», slik at du kan hoppe over neste timeraktivering hvis tjenesten ikke har fullført kjøringen siden siste aktivering.
  • Parameteren PrivateUsers-enhetsfilen lar deg nå angi en «identitetsverdi» for å aktivere bruker-ID-tilordning når du oppretter et brukernavneområde.
  • La til støtte for verdien «frakoblet» i enhetsfilparameteren PrivateTmp, som vil føre til at separate tmpfs-forekomster brukes for katalogene /tmp/ og /var/tmp/.
  • Enhetsfilparameteren ProtectControlGroups støtter nå de nye modusene «private» og «strict», som når de er satt, oppretter et nytt cgroup-navneområde for tjenesten og monterer cgroupfs. Når alternativet «strict» er satt, monteres cgroupfs i skrivebeskyttet modus.
  • Parametrene StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory og ConfigurationDirectory tillater nå bruk av ':ro'-flagget for å begrense tilgangen til de tilsvarende mappene til skrivebeskyttet modus.
  • La til støtte for en "firmware"-verdi til kjernekommandolinjeparameteren "systemd.machine_id", som vil føre til at maskin-ID-en beregnes basert på UUID fra SMBIOS/DeviceTree.
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • Verktøyene resolvectl, timedatectl og systemd-inhibit har blitt oppdatert for å støtte interaktiv autorisasjon ved bruk av Polkit.
  • Systemctl-verktøyet er oppdatert for å støtte flagget "--now" i kommandoen "reenable".
  • Systemd-mount-verktøyet har et "--json"-alternativ for utdata i JSON-format (for eksempel, når det spesifiseres sammen med "--list-devices", vil en liste over enheter bli sendt ut i JSON-format).
  • Verktøyet «localectl» har blitt oppdatert med alternativene «-l» og «--full» for å deaktivere avkorting av lange linjer i utdata.
  • HibernateOnACPower-alternativet er lagt til i sleep.conf, slik at du kan utsette bytte til hvilemodus til enheten er koblet fra den stasjonære strømkilden.
  • I systemd-sysusers støtter nå «u»-strengene «!»-modifikatoren, som kan brukes til å opprette fullstendig låste brukerkontoer (tidligere ble et feil passord brukt til å låse en bruker, noe som for eksempel ikke resulterte i en lås ved autentisering med nøkler i SSH).
  • Alternativet «EnterNamespace» er lagt til i systemd-coredump, som gir tilgang til monteringspunktområdet til eventuelle unormalt avsluttede prosesser for å hente feilsøkingssymbolene deres. I praksis kan dette alternativet være nyttig for å organisere en tilbakesporing av kjernefiler fra applikasjoner som kjører i isolerte containere.
  • I systemd-logind behandles nå kombinasjonen Ctrl-Alt-Shift-Esc for å sende org.freedesktop.login1.SecureAttentionKey-signalet til brukermiljøkomponenter med en forespørsel om å vise dialogboksen for sikker pålogging. Innstillingen «DesignatedMaintenanceTime» er implementert for automatisk å planlegge nedstengning på et bestemt tidspunkt. I analogi med støtte for DRM- og evdev-enheter er det lagt til støtte for å konfigurere tilgang for ikke-privilegerte brukere til hidraw-enheter (spillkontrollere og joysticks).
  • systemd-machined støtter nå uprivilegerte klientpålogginger. virtuelle maskiner og containere. Tilgang til systemd-maskinert funksjonalitet gis via Varlink API, i tillegg til D-Bus.
  • En ny seksjon «[IPv6AddressLabel]» er lagt til i networkd.conf-konfigurasjonsfilen for å konfigurere etiketter og prefikser for IPv6-adresser.
  • Kommandoen «networkctl edit» har nå alternativet «--stdin» for å hente filinnhold fra standardstrømmen. Kommandoene «networkctl edit» og «networkctl cat» støtter nå redigering og visning av .netdev-filer ved å spesifisere et nettverksgrensesnitt. Alternativet «--no-ask-password» er lagt til for å deaktivere interaktiv autentisering.
  • Verktøyene ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart og systemd-sbsign har nå et "--certificate-source"-alternativ for å laste inn et X.509-sertifikat via OpenSSL-leverandøren i stedet for å laste det direkte fra en fil.
  • systemd-boot støtter nå bruk av volumtastene for å navigere opp og ned i oppstartsmenyen, noe som kan være nyttig på enheter som smarttelefoner. Bootctl-verktøyet støtter nå installasjon av UEFI Secure Boot-databasen i ESL-format (db/dbx/…) for systemd-boot.
  • La til alternativet "--list-invocation" i journalctl for å vise en liste over enhetskallinger og alternativet "--invocation" ("-I") for å vise logger relatert til kun et spesifikt kall.
  • systemd-nspawn støtter nå uprivilegert bruk av FUSE (Filesystem in Userspace) i containere. Bruk av alternativet "--bind-user" sikrer at brukerens SSH-nøkler, som kreves for SSH-tilgang, videresendes til containeren.
  • libsystemd har et nytt API «sd-json» som bruker JSON-formatet, og et API «sd-varlink» som bruker Varlink IPC.
  • Den anbefalte basiskjernen har blitt hevet til utgivelse 5.4, som ble utgitt i 2019. Neste år er det planlagt å fjerne støtte for eldre kjerner, og utgivelse 5.4 vil være den minimumsstøttede basisversjonen.
  • Støtte for cgroups v1 er avskrevet og er deaktivert som standard (for å aktivere, spesifiser SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 på kjernekommandolinjen i tillegg til å aktivere det i systemd-innstillingene). Den neste utgivelsen av systemd 258 er planlagt å fjerne kode relatert til cgroups v1 fullstendig. systemd 258 er også planlagt å fjerne støtte for System V-tjenesteskript.

Kilde: opennet.ru

Kjøp pålitelig hosting for nettsteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Kjøp pålitelig webhotell med DDoS-beskyttelse, VPS VDS-servere | ProHoster