د سیسټمډ سیسټم مدیر خوشې کول 243

د پنځو میاشتو پراختیا وروسته وړاندې شوی د سیسټم مدیر خوشې کول سیسټمډ 243. د نوښتونو په مینځ کې ، موږ کولی شو په سیسټم کې د ټیټ حافظې لپاره د هینډلر PID 1 کې ادغام یادونه وکړو ، د واحد ترافیک فلټر کولو لپاره ستاسو د BPF برنامو سره ضمیمه کولو ملاتړ ، د سیسټمډ شبکې لپاره ډیری نوي اختیارونه ، د شبکې بینډ ویت نظارت لپاره یو حالت. انٹرفیسونه، د 64-bit سیسټمونو 22-bit PID شمیره د 16-bit پرځای د ډیفالټ فعالول، د یو متحد cgroups درجه بندي ته لیږد، په سیسټمډ-نیټ ورک-جنریټر کې شاملول.

اصلي بدلونونه:

• د حافظې څخه بهر په اړه د کرنل لخوا رامینځته شوي سیګنالونو پیژندنه (د حافظې څخه بهر ، OOM) د PID 1 هینډلر کې اضافه شوي ترڅو واحدونه لیږد کړي چې د حافظې مصرف حد ته رسیدلي ځانګړي حالت ته د اختیاري وړتیا سره د دوی د ختمولو لپاره مجبور کړي. یا ودرول
• د واحد فایلونو لپاره، نوي پیرامیټونه IPIngressFilterPath او
  IPEgressFilterPath، کوم چې تاسو ته اجازه درکوي د BPF پروګرامونه د خپل سري هینډلر سره وصل کړئ ترڅو د دې واحد سره تړلي پروسو لخوا رامینځته شوي راتلونکي او بهر روان IP پاکټونه فلټر کړي. وړاندیز شوي ځانګړتیاوې تاسو ته اجازه درکوي چې د سیسټم شوي خدماتو لپاره یو ډول فایروال جوړ کړئ. د لیکلو مثال د BPF پر بنسټ د شبکې ساده فلټر؛

• د "پاک" کمانډ د سیسټم سیټل یوټیلیټ کې اضافه شوی ترڅو کیچ، د چلولو فایلونه، د وضعیت معلومات او د لاګ لارښودونه حذف کړي؛
• systemd-networkd د MACsec، nlmon، IPVTAP او Xfrm شبکې انٹرفیسونو لپاره ملاتړ زیاتوي؛
• systemd-networkd د ترتیب کولو فایل کې د "[DHCPv4]" او "[DHCPv6]" برخو له لارې د DHCPv4 او DHCPv6 سټیکس جلا ترتیب پلي کوي. د DHCP سرور څخه ترلاسه شوي پیرامیټرو کې مشخص شوي DNS سرور ته جلا لاره اضافه کولو لپاره د RoutesToDNS اختیار اضافه شوی (د دې لپاره چې DNS ته ترافیک د ورته لینک له لارې لیږل کیږي لکه څنګه چې د DHCP څخه ترلاسه شوي اصلي لارې). د DHCPv4 لپاره نوي اختیارونه اضافه شوي: MaxAttempts - د پته ترلاسه کولو لپاره د غوښتنو اعظمي شمیره، تور لیست - د DHCP سرورونو تور لیست، SendRelease - د DHCP ریلیز پیغامونو لیږلو توان لري کله چې غونډه پای ته ورسیږي؛
• نوي کمانډونه د سیسټمډ تحلیل افادیت کې اضافه شوي:
  • "systemd-analyze timestamp" - د وخت تجزیه او تبادله؛
  • "سیسټم-تجزیه وخت وخت" - د وخت سپانز تحلیل او بدلول؛
  • "د سیسټم تحلیل حالت" - د حالتXYZ څرګندونو تحلیل او ازموینه؛
  • "systemd-analyze exit-status" - د وتلو کوډونه له شمېرو څخه نومونو ته پارس کول او بدلول او برعکس؛
  • "systemd-analyze unit-files" - د واحدونو او واحدونو لپاره د فایل ټولې لارې لیستوي.
• اختیارونه SuccessExitStatus، RestartPreventExitStatus او
  RestartForceExitStatus اوس نه یوازې د شمیرو بیرته راستنیدو کوډونو ملاتړ کوي ، بلکه د دوی متن پیژندونکي هم ملاتړ کوي (د مثال په توګه ، "DATAERR"). تاسو کولی شئ د "sytemd-analyze exit-status" کمانډ په کارولو سره پیژندونکو ته د ټاکل شوي کوډونو لیست وګورئ؛

• د "ړنګولو" کمانډ د مجازی شبکې وسیلو حذف کولو لپاره د شبکې سیټل یوټیلیټ کې اضافه شوی ، او همدارنګه د وسیلې احصایې ښودلو لپاره د "—احصایې" اختیار؛
• SpeedMeter او SpeedMeterIntervalSec ترتیبات په networkd.conf کې اضافه شوي ترڅو په دوره توګه د شبکې انٹرفیس له لارې اندازه کړي. د اندازه کولو پایلو څخه ترلاسه شوي احصایې د 'networkctl status' کمانډ په محصول کې لیدل کیدی شي؛
• د فایلونو رامینځته کولو لپاره د سیسټم ډی شبکې جنریټر نوی اضافه شوی
  .network، .netdev او .link د IP ترتیباتو پر بنسټ تېر شوی کله چې د لینکس کرنل کمانډ لاین له لارې د ډراکټ ترتیباتو بڼه کې پیل شي؛

• په 64-bit سیسټمونو کې د sysctl "kernel.pid_max" ارزښت اوس په ډیفالټ 4194304 (د 22-bits پرځای 16-bit PIDs) ته ټاکل شوی ، کوم چې د PIDs ټاکلو پر مهال د ټکر احتمال کموي ، په ورته وخت کې د شمیر محدودیت زیاتوي د پروسې چلول، او په امنیت مثبت اغیزه لري. بدلون په بالقوه توګه د مطابقت مسلو لامل کیدی شي، مګر دا ډول مسلې لا تر اوسه په عمل کې ندي راپور شوي.
• په ډیفالټ ډول، د جوړونې مرحله د متحد درجه بندي cgroups-v2 ("-Ddefault-hierarchy=unified") ته ځي. پخوا، ډیفالټ د هایبرډ حالت و ("-Ddefault-hierarchy=hybrid")؛
• د سیسټم کال فلټر (SystemCallFilter) چلند بدل شوی، کوم چې د منع شوي سیسټم کال په صورت کې، اوس د انفرادي تارونو پر ځای ټوله پروسه پای ته رسوي، ځکه چې د انفرادي تارونو بندول ممکن د اټکل وړ ستونزو لامل شي. بدلونونه یوازې هغه وخت پلي کیږي چې تاسو د لینکس کرنل 4.14+ او libseccomp 2.4.0+ لرئ؛
• غیرمستقیم پروګرامونو ته دا وړتیا ورکول کیږي چې د ICMP اکو (ping) کڅوړې د sysctl "net.ipv4.ping_group_range" په ترتیب کولو سره د ټولو ګروپونو لپاره (د ټولو پروسو لپاره) ولیږدوي؛
• د جوړونې پروسې ګړندۍ کولو لپاره ، د مینو لارښودونو نسل په ډیفالټ بند شوی (د بشپړ اسنادو جوړولو لپاره ، تاسو اړتیا لرئ د html فارمیټ کې لارښودونو لپاره "-Dman=true" یا "-Dhtml=true" اختیار وکاروئ). د دې لپاره چې د اسنادو لیدل اسانه کړي، دوه سکریپټونه پکې شامل دي: build/man/man او build/man/html د ګټو د لارښودونو د تولید او مخکتنې لپاره؛
• د ملي الفبا څخه د حروفونو سره د ډومین نومونو پروسس کولو لپاره، د libidn2 کتابتون د ډیفالټ لخوا کارول کیږي (د libidn بیرته راستنیدو لپاره، د "-Dlibidn=true" اختیار وکاروئ)؛
• د /usr/sbin/halt.local د اجرا وړ فایل لپاره ملاتړ، کوم چې فعالیت یې چمتو کړی و چې په پراخه توګه ویشل شوی نه و، بند شوی. د بندولو په وخت کې د کمانډ لانچ تنظیم کولو لپاره، دا سپارښتنه کیږي چې په /usr/lib/systemd/system-shutdown/ کې سکریپټونه وکاروئ یا یو نوی واحد تعریف کړئ چې په final.target پورې اړه لري؛
• د بندیدو په وروستي مرحله کې، سیسټمډ اوس په اتوماتيک ډول په sysctl "kernel.printk" کې د لاګ کچه لوړوي، کوم چې د لاګ پیښو په ښودلو کې ستونزه حل کوي چې د بند په وروستیو مرحلو کې پیښ شوي، کله چې منظم لاګنګ ډیمونونه لا دمخه بشپړ شوي وي. ;
• په ژورنال او نورو اسانتیاوو کې چې لاګونه ښکاره کوي، اخطارونه په ژیړ رنګ کې روښانه شوي، او د پلټنې ریکارډونه په نیلي کې روښانه شوي ترڅو د خلکو څخه په لید کې روښانه کړي؛
• د $PATH چاپیریال متغیر کې، bin/ ته لاره اوس د sbin/ لارې څخه مخکې راځي، د بیلګې په توګه. که چیرې په دواړو لارښودونو کې د اجرا وړ فایلونو ورته نومونه شتون ولري، د بن/ څخه فایل به اجرا شي؛
• systemd-logind د SetBrightness() زنګ چمتو کوي ترڅو د هرې ناستې په اساس د سکرین چمک په خوندي ډول بدل کړي؛
• د "--wait-for-initialization" بیرغ د "udevadm info" کمانډ کې اضافه شوی ترڅو د وسیلې پیل کیدو ته انتظار وکړي؛
• د سیسټم بوټ په جریان کې، د PID 1 هینډلر اوس د واحدونو نومونه د دوی د توضیحاتو سره د کرښې پر ځای ښکاره کوي. پخوانی چلند ته د بیرته راستنیدو لپاره، تاسو کولی شئ د StatusUnitFormat اختیار په /etc/systemd/system.conf یا systemd.status_unit_format kernel انتخاب کې وکاروئ؛
• د څارنې PID 1 لپاره /etc/systemd/system.conf ته د KExecWatchdogSec اختیار اضافه شوی، کوم چې د kexec په کارولو سره د بیا پیل کولو وخت ټاکي. زوړ ترتیب
  ShutdownWatchdogSec د RebootWatchdogSec نوم بدل شوی او د بند یا نورمال بیا پیل کولو پرمهال د دندو لپاره مهال ویش ټاکي؛

• د خدماتو لپاره یو نوی اختیار اضافه شوی ExecCondition، کوم چې تاسو ته اجازه درکوي هغه کمانډونه مشخص کړئ چې د ExecStartPre څخه مخکې به اجرا شي. د کمانډ لخوا بیرته راستانه شوي خطا کوډ پراساس ، د واحد د نور اجرا کولو په اړه پریکړه کیږي - که کوډ 0 بیرته راستانه شي ، د واحد لانچ دوام لري ، که له 1 څخه تر 254 پورې دا په خاموشۍ سره د ناکامۍ بیرغ پرته پای ته رسیږي ، که 255 دا پای ته رسیږي. د ناکامۍ بیرغ؛
• د sys/fs/pstore/ څخه د معلوماتو استخراج لپاره یو نوی خدمت systemd-pstore.service اضافه کړ او د نورو تحلیلونو لپاره /var/lib/pstore ته خوندي کول؛
• نوي کمانډونه د شبکې انٹرفیسونو په اړه د systemd-timesyncd لپاره د NTP پیرامیټونو تنظیم کولو لپاره د timedatectl یوټیلیټ کې اضافه شوي؛
• د "localectl list-locales" کمانډ نور د UTF-8 پرته نور ځایونه نه ښیې؛
• ډاډ ترلاسه کوي چې په sysctl.d/ فایلونو کې د متغیر دندې غلطی له پامه غورځول کیږي که چیرې د متغیر نوم د "-" کرکټر سره پیل شي؛
• خدمت systemd-random-seed.service اوس په بشپړ ډول د لینکس کرنل سیوډورانډم نمبر جنریټر د انټروپي پول پیل کولو مسؤلیت لري. هغه خدمتونه چې په سمه توګه پیل شوي /dev/urandom ته اړتیا لري باید د systemd-random-seed.service وروسته پیل شي.
• د سیسټمډ بوټ بوټ لوډر د ملاتړ اختیاري وړتیا چمتو کوي د تخم فایل د EFI سیسټم ویش (ESP) کې د تصادفي ترتیب سره؛
• د bootctl افادیت کې نوي کمانډونه اضافه شوي: "bootctl random-seed" ترڅو په ESP کې د تخم فایل رامینځته کړي او "bootctl is-installed" د سیسټمd-boot بوټ لوډر نصبولو چیک کولو لپاره. bootctl د غلط ترتیب شوي بوټ ننوتلو په اړه اخطارونو ښودلو لپاره هم تنظیم شوی (د مثال په توګه ، کله چې د کرنل عکس حذف شوی وي ، مګر د پورته کولو ننوتل پاتې وي)؛
• کله چې سیسټم د خوب حالت ته ځي د سویپ برخې اتوماتیک انتخاب چمتو کوي. تقسیم د دې لپاره ترتیب شوي لومړیتوبونو پورې اړه لري، او د ورته لومړیتوبونو په صورت کې، د خالي ځای مقدار؛
• /etc/crypttab ته د کیفایل - وخت پای اختیار اضافه شوی ترڅو دا تنظیم کړي چې د کوډ کولو کیلي سره وسیله به د کوډ شوي برخې ته د لاسرسي لپاره د پټنوم غوښتنه کولو دمخه څومره وخت انتظار وکړي؛
• د BFQ مهالویش لپاره د I/O وزن ټاکلو لپاره د IOWeight اختیار اضافه شوی؛
• systemd-solved د DNS-over-TLS لپاره 'سخت' حالت اضافه کړ او یوازې د مثبت DNS ځوابونو کیش کولو وړتیا یې پلي کړه ("Cache no-negative" in solved.conf)؛
• د VXLAN لپاره، systemd-networkd د VXLAN پروتوکول توسیع فعالولو لپاره د GenericProtocolExtension اختیار اضافه کړی. د VXLAN او GENEVE لپاره، د IPDoNotFragment اختیار اضافه شوی ترڅو د وتلو پاکټونو لپاره د ټوټې کولو منع بیرغ تنظیم کړي؛
• په systemd-networkd کې، د "[روټ]" برخه کې، د FastOpenNoCookie اختیار د انفرادي لارو په اړه د TCP اتصالونو (TFO - TCP Fast Open, RFC 7413) د چټک خلاصولو میکانیزم فعالولو لپاره ښکاره شوی، او همدارنګه د TTLPpropagate اختیار. د TTL LSP تنظیمولو لپاره (لیبل سویچ شوی لاره). د "ډول" اختیار د محلي، نشراتو، هر کاسټ، ملټي کاسټ، هر او x حل کولو روټینګ حالتونو لپاره ملاتړ چمتو کوي؛
• Systemd-networkd په "[نیټ ورک]" برخه کې د DefaultRouteOnDevice اختیار وړاندیز کوي ترڅو په اتوماتيک ډول د ورکړل شوي شبکې وسیلې لپاره ډیفالټ لاره تنظیم کړي؛
• Systemd-networkd د ProxyARP او
  د پراکسي ARP چلند تنظیم کولو لپاره ProxyARPWifi، په ملټي کاسټ حالت کې د روټینګ پیرامیټرو تنظیم کولو لپاره ملټي کاسټ روټر، د ملټي کاسټ لپاره د IGMP (انټرنیټ ګروپ مدیریت پروتوکول) نسخه بدلولو لپاره ملټي کاسټ آی جی ایم پی نسخه؛

• Systemd-networkd د FooOverUDP تونلونو لپاره سیمه ایز، Peer او PeerPort اختیارونه اضافه کړي ترڅو محلي او لیرې IP پتې، او همدارنګه د شبکې پورټ شمیره ترتیب کړي. د TUN تونلونو لپاره، د VnetHeader اختیار د GSO (Generic Segment Offload) ملاتړ تنظیمولو لپاره اضافه شوی؛
• په systemd-networkd کې، په .network او .link فایلونو کې [Match] برخه کې، د ملکیت اختیار څرګند شوی، کوم چې تاسو ته اجازه درکوي چې په udev کې د دوی ځانګړي ملکیتونو سره وسایل وپیژني؛
• په Systemd-networkd کې، د تونلونو لپاره د AssignToLoopback اختیار اضافه شوی، کوم چې دا کنټرولوي چې آیا د تونل پای د لوپ بیک وسیلې "lo" ته ټاکل شوی؛
• systemd-networkd په اوتومات ډول د IPv6 سټیک فعالوي که چیرې دا د sysctl disable_ipv6 له لارې بند شوی وي - IPv6 فعال کیږي که چیرې IPv6 تنظیمات (جامد یا DHCPv6) د شبکې انٹرفیس لپاره تعریف شوي وي ، که نه نو دمخه ټاکل شوی sysctl ارزښت نه بدلیږي؛
• په .network فایلونو کې، د CriticalConnection ترتیب د KeepConfiguration اختیار لخوا بدل شوی، کوم چې د شرایطو تعریف کولو لپاره ډیرې وسیلې چمتو کوي ("هو"، "جامد"، "dhcp-on-stop"، "dhcp") په کوم کې چې سیسټمډ شبکه باید د پیل په وخت کې موجوده اړیکو ته لاس مه ورکوئ؛
• زیانمنتیا ثابته شوه CVE-2019-15718، د D-Bus انٹرفیس سیسټم ته د لاسرسي کنټرول نشتوالي له امله رامینځته شوی - حل شوی. دا مسله یو غیرمستقیم کارونکي ته اجازه ورکوي چې عملیات ترسره کړي چې یوازې د مدیرانو لپاره شتون لري، لکه د DNS ترتیبات بدلول او د DNS پوښتنو ته د غلا سرور ته لارښوونه کول؛
• زیانمنتیا ثابته شوه CVE-2019-9619د غیر متقابلو ناستو لپاره د pam_systemd نه فعالولو پورې اړوند، کوم چې د فعالې ناستې سپوفینګ ته اجازه ورکوي.

سرچینه: opennet.ru