ProHoster > بلاګ > انټرنیټ خبرونه > د سیسټمډ سیسټم مدیر 252 خوشې کول د UKI (یونیفایډ کرنل عکس) ملاتړ سره

د سیسټمډ سیسټم مدیر 252 خوشې کول د UKI (یونیفایډ کرنل عکس) ملاتړ سره

د پنځو میاشتو پراختیا وروسته، د سیسټم مدیر سیسټمډ 252 خپور شو. په نوې نسخه کې کلیدي بدلون د عصري بوټ پروسې لپاره د ملاتړ ادغام و، کوم چې تاسو ته اجازه درکوي نه یوازې د کرنل او بوټلوډر، بلکې اجزاوې هم تایید کړئ. د ډیجیټل لاسلیکونو په کارولو سره د بنسټیز سیسټم چاپیریال.

وړاندیز شوي میتود کې د بار کولو پرمهال د یو متحد کرنل عکس UKI (یونیفایډ کرنل عکس) کارول شامل دي ، کوم چې د UEFI (UEFI بوټ سټب) څخه د کرنل بارولو لپاره هینډلر سره یوځای کوي ، د لینکس کرنل عکس او د initrd سیسټم چاپیریال په حافظه کې بار شوی ، کارول کیږي. د روټ FS نصبولو دمخه په مرحله کې د ابتدايي ابتکار لپاره. د UKI عکس د PE ب formatه کې د واحد اجرا وړ فایل په توګه بسته شوی ، کوم چې د دودیز بوټلوډرونو په کارولو سره بار کیدی شي یا مستقیم د UEFI فرم ویئر څخه ویل کیدی شي. کله چې د UEFI څخه وغوښتل شي، دا ممکنه ده چې د ډیجیټل لاسلیک بشپړتیا او اعتبار تصدیق کړئ نه یوازې د کرنل، بلکې د initrd منځپانګې هم.

د TPM PCR د پیرامیټونو محاسبه کولو لپاره (د باور وړ پلیټ فارم ماډل پلیټ فارم کنفیګریشن راجستر) راجستر چې د بشپړتیا نظارت کولو او د UKI عکس ډیجیټل لاسلیک رامینځته کولو لپاره کارول کیږي ، د سیسټم یو نوی سیسټم میسر شامل دی. عامه کیلي او ورسره د PCR معلومات چې په لاسلیک کې کارول کیږي مستقیم د UKI بوټ عکس کې ځای په ځای کیدی شي (کیلي او لاسلیک په PE فایل کې د '.pcrsig' او '.pcrkey' برخو کې خوندي شوي او له هغې څخه د بهرني لخوا استخراج شوي. یا داخلي اسانتیاوې.

په ځانګړې توګه، systemd-cryptsetup، systemd-cryptenroll او systemd-creds اسانتیاوې د دې معلوماتو کارولو لپاره تطابق شوي، د کوم سره چې تاسو کولی شئ ډاډ ترلاسه کړئ چې د کوډ شوي ډیسک ویشونه په ډیجیټل لاسلیک شوي کرنل پورې تړلي دي (په دې حالت کې، کوډ شوي برخې ته لاسرسی یوازې هغه وخت چمتو کیږي چې د UKI عکس په TPM کې موقعیت لرونکي پیرامیټونو پراساس د ډیجیټل لاسلیک لخوا تایید شوی وي).

برسیره پردې، د systemd-pcrphase یوټیلیټ شامل دی، کوم چې تاسو ته اجازه درکوي چې د کریپټو پروسیسرونو په حافظه کې موقعیت لرونکي پیرامیټرو ته د مختلف بوټ مرحلو پابندۍ کنټرول کړئ چې د TPM 2.0 مشخصاتو مالتړ کوي (د مثال په توګه، تاسو کولی شئ یوازې د LUKS2 برخې ډیکرپشن کیلي شتون ولري. initrd انځور او په وروستیو مرحلو کې دې ته لاسرسی بند کړئ ډاونلوډ کړئ).

ځینې ​​نور بدلونونه:

  • ډاډ ترلاسه کوي چې ډیفالټ ځای C.UTF-8 دی پرته لدې چې یو بل ځای په ترتیباتو کې مشخص شوی وي.
  • اوس دا ممکنه ده چې د لومړي بوټ په جریان کې د بشپړ خدمت پری سیٹ عملیات ("systemctl preset") ترسره کړئ. د بوټ په وخت کې د پری سیټونو فعالول د "-Dfirst-boot-full-preset" اختیار سره جوړولو ته اړتیا لري، مګر پالن شوی چې په راتلونکو خپرونو کې د ډیفالټ لخوا فعال شي.
  • د کارونکي مدیریت واحدونو کې د CPU سرچینې کنټرولر شامل دی ، کوم چې دا امکان رامینځته کړی چې ډاډ ترلاسه کړي چې د CPU ویټ تنظیمات په ټولو برخو واحدونو باندې پلي کیږي چې سیسټم په برخو ویشلو لپاره کارول کیږي (app.slice, background.slice, session.slice) تر مینځ سرچینې جلا کولو لپاره. د مختلف کاروونکي خدمتونه، د CPU سرچینو لپاره سیالي کول. CPUWeight د مناسب سرچینې چمتو کولو حالت فعالولو لپاره د "بې کاره" ارزښت ملاتړ هم کوي.
  • په موقتي ("موقتي") واحدونو کې او د سیسټمډ-ریپارټ یوټیلیټ کې، د /etc/systemd/system/name.d/ ډایرکټر کې د ډراپ ان فایلونو په جوړولو سره د تنظیم کولو ترتیباتو ته اجازه ورکول کیږي.
  • د سیسټم عکسونو لپاره، د ملاتړ پای بیرغ ټاکل شوی، دا حقیقت د نوي پیرامیټر "SUPPORT_END=" ارزښت پراساس په /etc/os-release فایل کې ټاکي.
  • د "ConditionCredential=" او "AssertCredential=" ترتیبات اضافه شوي، کوم چې د واحدونو سترګې پټولو یا کریش کولو لپاره کارول کیدی شي که چیرې ځینې اسناد په سیسټم کې شتون ونلري.
  • د "DefaultSmackProcessLabel=" او "DefaultDeviceTimeoutSec=" ترتیبات system.conf او user.conf ته اضافه شوي ترڅو د ډیفالټ SMACK امنیت کچه ​​او د واحد فعالولو وخت وټاکي.
  • په "ConditionFirmware=" او "AssertFirmware=" ترتیباتو کې، د انفرادي SMBIOS ساحو مشخص کولو وړتیا اضافه شوې، د بیلګې په توګه، یوازې یو واحد پیل کول که د /sys/class/dmi/id/board_name ساحه د "کسټم" ارزښت ولري بورډ"، تاسو کولی شئ مشخص کړئ "ConditionFirmware=smbios" -field(board_name = "Custom Board")".
  • د پیل کولو پروسې په جریان کې (PID 1)، د SMBIOS ساحو څخه د اعتبارونو واردولو وړتیا (ډول 11، "OEM پلورونکي تارونه") د qemu_fwcfg له لارې د دوی تعریف سربیره اضافه شوي، کوم چې مجازی ماشینونو ته د اعتبارونو چمتو کول ساده کوي او له منځه وړي. د دریمې ډلې وسیلو ته اړتیا لکه کلاوډ - انیټ او ایګیشن.
  • د بندولو په جریان کې، د مجازی فایل سیسټمونو (proc، sys) د غیر نصبولو منطق بدل شوی او د پروسو په اړه معلومات چې د فایل سیسټمونو د غیر نصبولو مخه نیسي په لاګ کې خوندي شوي.
  • د سیسټم کال فلټر (SystemCallFilter) د ډیفالټ لخوا د riscv_flush_icache سیسټم کال ته د لاسرسي اجازه ورکوي.
  • د sd-boot بوټلوډر په مخلوط حالت کې د بوټ کولو وړتیا اضافه کوي، په کوم کې چې د 64-bit لینکس کرنل د 32-bit UEFI فرم ویئر څخه تیریږي. د ESP (EFI سیسټم ویش) کې موندل شوي فایلونو څخه په اتوماتيک ډول د SecureBoot کلیدونو پلي کولو لپاره تجربوي وړتیا اضافه شوې.
  • د bootctl یوټیلیټ کې نوي اختیارونه اضافه شوي: "—ټول آرکیټیکچرز" د ټولو ملاتړ شوي EFI جوړښتونو لپاره د بائنریونو نصبولو لپاره ، "—root=" او "—image=" د لارښود یا ډیسک عکس سره کار کولو لپاره ، "—install-source. =" د نصبولو لپاره د سرچینې ټاکلو لپاره، "-efi-boot-option-description=" د بوټ د ننوتلو نومونو کنټرول لپاره.
  • د 'list-automounts' کمانډ په systemctl یوټیلیټ کې اضافه شوی ترڅو په اتوماتيک ډول نصب شوي لارښودونو لیست ښکاره کړي او د ټاکل شوي ډیسک عکس پورې اړوند د امرونو اجرا کولو لپاره "-image=" اختیار وښیې. "-state=" او "-type=" اختیارونه د 'شو' او 'حیثیت' امرونو ته اضافه شوي.
  • systemd-networkd اضافه شوي اختیارونه "TCPCongestionControlAlgorithm=" د TCP کنجشن کنټرول الګوریتم غوره کولو لپاره، "KeepFileDescriptor=" د TUN/TAP انټرفیسونو فایل ډیسکریټر خوندي کولو لپاره، "NetLabel=" د NetLabels تنظیم کولو لپاره، "RapidCommit=" د DCPv6 ترتیب ګړندی کولو لپاره (RFC 3315). د "RouteTable=" پیرامیټر د روټینګ جدولونو نومونو مشخص کولو ته اجازه ورکوي.
  • systemd-nspawn د "--bind=" او "--overlay=" انتخابونو کې د اړونده فایل لارو کارولو ته اجازه ورکوي. د "--bind=" اختیار ته د 'rootidmap' پیرامیټر لپاره ملاتړ اضافه شوی ترڅو په کانټینر کې د روټ کارونکي ID په کوربه اړخ کې د نصب شوي لارښود مالک ته وتړي.
  • سیسټمډ-حل شوی OpenSSL د ډیفالټ لخوا د دې د کوډ کولو پس منظر په توګه کاروي (د gnutls ملاتړ د اختیار په توګه ساتل کیږي). د DNSSEC نه ملاتړ شوي الګوریتمونه اوس د غلطۍ (SERVFAIL) د بیرته راستنیدو پرځای غیر خوندي ګڼل کیږي.
  • systemd-sysusers، systemd-tmpfiles او systemd-sysctl د اعتباري ذخیره کولو میکانیزم له لارې د ترتیباتو لیږدولو وړتیا پلي کوي.
  • د نسخې شمیرې سره د تارونو پرتله کولو لپاره سیسټمډ تحلیل ته د 'مقابلې نسخې' کمانډ اضافه شوی (د 'rpmdev-vercmp' او 'dpkg --compare-versions' سره ورته). د 'systemd-analyze dump' کمانډ ته د ماسک په واسطه د واحدونو فلټر کولو وړتیا اضافه کړه.
  • کله چې د څو مرحلې خوب حالت غوره کړئ (سسپینډ - بیا هایبرنیټ) ، په سټینډ بای حالت کې مصرف شوی وخت اوس د پاتې بیټرۍ ژوند وړاندوینې پراساس غوره شوی. د خوب حالت ته سمدستي لیږد هغه وخت پیښیږي کله چې د 5٪ څخه کم بیټرۍ چارج پاتې وي.
  • یو نوی محصول موډ "-o لنډ ډیلټا" په 'journalctl' کې اضافه شوی ، په لاګ کې د مختلف پیغامونو ترمینځ د وخت توپیر ښیې.
  • systemd-repart د Squashfs فایل سیسټم سره د پارټیشنونو جوړولو او د dm-verity لپاره د ډیجیټل لاسلیکونو په ګډون د برخې جوړولو لپاره مالتړ زیاتوي.
  • د "StopIdleSessionSec=" ترتیب د ټاکل شوي مهال ویش وروسته غیر فعال ناستې پای ته رسولو لپاره systemd-logind ته اضافه شوی.
  • Systemd-cryptenroll د کارونکي د هڅولو پر ځای د فایل څخه د ډیکریپشن کیلي استخراج لپاره "--unlock-key-file=" اختیار اضافه کړی دی.
  • اوس دا ممکنه ده چې د سیسټمd-grofs افادیت په چاپیریال کې له udev پرته پرمخ بوځي.
  • systemd-backlight د ډیری ګرافیک کارتونو سره د سیسټمونو لپاره ملاتړ ښه کړی.
  • په اسنادو کې چمتو شوي کوډ مثالونو جواز د CC0 څخه MIT-0 ته بدل شوی.

هغه بدلونونه چې مطابقت ماتوي:

  • کله چې د ConditionKernelVersion لارښود په کارولو سره د کرنل نسخه شمیره چیک کړئ، د ساده تار پرتله کول اوس په '=' او '!=' آپریټرونو کې کارول کیږي، او که د پرتله کولو آپریټر په بشپړ ډول مشخص شوی نه وي، د ګلوب ماسک میچنګ په کارولو سره کارول کیدی شي. حروف '*'، '؟' او '['، ']'. د stverscmp() سټایل نسخو پرتله کولو لپاره، '<', '>'، '<=' او '>=' چلونکي وکاروئ.
  • د SELinux ټاګ چې د یونټ فایل څخه د لاسرسي چک کولو لپاره کارول کیږي اوس د فایل د بارولو په وخت کې لوستل کیږي ، نه د لاسرسي چیک په وخت کې.
  • د "ConditionFirstBoot" حالت اوس د سیسټم په لومړي بوټ کې یوازې په مستقیم ډول د بوټ په مرحله کې پیل شوی او "غلط" بیرته راستنیږي کله چې د بوټ بشپړیدو وروسته واحدونو ته زنګ ووهي.
  • په 2024 کې، سیسټم پلان لري چې د cgroup v1 سرچینې محدودولو میکانیزم ملاتړ ودروي، کوم چې په سیسټمډ ریلیز 248 کې له مینځه وړل شوی و. مدیرانو ته مشوره ورکول کیږي چې مخکې له دې چې cgroup v2-based خدمات cgroup v1 ته مهاجرت وکړي. د cgroups v2 او v1 ترمنځ کلیدي توپیر د ټولو ډولونو منابعو لپاره د عام cgroups درجه بندي کارول دي، د CPU سرچینو تخصیص، د حافظې مصرف تنظیم کولو، او I/O لپاره د جلا جلا درجه بندي پرځای. جلا جلا درجه بندي د سمبالونکو ترمنځ د تعامل په تنظیم کولو کې د ستونزو لامل کیږي او د کرنل سرچینو اضافي لګښتونو لپاره کله چې په مختلف درجه بندي کې راجع شوي پروسې لپاره قواعد پلي کوي.
  • د 2023 په دویمه نیمایي کې، موږ پلان لرو چې د سپلیټ ډایرکټر درجه بندي لپاره ملاتړ پای ته ورسوو، چیرې چې /usr له ریښې څخه جلا نصب شوی، یا /bin او /usr/bin، /lib او /usr/lib جلا شوي.

سرچینه: opennet.ru

Add a comment