ProHoster > Blog > notícias da internet > gerenciador de sistema systemd versão 246

gerenciador de sistema systemd versão 246

Após cinco meses de desenvolvimento apresentado liberação do gerenciador de sistema sistema 246. A nova versão inclui suporte para congelamento de unidades, capacidade de verificar a imagem do disco raiz usando uma assinatura digital, suporte para compactação de log e core dumps usando o algoritmo ZSTD, capacidade de desbloquear diretórios iniciais portáteis usando tokens FIDO2, suporte para desbloquear Microsoft BitLocker partições via /etc/ crypttab, BlackList foi renomeado para DenyList.

O principal mudanças:

  • Adicionado suporte para o controlador de recursos do freezer baseado em cgroups v2, com o qual você pode interromper processos e liberar temporariamente alguns recursos (CPU, E/S e potencialmente até memória) para executar outras tarefas. O congelamento e descongelamento das unidades é controlado usando o novo comando “systemctl freeze” ou via D-Bus.
  • Adicionado suporte para verificação da imagem do disco raiz usando uma assinatura digital. A verificação é realizada utilizando novas configurações nas unidades de serviço: RootHash (hash raiz para verificação da imagem do disco especificada através da opção RootImage) e RootHashSignature (assinatura digital no formato PKCS#7 para o hash raiz).
  • O manipulador PID 1 implementa a capacidade de carregar automaticamente regras pré-compiladas do AppArmor (/etc/apparmor/earlypolicy) no estágio inicial de inicialização.
  • Adicionadas novas configurações de arquivo de unidade: ConditionPathIsEncrypted e AssertPathIsEncrypted para verificar a localização do caminho especificado em um dispositivo de bloco que usa criptografia (dm-crypt/LUKS), ConditionEnvironment e AssertEnvironment para verificar variáveis ​​de ambiente (por exemplo, aquelas definidas pelo PAM ou ao definir até recipientes).
  • Para unidades *.mount, foi implementada a configuração ReadWriteOnly, que proíbe a montagem de uma partição em modo somente leitura se não for possível montá-la para leitura e gravação. Em /etc/fstab este modo é configurado usando a opção “x-systemd.rw-only”.
  • Para unidades *.socket, uma configuração PassPacketInfo foi adicionada, o que permite ao kernel adicionar metadados adicionais para cada pacote lido do soquete (ativa os modos IP_PKTINFO, IPV6_RECVPKTINFO e NETLINK_PKTINFO para o soquete).
  • Para serviços (unidades *.service), são propostas configurações de CoredumpFilter (define seções de memória que devem ser incluídas em core dumps) e
    TimeoutStartFailureMode/TimeoutStopFailureMode (define o comportamento (SIGTERM, SIGABRT ou SIGKILL) quando ocorre um tempo limite ao iniciar ou parar um serviço).

  • A maioria das opções agora oferece suporte a valores hexadecimais especificados usando o prefixo “0x”.
  • Em vários parâmetros de linha de comando e arquivos de configuração relacionados à configuração de chaves ou certificados, é possível especificar o caminho para soquetes unix (AF_UNIX) para transferência de chaves e certificados através de chamadas para serviços IPC quando não é desejável colocar certificados em disco não criptografado armazenar.
  • Adicionado suporte para seis novos especificadores que podem ser usados ​​em unidades, tmpfiles.d/, sysusers.d/ e outros arquivos de configuração: %a para substituir a arquitetura atual, %o/%w/%B/%W para substituir campos por identificadores de /etc/os-release e %l para substituição abreviada de nome de host.
  • Os arquivos unitários não suportam mais a sintaxe “.include”, que foi descontinuada há 6 anos.
  • As configurações StandardError e StandardOutput não suportam mais os valores “syslog” e “syslog-console”, que serão convertidos automaticamente para “journal” e “journal+console”.
  • Para pontos de montagem baseados em tmpfs criados automaticamente (/tmp, /run, /dev/shm, etc.), são fornecidos limites de tamanho e número de inodes, correspondendo a 50% do tamanho da RAM para /tmp e /dev/ shm e 10% de RAM para todos os outros.
  • Adicionadas novas opções de linha de comando do kernel: systemd.hostname para definir o nome do host no estágio inicial de inicialização, udev.blockdev_read_only para limitar todos os dispositivos de bloco associados a unidades físicas para o modo somente leitura (você pode usar o comando "blockdev --setrw" para cancelar seletivamente), systemd .swap para desativar a ativação automática da partição swap, systemd.clock-usec para definir o relógio do sistema em microssegundos, systemd.condition-needs-update e systemd.condition-first-boot para substituir ConditionNeedsUpdate e ConditionFirstBoot Verificações.
  • Por padrão, sysctl fs.suid_dumpable é definido como 2 (“suidsafe”), o que permite salvar core dumps para processos com o sinalizador suid.
  • O arquivo /usr/lib/udev/hwdb.d/60-autosuspend.hwdb foi emprestado ao banco de dados de hardware do ChromiumOS, que inclui informações sobre dispositivos PCI e USB que suportam o modo de suspensão automática.
  • Uma configuração ManageForeignRoutes foi adicionada ao networkd.conf, quando habilitada, o systemd-networkd começará a gerenciar todas as rotas configuradas por outros utilitários.
  • Uma seção “[SR-IOV]” foi adicionada aos arquivos .network para configurar dispositivos de rede que suportam SR-IOV (Single Root I/O Virtualization).
  • No systemd-networkd, a configuração IPv4AcceptLocal foi adicionada à seção “[Rede]” para permitir que pacotes que chegam com um endereço de origem local sejam recebidos na interface de rede.
  • systemd-networkd adicionou a capacidade de configurar disciplinas de priorização de tráfego HTB por meio de [HierarchyTokenBucket] e
    [HierarchyTokenBucketClass], "pfifo" via [PFIFO], "GRED" via [GenericRandomEarlyDetection], "SFB" via [StochasticFairBlue], "bolo"
    via [CAKE], "PIE" via [PIE], "DRR" via [DeficitRoundRobinScheduler] e
    [DeficitRoundRobinSchedulerClass], "BFIFO" via [BFIFO],
    "PFIFOHeadDrop" via [PFIFOHeadDrop], "PFIFOFast" via [PFIFOFast], "HHF"
    via [HeavyHitterFilter], "ETS" via [EnhancedTransmissionSelection],
    "QFQ" via [QuickFairQueueing] e [QuickFairQueueingClass].

  • No systemd-networkd, uma configuração UseGateway foi adicionada à seção [DHCPv4] para desabilitar o uso de informações de gateway obtidas via DHCP.
  • No systemd-networkd, nas seções [DHCPv4] e [DHCPServer], uma configuração SendVendorOption foi adicionada para instalar e processar opções adicionais do fornecedor.
  • systemd-networkd implementa um novo conjunto de opções EmitPOP3/POP3, EmitSMTP/SMTP e EmitLPR/LPR na seção [DHCPServer] para adicionar informações sobre servidores POP3, SMTP e LPR.
  • No systemd-networkd, nos arquivos .netdev na seção [Bridge], uma configuração VLANProtocol foi adicionada para selecionar o protocolo VLAN a ser usado.
  • No systemd-networkd, nos arquivos .network na seção [Link], a configuração Grupo é implementada para gerenciar um grupo de links.
  • As configurações da BlackList foram renomeadas para DenyList (preservando o tratamento de nomes antigos para compatibilidade com versões anteriores).
  • Systemd-networkd adicionou uma grande parte de configurações relacionadas a IPv6 e DHCPv6.
  • Adicionado o comando “forcerenew” ao networkctl para forçar a atualização de todas as ligações de endereço (aluguel).
  • No systemd-resolved, na configuração do DNS, tornou-se possível especificar o número da porta e o nome do host para verificação do certificado DNS sobre TLS. A implementação DNS sobre TLS adicionou suporte para verificação de SNI.
  • O Systemd-resolved agora tem a capacidade de configurar o redirecionamento de nomes DNS de rótulo único (rótulo único, de um nome de host).
  • systemd-journald fornece suporte para usar o algoritmo zstd para compactar campos grandes em diários. Trabalho foi feito para proteger contra colisões em tabelas hash usadas em diários.
  • URLs clicáveis ​​com links para documentação foram adicionados ao journalctl ao exibir mensagens de log.
  • Adicionada uma configuração de auditoria ao journald.conf para controlar se a auditoria está habilitada durante a inicialização do systemd-journald.
  • Systemd-coredump agora tem a capacidade de compactar core dumps usando o algoritmo zstd.
  • Adicionada configuração UUID ao systemd-repart para atribuir um UUID à partição criada.
  • O serviço systemd-homed, que fornece gerenciamento de diretórios iniciais portáteis, adicionou a capacidade de desbloquear diretórios iniciais usando tokens FIDO2. O back-end de criptografia de partição LUKS adicionou suporte para retornar automaticamente blocos vazios do sistema de arquivos quando uma sessão termina. Adicionada proteção contra criptografia dupla de dados se for determinado que a partição /home no sistema já está criptografada.
  • Configurações adicionadas ao /etc/crypttab: “keyfile-erase” para excluir uma chave após o uso e “try-empty-password” para tentar desbloquear uma partição com uma senha vazia antes de solicitar uma senha ao usuário (útil para instalar imagens criptografadas com uma senha atribuída após a primeira inicialização, não durante a instalação).
  • systemd-cryptsetup adiciona suporte para desbloquear partições Microsoft BitLocker no momento da inicialização usando /etc/crypttab. Também adicionou a capacidade de ler
    chaves para desbloquear automaticamente partições dos arquivos /etc/cryptsetup-keys.d/.key e /run/cryptsetup-keys.d/.key.

  • Adicionado systemd-xdg-autostart-generator para criar arquivos de unidade a partir de arquivos de inicialização automática .desktop.
  • Adicionado o comando "reboot-to-firmware" ao "bootctl".
  • Adicionadas opções ao systemd-firstboot: "--image" para especificar a imagem do disco para inicializar, "--kernel-command-line" para inicializar o arquivo /etc/kernel/cmdline, "--root-password-hashed" para especifique o hash da senha root e "--delete-root-password" para excluir a senha root.

Fonte: opennet.ru

Adicionar um comentário