پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > سسٽم ڊي سسٽم مئنيجر رليز 243

سسٽم ڊي سسٽم مئنيجر رليز 243

پنجن مهينن جي ترقي کان پوء پيش ڪيو سسٽم مئنيجر ڇڏڻ سسٽم ڊي 243. جدت جي وچ ۾، اسان نوٽ ڪري سگھون ٿا PID 1 ۾ انضمام هڪ هينڊلر جي سسٽم ۾ گهٽ ميموري لاءِ، يونٽ ٽرئفڪ کي فلٽر ڪرڻ لاءِ توهان جي پنهنجي BPF پروگرامن کي ڳنڍڻ لاءِ سپورٽ، سسٽم ڊي نيٽ ورڪ لاءِ ڪيترائي نوان آپشن، نيٽ ورڪ جي بينڊوڊٿ جي نگراني لاءِ هڪ موڊ. انٽرفيس، 64-bit سسٽم تي ڊفالٽ طور تي چالو ڪرڻ 22-bit PID نمبرن جي بدران 16-bit، هڪ متحد cgroups hierarchy ڏانهن منتقلي، systemd-network-generator ۾ شامل ٿيڻ.

مکيه تبديليون:

  • آئوٽ آف ميموري (آؤٽ-آف-ميموري، او او او ايم) جي باري ۾ ڪرنل جي ٺاهيل سگنلن جي سڃاڻپ PID 1 هينڊلر ۾ شامل ڪئي وئي آهي يونٽن کي منتقل ڪرڻ لاءِ جيڪي ميموري جي استعمال جي حد تائين پهچي ويا آهن خاص حالت ۾ انهن کي ختم ڪرڻ جي اختياري صلاحيت سان. يا روڪيو؛
  • يونٽ فائلن لاء، نئين پيٽرولر IPIngressFilterPath ۽
    IPEgressFilterPath، جيڪو توهان کي اجازت ڏئي ٿو BPF پروگرامن کي پاڻمرادو سنڀاليندڙن سان ڳنڍڻ جي لاءِ فلٽر ڪرڻ لاءِ ايندڙ ۽ ٻاهرئين IP پيڪٽس جيڪي هن يونٽ سان لاڳاپيل عملن ذريعي ٺاهيا ويا آهن. تجويز ڪيل خاصيتون توهان کي سسٽمڊ سروسز لاء هڪ قسم جي فائر وال ٺاهڻ جي اجازت ڏين ٿيون. لکڻ جو مثال BPF جي بنياد تي هڪ سادي نيٽ ورڪ فلٽر؛

  • "صاف" حڪم شامل ڪيو ويو آهي سسٽم سي ٽي ايل يوٽيلٽي کي حذف ڪرڻ لاءِ ڪيش، رن ٽائم فائلون، اسٽيٽس انفارميشن ۽ لاگ ڊاريڪٽري؛
  • systemd-networkd MACsec، nlmon، IPVTAP ۽ Xfrm نيٽ ورڪ انٽرفيس لاءِ سپورٽ شامل ڪري ٿو.
  • systemd-networkd DHCPv4 ۽ DHCPv6 اسٽيڪ جي الڳ ترتيب کي لاڳو ڪري ٿو "[DHCPv4]" ۽ "[DHCPv6]" سيڪشن ذريعي ترتيب واري فائل ۾. شامل ڪيو ويو RoutesToDNS اختيار شامل ڪرڻ لاءِ هڪ الڳ رستو شامل ڪرڻ لاءِ DNS سرور ۾ مخصوص ڪيل پيرا ميٽرز ۾ جيڪو DHCP سرور مان مليل آهي (ته جيئن DNS ڏانهن ٽريفڪ ساڳئي لنڪ ذريعي موڪليو وڃي جيئن DHCP کان حاصل ڪيل مکيه رستو). DHCPv4 لاءِ نوان آپشن شامل ڪيا ويا آهن: MaxAttempts - ايڊريس حاصل ڪرڻ لاءِ درخواستن جو وڌ ۾ وڌ تعداد، BlackList - بليڪ لسٽ DHCP سرورز، SendRelease - DHCP RELEASE پيغام موڪلڻ کي فعال ڪريو جڏهن سيشن ختم ٿئي.
  • سسٽم ڊي-تجزيو افاديت ۾ نوان حڪم شامل ڪيا ويا آهن:
    • "سسٽم ڊي-تجزيو ٽائم اسٽيمپ" - وقت جي تجزيي ۽ تبديلي؛
    • "systemd-analyze timespan" - وقت جي دورن جو تجزيو ۽ تبديلي؛
    • "سسٽم ڊي-تجزيو حالت" - تجزيي ۽ جانچ ڪرڻ شرط XYZ اظهار؛
    • "systemd-analyze exit-status" - ايڪسٽ ڪوڊز کي نمبرن کان نالن ۾ پارس ڪرڻ ۽ تبديل ڪرڻ ۽ ان جي برعڪس؛
    • "systemd-analyze unit-files" - يونٽن ۽ يونٽن لاءِ سڀ فائل رستا لسٽ ڪري ٿو.
  • اختيار SuccessExitStatus, RestartPreventExitStatus ۽
    RestartForceExitStatus هاڻي نه رڳو عددي موٽڻ واري ڪوڊس، پر انهن جي متن جي سڃاڻپ ڪندڙ (مثال طور، "DATAERR") کي سپورٽ ڪري ٿو. توهان "sytemd-analyze exit-status" ڪمانڊ استعمال ڪندي سڃاڻپ ڪندڙن کي تفويض ڪيل ڪوڊن جي لسٽ ڏسي سگهو ٿا؛

  • ورچوئل نيٽ ورڪ ڊيوائسز کي حذف ڪرڻ لاءِ نيٽ ورڪ سي ٽي ايل يوٽيلٽي ۾ ”ڊيليٽ“ ڪمانڊ شامل ڪيو ويو آهي، ان سان گڏ ڊوائيس جا انگ اکر ڏيکارڻ لاءِ ”—اسٽاٽس“ آپشن؛
  • اسپيڊ ميٽر ۽ اسپيڊ ميٽر انٽرول سي سي سيٽنگون نيٽ ورڪ انٽرفيس جي ذريعي ماپڻ لاءِ نيٽ ورڪd.conf ۾ شامل ڪيون ويون آهن. ماپ جا نتيجا حاصل ڪيل انگ اکر 'networkctl status' حڪم جي پيداوار ۾ ڏسي سگهجن ٿا؛
  • شامل ڪيو ويو نئون يوٽيلٽي سسٽم ڊي نيٽ ورڪ جنريٽر فائلون ٺاهڻ لاءِ
    .network، .netdev ۽ .link جي بنياد تي IP سيٽنگون پاس ڪيون ويون جڏهن ڊريڪٽ سيٽنگ فارميٽ ۾ لينڪس ڪرنل ڪمانڊ لائن ذريعي لانچ ڪيو ويو؛

  • 64-bit سسٽم تي sysctl "kernel.pid_max" جي قيمت ھاڻي ڊفالٽ طور 4194304 تي مقرر ڪئي وئي آھي (22-bit PIDs بجاءِ 16-bits)، جيڪو PIDs کي تفويض ڪرڻ وقت ٽڪراءَ جو امڪان گھٽائي ٿو، ھڪڙي وقت جي تعداد تي حد وڌائي ٿو. هلندڙ عمل، ۽ سيڪيورٽي تي مثبت اثر آهي. تبديلي ممڪن طور تي مطابقت جي مسئلن کي جنم ڏئي سگهي ٿي، پر اهڙا مسئلا اڃا تائين عملي طور تي رپورٽ نه ڪيا ويا آهن.
  • ڊفالٽ طور، تعمير اسٽيج کي تبديل ڪري ٿو متحد درجه بندي cgroups-v2 ("-Ddefault-hierarchy=unified"). اڳي، ڊفالٽ ھائبرڊ موڊ ھو (“-Ddefault-hierarchy=hybrid”)؛
  • سسٽم ڪال فلٽر (SystemCallFilter) جو رويو تبديل ڪيو ويو آهي، جيڪو، هڪ ممنوع سسٽم ڪال جي صورت ۾، هاڻي مڪمل عمل کي ختم ڪري ٿو، بلڪه انفرادي موضوعن جي، ڇاڪاڻ ته انفرادي موضوعن کي ختم ڪرڻ غير متوقع مسئلا پيدا ڪري سگهي ٿي. تبديليون صرف لاڳو ٿينديون آهن جيڪڏهن توهان وٽ لينڪس ڪنيل 4.14+ ۽ libseccomp 2.4.0+؛
  • غير امتيازي پروگرامن کي ICMP ايڪو (پنگ) پيڪيٽ موڪلڻ جي صلاحيت ڏني ويندي آهي sysctl "net.ipv4.ping_group_range" سيٽنگ ڪندي گروپن جي پوري حد (سڀني پروسيس لاءِ)؛
  • تعميراتي عمل کي تيز ڪرڻ لاءِ، مين مينوئلز جي نسل کي ڊفالٽ طور روڪيو ويو آهي (مڪمل دستاويز ٺاھڻ لاءِ، توھان کي html فارميٽ ۾ دستورن لاءِ ”-Dman=true“ يا ”-Dhtml=true“ اختيار استعمال ڪرڻو پوندو). دستاويزن کي ڏسڻ ۾ آساني پيدا ڪرڻ لاءِ، ٻه اسڪرپٽ شامل آهن: build/man/man ۽ build/man/html لاءِ دلچسپيءَ جا دستياب دستياب ۽ پريويو؛
  • ڊومين نالن کي قومي الفابيٽ جي اکرن سان عمل ڪرڻ لاءِ، libidn2 لائبريري ڊفالٽ طور استعمال ٿئي ٿي (libidn واپس ڪرڻ لاءِ، استعمال ڪريو "-Dlibidn=true" آپشن)؛
  • /usr/sbin/halt.local executable فائل لاءِ سپورٽ، جيڪا ڪارڪردگي مهيا ڪئي جيڪا وڏي پيماني تي تقسيم ۾ نه هئي، بند ڪئي وئي آهي. بند ڪرڻ وقت حڪمن جي لانچ کي منظم ڪرڻ لاءِ، سفارش ڪئي وئي آهي ته /usr/lib/systemd/system-shutdown/ ۾ اسڪرپٽ استعمال ڪريو يا هڪ نئين يونٽ جو تعين ڪيو وڃي جيڪو آخري.target تي منحصر هجي.
  • شٽ ڊائون جي آخري مرحلي تي، systemd هاڻي sysctl “kernel.printk” ۾ لاگ ليول پاڻمرادو وڌائي ٿو، جيڪو بند ٿيڻ جي پوئين مرحلن ۾ واقع ٿيندڙ لاگ ايونٽس ۾ ڊسپلي ڪرڻ سان مسئلو حل ڪري ٿو، جڏهن باقاعده لاگنگ ڊيمون مڪمل ٿي چڪا آهن. ؛
  • journalctl ۽ ٻين افاديت ۾ لاگ ڏيکاريندي، ڊيڄاريندڙ پيلي رنگ ۾ نمايان ٿيل آھن، ۽ آڊٽ رڪارڊ نيري ۾ نمايان ٿيل آھن انھن کي بصري طور تي ھجوم کان نمايان ڪرڻ لاء؛
  • $PATH ماحول جي متغير ۾، bin/ جو رستو sbin/ جي رستي کان اڳ اچي ٿو، يعني. جيڪڏهن ٻنهي ڊائريڪٽرن ۾ ايگزيڪيوٽيبل فائلن جا هڪجهڙا نالا آهن، ته فائل بن/ مان هلي ويندي؛
  • systemd-logind هڪ SetBrightness() ڪال مهيا ڪري ٿو محفوظ طور تي اسڪرين جي چمڪ کي في سيشن جي بنياد تي تبديل ڪرڻ لاءِ؛
  • "--wait-for-initialization" پرچم شامل ڪيو ويو آهي "udevadm info" حڪم ۾ ڊوائيس جي شروعات ڪرڻ جو انتظار ڪرڻ لاء؛
  • سسٽم بوٽ دوران، PID 1 هينڊلر هاڻي يونٽن جا نالا ڏيکاري ٿو ان جي وضاحت سان هڪ لائن جي بدران. ماضي جي رويي ڏانهن موٽڻ لاء، توهان StatusUnitFormat اختيار استعمال ڪري سگهو ٿا /etc/systemd/system.conf يا systemd.status_unit_format kernel آپشن؛
  • واچ ڊاگ PID 1 لاءِ /etc/systemd/system.conf ۾ KExecWatchdogSec آپشن شامل ڪيو ويو، جيڪو kexec استعمال ڪندي ٻيهر شروع ڪرڻ جو وقت مقرر ڪري ٿو. پراڻي جوڙجڪ
    ShutdownWatchdogSec جو نالو تبديل ڪيو ويو آهي RebootWatchdogSec ۽ بند يا عام ٻيهر شروع ٿيڻ دوران نوڪرين لاءِ ٽائم آئوٽ بيان ڪري ٿو.

  • خدمتن لاء هڪ نئون اختيار شامل ڪيو ويو آهي Exec Condition، جيڪو توهان کي حڪمن جي وضاحت ڪرڻ جي اجازت ڏئي ٿو جيڪي ExecStartPre کان اڳ جاري ڪيا ويندا. آرر ڪوڊ جي بنياد تي ڪمانڊ طرفان واپس ڪيو ويو، يونٽ جي وڌيڪ عمل تي فيصلو ڪيو ويو آهي - جيڪڏهن ڪوڊ 0 واپس ڪيو ويو آهي، يونٽ لانچ جاري آهي، جيڪڏهن 1 کان 254 تائين اهو خاموشيء سان ختم ٿي ويندو آهي ناڪامي پرچم کان سواء، جيڪڏهن 255 اهو ختم ٿئي ٿو. هڪ ناڪامي پرچم؛
  • sys/fs/pstore/ مان ڊيٽا ڪڍڻ لاءِ هڪ نئين سروس systemd-pstore.service شامل ڪئي وئي ۽ وڌيڪ تجزيي لاءِ /var/lib/pstore ۾ محفوظ ڪرڻ لاءِ؛
  • نيٽ ورڪ انٽرفيس جي سلسلي ۾ systemd-timesyncd لاءِ NTP پيٽرولر ترتيب ڏيڻ لاءِ timedatectl يوٽيلٽي ۾ نوان حڪم شامل ڪيا ويا آهن؛
  • "localectl list-locales" ڪمانڊ هاڻي UTF-8 کان سواءِ ٻيون ماڳون نه ڏيکاريندو آهي.
  • انهي کي يقيني بڻائي ٿو ته sysctl.d/ فائلن ۾ متغير تفويض جي غلطين کي نظرانداز ڪيو ويو آهي جيڪڏهن متغير جو نالو ڪردار سان شروع ٿئي ٿو "-"؛
  • خدمت systemd-random-seed.service ھاڻي مڪمل طور تي ذميوار آھي لينڪس ڪنيل جي اينٽروپي پول کي شروع ڪرڻ لاءِ pseudorandom نمبر جنريٽر. خدمتون جن کي صحيح طور تي شروع ڪرڻ جي ضرورت آهي /dev/urandom کان پوء شروع ڪيو وڃي systemd-random-seed.service؛
  • سسٽم ڊي-بوٽ بوٽ لوڊر کي سپورٽ ڪرڻ جي اختياري صلاحيت مهيا ڪري ٿي ٻج فائل EFI سسٽم ورهاڱي (ESP) ۾ بي ترتيب ترتيب سان؛
  • bootctl افاديت ۾ نوان حڪم شامل ڪيا ويا آهن: "bootctl random-seed" ESP ۾ ٻج فائل پيدا ڪرڻ لاءِ ۽ "bootctl is-installed" سسٽمd-boot بوٽ لوڊر جي تنصيب کي چيڪ ڪرڻ لاءِ. bootctl پڻ ترتيب ڏني وئي آهي ته ڊيڄاريندڙن کي ڏيکارڻ لاءِ بوٽ انٽريز جي غلط تشڪيل جي باري ۾ (مثال طور، جڏهن ڪرنل تصوير ڊهي وڃي ٿي، پر ان کي لوڊ ڪرڻ لاءِ داخلا ڇڏي وڃي ٿي)؛
  • سوپ ورهاڱي جي خودڪار چونڊ مهيا ڪري ٿي جڏهن سسٽم ننڊ موڊ ۾ وڃي ٿي. ورهاڱي جي چونڊ ڪئي وئي آهي ان جي بنياد تي ترتيب ڏنل ترجيحن جي بنياد تي، ۽ هڪجهڙائي واري ترجيحن جي صورت ۾، خالي جاء جي مقدار؛
  • ڪيفائل-ٽائم آئوٽ آپشن کي شامل ڪيو ويو /etc/crypttab ۾ سيٽ ڪرڻ لاءِ ته انڪريپشن ڪيئي سان ڊيوائس ڪيترو وقت انتظار ڪندو ان کان اڳ پاسورڊ لاءِ پڇڻ کان اڳ انڪريپٽ ٿيل ورهاڱي تائين رسائي؛
  • BFQ شيڊيولر لاءِ I/O وزن مقرر ڪرڻ لاءِ IOWeight اختيار شامل ڪيو ويو؛
  • systemd-حل ڪيو ويو DNS-over-TLS لاءِ 'سخت' موڊ شامل ڪيو ۽ صرف مثبت DNS جوابن کي ڪيش ڪرڻ جي صلاحيت کي لاڳو ڪيو ("Cache no-negative" in solved.conf)؛
  • VXLAN لاءِ، systemd-networkd شامل ڪيو آھي ھڪڙو GenericProtocolExtension جو اختيار VXLAN پروٽوڪول ايڪسٽينشن کي فعال ڪرڻ لاءِ. VXLAN ۽ GENEVE لاءِ، IPDoNotFragment آپشن شامل ڪيو ويو آھي ٽڪنڊي جي پابندي واري پرچم کي سيٽ ڪرڻ لاءِ ٻاھرين پيڪٽن لاءِ.
  • Systemd-networkd ۾، “[Route]” سيڪشن ۾، FastOpenNoCookie آپشن ظاهر ٿيو آهي ته ٽي سي پي ڪنيڪشن کي جلدي کولڻ جي ميکانيزم کي فعال ڪرڻ لاءِ (TFO - TCP Fast Open, RFC 7413) انفرادي رستن جي حوالي سان، گڏوگڏ TTLPpropagate آپشن TTL LSP کي ترتيب ڏيڻ لاء (ليبل سوئچ ٿيل رستو). "قسم" اختيار مقامي، نشريات، ڪنهن به ڪاسٽ، ملٽي ڪاسٽ، ڪنهن به ۽ x حل ڪرڻ واري روٽنگ موڊس لاءِ مدد فراهم ڪري ٿو.
  • Systemd-networkd پيش ڪري ٿو DefaultRouteOnDevice آپشن “[Network]” سيڪشن ۾ خودڪار طريقي سان ترتيب ڏنل نيٽ ورڪ ڊيوائس لاءِ ڊفالٽ روٽ ترتيب ڏيڻ لاءِ؛
  • Systemd-networkd شامل ڪيو آهي ProxyARP ۽
    ProxyARPWifi proxy ARP جي رويي کي ترتيب ڏيڻ لاءِ، ملٽي ڪاسٽ موڊ ۾ روٽنگ پيٽرولر سيٽ ڪرڻ لاءِ MulticastRouter، ملٽي ڪاسٽ لاءِ IGMP (انٽرنيٽ گروپ مينيجمينٽ پروٽوڪول) ورجن کي تبديل ڪرڻ لاءِ MulticastIGMP ورجن؛

  • Systemd-networkd مقامي ۽ ريموٽ IP پتي کي ترتيب ڏيڻ لاءِ FooOverUDP سرنگن لاءِ مقامي، پير ۽ پيئر پورٽ جا اختيار شامل ڪيا آهن، انهي سان گڏ نيٽ ورڪ پورٽ نمبر. TUN سرنگن لاءِ، VnetHeader اختيار شامل ڪيو ويو آھي GSO (Generic Segment Offload) سپورٽ کي ترتيب ڏيڻ لاءِ؛
  • systemd-networkd ۾، نيٽ ورڪ ۽ .link فائلن ۾ [Match] سيڪشن ۾، هڪ پراپرٽي آپشن ظاهر ٿيو آهي، جيڪو توهان کي اجازت ڏئي ٿو ڊوائيسز کي سڃاڻڻ جي انهن جي مخصوص خاصيتن جي ذريعي udev ۾؛
  • سسٽم ڊي نيٽ ورڪ ۾، سرنگن لاءِ هڪ AssignToLoopback آپشن شامل ڪيو ويو آهي، جيڪو ڪنٽرول ڪري ٿو ته ڇا سرنگ جي پڇاڙي لوپ بڪ ڊيوائس "lo" کي لڳايو ويو آهي؛
  • systemd-networkd خودڪار طريقي سان IPv6 اسٽيڪ کي چالو ڪري ٿو جيڪڏھن اھو sysctl disable_ipv6 ذريعي بلاڪ ڪيو ويو آھي - IPv6 چالو آھي جيڪڏھن IPv6 سيٽنگون (جامد يا DHCPv6) نيٽ ورڪ انٽرفيس لاءِ بيان ڪيون ويون آھن، ٻي صورت ۾ اڳ ۾ ئي سيٽ ڪيل sysctl قدر تبديل نٿو ٿئي.
  • .network فائلن ۾، CriticalConnection سيٽنگ کي KeepConfiguration اختيار سان تبديل ڪيو ويو آهي، جيڪو حالتن جي وضاحت لاءِ وڌيڪ وسيلا مهيا ڪري ٿو ("ها"، "جامد"، "dhcp-آن-اسٽاپ"، "dhcp") جنهن ۾ systemd-networkd هجڻ گهرجي. موجوده ڪنيڪشن کي هٿ نه ڪريو جڏهن شروع ڪريو؛
  • ڪمزوري مقرر ٿيل CVE-2019-15718، سسٽمڊ-حل ٿيل ڊي-بس انٽرفيس تائين رسائي ڪنٽرول جي کوٽ جي ڪري. مسئلو هڪ غير مراعات يافته صارف کي آپريشن ڪرڻ جي اجازت ڏئي ٿو جيڪي صرف منتظمين لاءِ دستياب آهن، جهڙوڪ ڊي اين ايس سيٽنگون تبديل ڪرڻ ۽ ڊي اين ايس سوالن کي خراب سرور ڏانهن هدايت ڪرڻ؛
  • ڪمزوري مقرر ٿيل CVE-2019-9619غير انٽرايڪٽو سيشنز لاءِ pam_systemd کي فعال نه ڪرڻ سان لاڳاپيل، جيڪو فعال سيشن جي اسپفنگ جي اجازت ڏئي ٿو.

جو ذريعو: opennet.ru

تبصرو شامل ڪريو