پنجن مهينن جي ترقي کان پوء سسٽم مئنيجر ڇڏڻ . نئين رليز ۾ شامل آهي منجهيل يونٽن جي مدد، ڊجيٽل دستخط استعمال ڪندي روٽ ڊسڪ تصوير جي تصديق ڪرڻ جي صلاحيت، ZSTD الگورتھم استعمال ڪندي لاگ ڪمپريشن ۽ ڪور ڊمپس لاءِ سپورٽ، FIDO2 ٽوڪن استعمال ڪندي پورٽبل گهر ڊاريڪٽري کي انلاڪ ڪرڻ جي صلاحيت، Microsoft BitLocker کي ان لاڪ ڪرڻ لاءِ سپورٽ. ورهاڱي ذريعي /etc/ crypttab، BlackList جو نالو مٽايو ويو آهي DenyList.
مکيه :
- شامل ڪيل سپورٽ فريزر ريسورس ڪنٽرولر جي بنياد تي cgroups v2، جنهن سان توهان عمل کي روڪي سگهو ٿا ۽ عارضي طور تي ڪجهه وسيلن کي آزاد ڪري سگهو ٿا (سي پي يو، I/O، ۽ امڪاني طور تي ميموري) ٻين ڪمن کي انجام ڏيڻ لاءِ. يونٽن جي فريزنگ ۽ ڊيفروسٽنگ کي ڪنٽرول ڪيو ويندو آهي نئين ”سسٽم سي ٽي ايل فريز“ ڪمانڊ يا ڊي-بس ذريعي.
- ڊجيٽل دستخط استعمال ڪندي روٽ ڊسڪ تصوير جي تصديق ڪرڻ لاءِ سپورٽ شامل ڪئي وئي. تصديق سروس يونٽن ۾ نئين سيٽنگون استعمال ڪندي ڪئي ويندي آهي: روٽ هش (روٽ هيش ڊسڪ تصوير جي تصديق ڪرڻ لاءِ RootImage آپشن ذريعي بيان ڪيل آهي) ۽ RootHashSignature (PKCS#7 فارميٽ ۾ ڊجيٽل دستخط روٽ هيش لاءِ).
- PID 1 هينڊلر ابتدائي بوٽ اسٽيج تي اڳ ۾ ٺهيل AppArmor ضابطن (/etc/apparmor/earlypolicy) کي خودڪار طور تي لوڊ ڪرڻ جي صلاحيت کي لاڳو ڪري ٿو.
- نئين يونٽ فائل سيٽنگون شامل ڪيون ويون آهن: ConditionPathIsEncrypted ۽ AssertPathIsEncrypted مخصوص رستي جي جڳھ کي چيڪ ڪرڻ لاءِ بلاڪ ڊيوائس تي جيڪو استعمال ڪري ٿو انڪريپشن (dm-crypt/LUKS)، حالت ماحول ۽ AssertEnvironment ماحوليات جي متغيرن کي چيڪ ڪرڻ لاءِ (مثال طور، PAM پاران سيٽنگون. جڏهن ڪنٽينرز کي ترتيب ڏيو).
- *.mount يونٽن لاءِ، ReadWriteOnly سيٽنگ لاڳو ڪئي وئي آهي، جيڪا صرف پڙهڻ واري موڊ ۾ ورهاڱي کي لڳائڻ کان منع ڪري ٿي جيڪڏهن پڙهڻ ۽ لکڻ لاءِ ان کي مائونٽ ڪرڻ ممڪن نه هو. /etc/fstab ۾ هي موڊ "x-systemd.rw-only" اختيار استعمال ڪندي ترتيب ڏنو ويو آهي.
- *.ساکٽ يونٽن لاءِ، PassPacketInfo سيٽنگ شامل ڪئي وئي آهي، جيڪا ڪنيل کي ساڪٽ مان پڙهيل هر پيڪٽ لاءِ اضافي ميٽا ڊيٽا شامل ڪرڻ جي قابل بڻائي ٿي (ساڪيٽ لاءِ IP_PKTINFO، IPV6_RECVPKTINFO ۽ NETLINK_PKTINFO موڊس کي فعال ڪري ٿو).
- خدمتن لاءِ (*.service يونٽن)، CoredumpFilter سيٽنگون تجويز ڪيل آهن (ميموري سيڪشن جي وضاحت ڪري ٿي جيڪي بنيادي ڊمپ ۾ شامل ٿيڻ گهرجن) ۽
TimeoutStartFailureMode/TimeoutStopFailureMode (رويي جي وضاحت ڪري ٿو (SIGTERM، SIGABRT يا SIGKILL) جڏھن ھڪڙي خدمت شروع ڪرڻ يا بند ڪرڻ وقت وقت ختم ٿئي ٿو). - گھڻا اختيار ھاڻي ھيڪساڊيڪل ويلز کي سپورٽ ڪن ٿا جن کي "0x" اڳياڙي استعمال ڪندي بيان ڪيو ويو آھي.
- مختلف ڪمانڊ لائن پيرا ميٽرز ۽ ڪنفيگريشن فائلن ۾ ڪنجيز يا سرٽيفڪيٽن کي ترتيب ڏيڻ سان لاڳاپيل، اهو ممڪن آهي ته يونڪس ساکٽس (AF_UNIX) ڏانهن رستو بيان ڪرڻ لاءِ ڪنز ۽ سرٽيفڪيٽن جي منتقلي لاءِ IPC سروسز تي ڪالز ذريعي جڏهن سرٽيفڪيٽن کي غير انڪرپٽ ٿيل ڊسڪ تي رکڻ جوڳو ناهي. ذخيرو.
- ڇهن نون وضاحت ڪندڙن لاءِ سپورٽ شامل ڪئي وئي جيڪي يونٽن ۾ استعمال ڪري سگھجن ٿيون، tmpfiles.d/، sysusers.d/ ۽ ٻيون ڪنفيگريشن فائلون: %a موجوده فن تعمير کي مٽائڻ لاءِ، %o/%w/%B/%W لاءِ فيلڊز کي متبادل ڪرڻ لاءِ. /etc/os-release کان سڃاڻپ ڪندڙ ۽ %l مختصر ميزبان نالي جي متبادل لاءِ.
- يونٽ فائلون هاڻي ”.شامل“ نحو کي سپورٽ نه ٿيون ڏين، جنهن کي 6 سال اڳ ختم ڪيو ويو هو.
- StandardError ۽ StandardOutput سيٽنگون هاڻي "syslog" ۽ "syslog-console" جي قدرن کي سپورٽ نه ٿيون ڏين، جيڪي خودڪار طور تي "جرنل" ۽ "جرنل + ڪنسول" ۾ تبديل ٿي وينديون.
- خود بخود ٺاهيل tmpfs-based mount points (/tmp, /run, /dev/shm, etc.) لاءِ، انوڊس جي سائيز ۽ تعداد تي حدون مهيا ڪيون ويون آهن، 50% جي مطابق RAM سائيز جي /tmp ۽ /dev/ لاءِ. shm، ۽ 10٪ رام جو هر ڪنهن لاء.
- شامل ڪيا ويا نوان ڪرنل ڪمانڊ لائن جا اختيار: systemd.hostname شروعاتي بوٽ اسٽيج تي ميزبان نالو مقرر ڪرڻ لاءِ، udev.blockdev_read_only فزيڪل ڊرائيو سان لاڳاپيل سڀني بلاڪ ڊيوائسز کي صرف پڙهڻ واري موڊ تائين محدود ڪرڻ لاءِ (توهان استعمال ڪري سگهو ٿا ”blockdev --setrw“ ڪمانڊ منتخب طور تي منسوخ ڪريو)، systemd .swap، ادل بدلي ورهاڱي جي خودڪار چالو ڪرڻ کي غير فعال ڪرڻ لاء، systemd.clock-usec سسٽم جي گھڙي کي مائڪرو سيڪنڊن ۾ سيٽ ڪرڻ لاء، systemd.condition-needs-update ۽ systemd.condition-first-boot کي اوور رائڊ ڪرڻ لاءِ ConditionNeedsUpdate ۽ ContitionB چيڪ.
- ڊفالٽ طور، sysctl fs.suid_dumpable کي 2 ("suidsafe") تي سيٽ ڪيو ويو آهي، جيڪو سوڊ پرچم سان پروسيس لاء بنيادي ڊمپ کي بچائڻ جي اجازت ڏئي ٿو.
- فائل /usr/lib/udev/hwdb.d/60-autosuspend.hwdb هارڊويئر ڊيٽابيس ۾ ChromiumOS کان قرض ورتو ويو، جنهن ۾ PCI ۽ USB ڊوائيسز بابت معلومات شامل آهي جيڪي خودڪار ننڊ موڊ کي سپورٽ ڪن ٿيون.
- هڪ ManageForeignRoutes سيٽنگ نيٽ ورڪd.conf ۾ شامل ڪئي وئي آهي، جڏهن فعال ڪيو ويندو، systemd-networkd ٻين يوٽيلٽيز پاران ترتيب ڏنل سڀني رستن کي منظم ڪرڻ شروع ڪندو.
- ھڪڙو "[SR-IOV]" سيڪشن شامل ڪيو ويو آھي نيٽ ورڪ فائلن کي ترتيب ڏيڻ لاءِ نيٽ ورڪ ڊوائيسز جيڪي SR-IOV (سنگل روٽ I/O ورچوئلائيزيشن) کي سپورٽ ڪن ٿيون.
- Systemd-networkd ۾، IPv4AcceptLocal سيٽنگ کي "[نيٽ ورڪ]" سيڪشن ۾ شامل ڪيو ويو آهي ته نيٽ ورڪ انٽرفيس تي مقامي ماخذ ايڊريس سان اچڻ واري پيڪيٽس کي اجازت ڏيڻ جي اجازت ڏني وڃي.
- systemd-networkd ۾ [HierarchyTokenBucket] ۽
[HierarchyTokenBucketClass]، "pfifo" ذريعي [PFIFO]، "GRED" ذريعي [GenericRandomEarlyDetection]، "SFB" ذريعي [StochasticFairBlue]، "ڪيڪ"
ذريعي [CAKE]، "PIE" ذريعي [PIE]، "DRR" ذريعي [DeficitRoundRobinScheduler] ۽
[DeficitRoundRobinSchedulerClass]، "BFIFO" ذريعي [BFIFO]،
"PFIFOHeadDrop" ذريعي [PFIFOHeadDrop]، "PFIFOFast" ذريعي [PFIFOFast]، "HHF"
ذريعي [HeavyHitterFilter]، "ETS" ذريعي [EnhancedTransmissionSelection]،
"QFQ" ذريعي [QuickFairQueueing] ۽ [QuickFairQueueingClass]. - Systemd-networkd ۾، هڪ UseGateway سيٽنگ شامل ڪئي وئي آهي [DHCPv4] سيڪشن ۾ DHCP ذريعي حاصل ڪيل گيٽ وي جي معلومات جي استعمال کي بند ڪرڻ لاءِ.
- Systemd-networkd ۾، [DHCPv4] ۽ [DHCPServer] سيڪشن ۾، اضافي وينڊر اختيارن کي انسٽال ڪرڻ ۽ پروسيس ڪرڻ لاءِ SendVendorOption سيٽنگ شامل ڪئي وئي آھي.
- systemd-networkd POP3، SMTP ۽ LPR سرورز بابت معلومات شامل ڪرڻ لاءِ [DHCPServer] سيڪشن ۾ EmitPOP3/POP3، EmitSMTP/SMTP ۽ EmitLPR/LPR اختيارن جو نئون سيٽ لاڳو ڪري ٿو.
- systemd-networkd ۾، [برج] سيڪشن ۾ .netdev فائلن ۾، استعمال ڪرڻ لاءِ VLAN پروٽوڪول چونڊڻ لاءِ هڪ VLANProtocol سيٽنگ شامل ڪئي وئي آهي.
- systemd-networkd ۾، نيٽ ورڪ فائلن ۾ [Link] سيڪشن ۾، گروپ سيٽنگ لاڳو ڪئي وئي آهي لنڪ جي هڪ گروپ کي منظم ڪرڻ لاءِ.
- بليڪ لسٽ سيٽنگن جو نالو تبديل ڪيو ويو آهي DenyList (پٺاڻ مطابقت لاءِ پراڻو نالو سنڀالڻ).
- Systemd-networkd IPv6 ۽ DHCPv6 سان لاڳاپيل سيٽنگن جو هڪ وڏو حصو شامل ڪيو آهي.
- سڀني ايڊريس بائنڊنگز کي اپڊيٽ ڪرڻ لاءِ مجبور ڪرڻ لاءِ نيٽ ورڪ سي ٽي ايل ۾ ”فورس رينيو“ ڪمانڊ شامل ڪيو ويو (ليز).
- سسٽم ۾ حل ٿيل، DNS ترتيب ۾، اهو ممڪن ٿيو ته پورٽ نمبر ۽ ميزبان جو نالو DNS-over-TLS سرٽيفڪيٽ جي تصديق لاءِ. DNS-over-TLS عمل درآمد SNI چيڪنگ لاءِ سپورٽ شامل ڪيو آهي.
- Systemd-حل ٿيل هاڻي واحد-ليبل DNS نالن جي ريڊائريڪشن کي ترتيب ڏيڻ جي صلاحيت رکي ٿو (سنگل-ليبل، هڪ ميزبان جي نالي کان).
- systemd-journald جرنلز ۾ وڏن شعبن کي دٻائڻ لاءِ zstd الگورتھم استعمال ڪرڻ لاءِ مدد فراهم ڪري ٿو. جرنلز ۾ استعمال ٿيندڙ هيش ٽيبلن ۾ ٽڪراءُ کان بچاءَ لاءِ ڪم ڪيو ويو آهي.
- لاگ پيغامن کي ڊسپلي ڪرڻ دوران دستاويزن جي لنڪ سان ڪلڪ ڪرڻ لائق URLs journalctl ۾ شامل ڪيا ويا آهن.
- journald.conf ۾ هڪ آڊٽ سيٽنگ شامل ڪئي وئي ته ڪنٽرول ڪرڻ لاءِ ته ڇا آڊيٽنگ فعال آهي systemd-journald جي شروعات دوران.
- Systemd-coredump هاڻي zstd الگورتھم استعمال ڪندي ڪور ڊمپ کي دٻائڻ جي صلاحيت رکي ٿو.
- ٺاهيل ورهاڱي کي UUID تفويض ڪرڻ لاء systemd-repart ۾ UUID سيٽنگ شامل ڪئي وئي.
- سسٽمڊ-هوم سروس، جيڪا مهيا ڪري ٿي پورٽبل گهر ڊائريڪٽرن جو انتظام، FIDO2 ٽوڪن استعمال ڪندي گهر ڊائريڪٽرن کي انلاڪ ڪرڻ جي صلاحيت شامل ڪئي آهي. LUKS ورهاڱي جي انڪرپشن پس منظر ۾ شامل ڪيو ويو آهي خودڪار طور تي خالي فائل سسٽم بلاڪ واپس ڪرڻ لاءِ جڏهن سيشن ختم ٿئي. ڊيٽا جي ڊبل انڪرپشن جي خلاف تحفظ شامل ڪيو ويو آھي جيڪڏھن اھو طئي ڪيو ويو آھي ته سسٽم تي /گھر ورهاڱي اڳ ۾ ئي انڪرپٽ ٿيل آھي.
- /etc/crypttab ۾ سيٽنگون شامل ڪيون ويون: استعمال ڪرڻ کان پوءِ ڪيئي کي حذف ڪرڻ لاءِ “keyfile-erase” ۽ “Try-empty-password” استعمال ڪرڻ کان اڳ خالي پاسورڊ سان ورهاڱي کي ان لاڪ ڪرڻ جي ڪوشش ڪرڻ لاءِ استعمال ڪندڙ کي پاسورڊ لاءِ اشارو ڪيو ويو (انڪريپٽ ٿيل تصويرن کي انسٽال ڪرڻ لاءِ مفيد پهرين بوٽ کان پوءِ ڏنل پاسورڊ سان، نه انسٽاليشن دوران).
- systemd-cryptsetup /etc/crypttab استعمال ڪندي بوٽ وقت تي Microsoft BitLocker پارٽيشن کي انلاڪ ڪرڻ لاءِ سپورٽ شامل ڪري ٿو. پڙهڻ جي صلاحيت پڻ شامل ڪئي
فائلن مان ورهاڱي کي خود بخود انلاڪ ڪرڻ لاءِ ڪنجيون /etc/cryptsetup-keys.d/ .key and /run/cryptsetup-keys.d/ .ڪي. - شامل ڪيو ويو systemd-xdg-autostart-generator .desktop autostart فائلن مان يونٽ فائلون ٺاهڻ لاءِ.
- شامل ڪيو ويو "reboot-to-firmware" حڪم "bootctl" ڏانهن.
- Systemd-firstboot ۾ شامل ڪيل اختيارات: "--image" کي بوٽ ڪرڻ لاءِ ڊسڪ تصوير کي بيان ڪرڻ لاءِ، "-kernel-command-line" کي شروع ڪرڻ لاءِ /etc/kernel/cmdline فائل، "--root-password-hashed" کي روٽ پاسورڊ هيش بيان ڪريو، ۽ "-delete-root-password" روٽ پاسورڊ کي ختم ڪرڻ لاء.
جو ذريعو: opennet.ru