ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > systemd පද්ධති කළමනාකරු නිකුතුව 248

systemd පද්ධති කළමනාකරු නිකුතුව 248

මාස හතරක සංවර්ධනයෙන් පසුව, පද්ධති කළමනාකරු systemd 248 නිකුතුව ඉදිරිපත් කරනු ලැබේ, නව නිකුතුව මඟින් පද්ධති නාමාවලි පුළුල් කිරීම, /etc/veritytab වින්‍යාස ගොනුව, systemd-cryptenroll උපයෝගීතාව, TPM2 චිප්ස් සහ FIDO2 භාවිතයෙන් LUKS2 අගුළු හැරීම සඳහා රූප සඳහා සහය සපයයි. ටෝකන, හුදකලා IPC හඳුනාගැනීමේ අවකාශයක ධාවන ඒකක, දැල් ජාල සඳහා BATMAN ප්‍රොටෝකෝලය, systemd-nspawn සඳහා nftables පසුබිම. Systemd-oomd ස්ථාවර කර ඇත.

ප්රධාන වෙනස්කම්:

  • System Extension images සංකල්පය ක්‍රියාවට නංවා ඇති අතර, එය /usr/ සහ /opt/ බහලුම්වල ධුරාවලිය දිගු කිරීමට සහ නිශ්චිත නාමාවලි කියවීමට පමණක් සවිකර තිබුණද ධාවන වේලාවේදී අමතර ගොනු එක් කිරීමට භාවිතා කළ හැක. පද්ධති විස්තාරණ රූපයක් සවිකර ඇති විට, එහි අන්තර්ගතය OverlayFS භාවිතයෙන් /usr/ සහ /opt/ ධුරාවලිය මත ආවරණය කෙරේ.

    පද්ධති දිගුවල පින්තූර සම්බන්ධ කිරීම, විසන්ධි කිරීම, බැලීම සහ යාවත්කාලීන කිරීම සඳහා නව උපයෝගීතාවයක්, systemd-sysext යෝජනා කර ඇත. ආරම්භයේදී දැනටමත් ස්ථාපනය කර ඇති පින්තූර ස්වයංක්‍රීයව සම්බන්ධ කිරීමට, systemd-sysext.service සේවාව එක් කර ඇත. සහාය දක්වන පද්ධති දිගුවල මට්ටම තීරණය කිරීම සඳහා os-release ගොනුවට "SYSEXT_LEVEL=" පරාමිතිය එක් කරන ලදී.

  • ඒකක සඳහා, ExtensionImages සැකසුම ක්‍රියාත්මක කර ඇත, එය තනි තනි සේවාවල FS නාම අවකාශයේ ධුරාවලියට පද්ධති දිගු රූප සම්බන්ධ කිරීමට භාවිතා කළ හැක.
  • dm-verity මොඩියුලය භාවිතයෙන් වාරණ මට්ටමින් දත්ත සත්‍යාපනය වින්‍යාස කිරීමට /etc/veritytab වින්‍යාස ගොනුව එක් කරන ලදී. ගොනු ආකෘතිය /etc/crypttab ට සමාන වේ - "section_name device_for_data device_for_hashes check_hash_root විකල්ප." root උපාංගය සඳහා dm-verity හැසිරීම් වින්‍යාස කිරීමට systemd.verity.root_options කර්නල් විධාන රේඛා විකල්පය එක් කරන ලදී.
  • systemd-cryptsetup මඟින් PKCS#11 ටෝකන් URI සහ සංකේතනය කළ යතුර JSON ආකෘතියෙන් LUKS2 පාරදත්ත ශීර්ෂයෙන් උපුටා ගැනීමේ හැකියාව එක් කරයි, සංකේතාත්මක උපාංගයක් විවෘත කිරීම පිළිබඳ තොරතුරු බාහිර ගොනු සම්බන්ධ නොවී උපාංගය තුළම ඒකාබද්ධ කිරීමට ඉඩ සලසයි.
  • systemd-cryptsetup කලින් සහය දුන් PKCS#2 ටෝකන වලට අමතරව, TPM2 චිප්ස් සහ FIDO2 ටෝකන භාවිතා කරමින් LUKS11 සංකේතාත්මක කොටස් අගුළු ඇරීමට සහය දක්වයි. libfido2 පූරණය කිරීම dlopen() හරහා සිදු කෙරේ, i.e. දෘඪ රැහැන් යැපීම ලෙස නොව, පියාසර කිරීමේදී ලබා ගත හැකි බව පරීක්ෂා කරනු ලැබේ.
  • නව විකල්ප "no-write-workqueue" සහ "no-read-workqueue" /etc/crypttab වෙත systemd-cryptsetup සඳහා එක් කර ඇත සංකේතනය සහ විකේතනය සමග සම්බන්ධිත I/O හි සමමුහුර්ත සැකසුම් සක්‍රීය කිරීම.
  • systemd-repart utility විසින් TPM2 චිප්ස් භාවිතයෙන් සංකේතනය කරන ලද කොටස් සක්‍රිය කිරීමේ හැකියාව එක් කර ඇත, උදාහරණයක් ලෙස, පළමු ඇරඹුමේදී සංකේතාත්මක /var කොටසක් සෑදීමට.
  • systemd-cryptenroll උපයෝගීතාව TPM2, FIDO2 සහ PKCS#11 ටෝකන LUKS කොටස්වලට බැඳීමට මෙන්ම ටෝකන ඉවත් කිරීමට සහ බැලීමට, අමතර යතුරු බැඳීමට සහ ප්‍රවේශය සඳහා මුරපදයක් සැකසීමට එක් කර ඇත.
  • PrivateIPC පරාමිතිය එක් කරන ලද අතර, එය හුදකලා වූ IPC අවකාශයක ක්‍රියාවලි ක්‍රියාත්මක කිරීමට ඒකක ගොනුව වින්‍යාස කිරීමට ඔබට ඉඩ සලසයි. දැනටමත් නිර්මාණය කර ඇති IPC හඳුනාගැනීමේ අවකාශයකට ඒකකයක් සම්බන්ධ කිරීමට, IPCNamespacePath විකල්පය යෝජනා කෙරේ.
  • ගොනු පද්ධතියේ නිශ්චිත කොටස් සඳහා noexec ධජය යෙදීමට ඉඩ දීම සඳහා ExecPaths සහ NoExecPaths සැකසුම් එකතු කරන ලදී.
  • systemd-networkd මගින් BATMAN (Mobile Adhoc Networking වෙත වඩා හොඳ ප්‍රවේශයක්) mesh protocol සඳහා සහය එක් කරයි, එමඟින් සෑම node එකක්ම අසල්වැසි නෝඩ් හරහා සම්බන්ධ කර ඇති විමධ්‍යගත ජාල නිර්මාණය කිරීමට ඉඩ සලසයි. වින්‍යාස කිරීම සඳහා, .netdev හි [BatmanAdvanced] කොටස, .network ගොනු වල BatmanAdvanced පරාමිතිය සහ නව උපාංග වර්ගයක් "batadv" යෝජනා කෙරේ.
  • systemd-oomd පද්ධතියේ අඩු මතකය සඳහා මුල් ප්‍රතිචාර යාන්ත්‍රණය ක්‍රියාත්මක කිරීම ස්ථාවර කර ඇත. ඒකකයකට බලපෑම් කිරීමට පෙර සම්පතක් මුදා හැරීමට පොරොත්තු කාලය වින්‍යාස කිරීමට DefaultMemoryPressureDurationSec විකල්පය එක් කරන ලදී. Systemd-oomd විසින් PSI (Pressure Stall Information) කර්නල් උප පද්ධතිය භාවිතා කරන අතර, සම්පත් නොමැතිකම හේතුවෙන් සිදුවන ප්‍රමාදයන් හඳුනා ගැනීමට සහ පද්ධතිය තවමත් තීරනාත්මක තත්වයක නොමැති සහ එසේ නොවන අවස්ථාවකදී සම්පත්-දැඩි ක්‍රියාවලීන් තෝරා බේරා අවසන් කිරීමට ඔබට ඉඩ සලසයි. හැඹිලිය තීව්‍ර ලෙස කප්පාදු කිරීමට සහ දත්ත හුවමාරු කොටසට විස්ථාපනය කිරීමට පටන් ගනී.
  • කර්නල් විධාන රේඛා පරාමිතිය “root=tmpfs” එකතු කරන ලදි, එමඟින් Tmpfs භාවිතයෙන් RAM හි ඇති තාවකාලික ගබඩාවේ root කොටස සවි කිරීමට ඔබට ඉඩ සලසයි.
  • යතුරු ගොනුව සඳහන් කරන /etc/crypttab පරාමිතිය දැන් AF_UNIX සහ SOCK_STREAM සොකට් වර්ග වෙත යොමු කළ හැක. මෙම අවස්ථාවෙහිදී, සොකට් එකට සම්බන්ධ වන විට යතුර ලබා දිය යුතුය, උදාහරණයක් ලෙස, ගතිකව යතුරු නිකුත් කරන සේවාවන් නිර්මාණය කිරීමට භාවිතා කළ හැකිය.
  • පද්ධති කළමණාකරු සහ systemd-hostnamed විසින් භාවිතා කිරීම සඳහා පසුබැසීම ධාරක නාමය දැන් ආකාර දෙකකින් සැකසිය හැක: os-release හි DEFAULT_HOSTNAME පරාමිතිය හරහා සහ $SYSTEMD_DEFAULT_HOSTNAME පරිසර විචල්‍යය හරහා. systemd-hostnamed විසින් ධාරක නාමය තුළ "localhost" හසුරුවන අතර DBus හරහා "HardwareVendor" සහ "HardwareModel" ගුණාංග මෙන්ම ධාරක නාමය අපනයනය කිරීමේ හැකියාව එක් කරයි.
  • නිරාවරණය වූ පරිසර විචල්‍යයන් සහිත බ්ලොක් එක දැන් system.conf හෝ user.conf හි නව ManagerEnvironment විකල්පය හරහා වින්‍යාස කළ හැකි අතර කර්නල් විධාන රේඛාව සහ ඒකක ගොනු සැකසුම් හරහා පමණක් නොවේ.
  • සම්පාදනය කරන අවස්ථාවේදී, ආරක්ෂක සන්දර්භය පරීක්ෂා කිරීම සහ එය යෙදීම අතර ප්‍රමාදය අවම කිරීම සඳහා execve() වෙනුවට ක්‍රියාවලි ආරම්භ කිරීමට fexecve() පද්ධති ඇමතුම භාවිතා කළ හැක.
  • ඒකක ගොනු සඳහා, TPM2 උපාංග සහ තනි CPU හැකියාවන් තිබේදැයි පරීක්ෂා කිරීමට නව කොන්දේසි සහිත මෙහෙයුම් ConditionSecurity=tpm2 සහ ConditionCPUFeature එකතු කර ඇත (උදාහරණයක් ලෙස, ConditionCPUFeature=rdrand ප්‍රොසෙසරය RDRAND මෙහෙයුමට සහය දක්වයිද යන්න පරීක්ෂා කිරීමට භාවිතා කළ හැක).
  • පවතින කර්නල් සඳහා, seccomp පෙරහන් සඳහා පද්ධති ඇමතුම් වගු ස්වයංක්‍රීයව උත්පාදනය කිරීම ක්‍රියාත්මක කර ඇත.
  • සේවා නැවත ආරම්භ කිරීමකින් තොරව, දැනට පවතින සේවා වල mount namespaces වෙත නව බන්ධන සවිකිරීම් ආදේශ කිරීමේ හැකියාව එක් කරන ලදී. ආදේශ කිරීම සිදු කරනු ලබන්නේ 'systemctl bind' විධානයෙනි ...' සහ 'systemctl mount-image …'.
  • StandardOutput සහ StandardError සැකසුම් තුළ “කප්පාදු: » භාවිතයට පෙර පිරිසිදු කිරීම සඳහා.
  • sd-bus වෙත දේශීය බහාලුමක් තුළ නිශ්චිත පරිශීලක සැසියකට සම්බන්ධතාවයක් පිහිටුවීමේ හැකියාව එක් කරන ලදී. උදාහරණයක් ලෙස "systemctl -user -M lennart@ start quux".
  • පහත පරාමිති [Link] කොටසේ systemd.link ගොනු තුළ ක්‍රියාත්මක වේ:
    • Promiscuous - වත්මන් පද්ධතියට ආමන්ත්‍රණය නොකළ ඒවා ඇතුළුව සියලුම ජාල පැකට් සැකසීමට උපාංගය “අනාචාර” මාදිලියට මාරු කිරීමට ඔබට ඉඩ සලසයි;
    • TX සහ RX පෝලිම් ගණන සැකසීම සඳහා TransmitQueues සහ ReceiveQueues;
    • TX පෝලිම් ප්‍රමාණය සැකසීමට TransmitQueueLength; GRO (Generic Receive Offload) තාක්ෂණය භාවිතය සඳහා සීමාවන් සැකසීම සඳහා GenericSegmentOffloadMaxBytes සහ GenericSegmentOffloadMaxSegment.
  • systemd.network ගොනු වෙත නව සැකසුම් එකතු කර ඇත:
    • [ජාල] මාර්ග වගුවක් තෝරා ගැනීමට RouteTable;
    • [RoutingPolicyRule] රවුටින් වර්ගය සඳහා ටයිප් කරන්න ("කළු කුහරය, "ළඟා විය නොහැකි", "තහනම් කරන්න");
    • [IPv6AcceptRA] අවසර ලත් සහ ප්‍රතික්ෂේප කරන ලද මාර්ග දැන්වීම් ලැයිස්තු සඳහා RouteDenyList සහ RouteAllowList;
    • [DHCPv6] DHCP විසින් නිකුත් කරන ලද ලිපිනය නොසලකා හැරීමට Addres භාවිතා කරන්න;
    • [DHCPv6PrefixDelegation] තාවකාලික ලිපිනය කළමනාකරණය කරන්න;
    • අතුරුමුහුණත් ක්‍රියාකාරකම් සම්බන්ධ ප්‍රතිපත්තිය නිර්වචනය කිරීමට ActivationPolicy (සැමවිටම UP හෝ DOWN තත්වය පවත්වා ගන්න, නැතහොත් "ip link set dev" විධානය සමඟින් ප්‍රාන්ත වෙනස් කිරීමට පරිශීලකයාට ඉඩ දෙන්න).
  • VLAN පැකට් සැකසුම් වින්‍යාස කිරීම සඳහා systemd.netdev ගොනු වෙත [VLAN] ප්‍රොටෝකෝලය, IngressQOSMaps, EgressQOSMaps, සහ [MACVLAN] BroadcastMulticastQueueLength විකල්ප එක් කරන ලදී.
  • /dev/sgx ගොනු සමඟ ක්‍රියාත්මක කළ හැකි ධජය භාවිතා කරන විට ගැටුමක් ඇති කරන බැවින් noexec මාදිලියේ /dev/ බහලුම සවි කිරීම නැවැත්වීය. පැරණි හැසිරීම නැවත ලබා දීමට, ඔබට NoExecPaths=/dev සැකසුම භාවිතා කළ හැක.
  • /dev/vsock ගොනු අවසරයන් 0o666 ලෙස වෙනස් කර ඇති අතර, /dev/vhost-vsock සහ /dev/vhost-net ගොනු kvm සමූහය වෙත ගෙන ගොස් ඇත.
  • නිද්‍රා ප්‍රකාරයට නිවැරදිව සහය දක්වන USB ඇඟිලි සලකුණු කියවනය සමඟ දෘඪාංග ID දත්ත ගබඩාව පුළුල් කර ඇත.
  • systemd-resolved එකතු කරන ලද DNSSEC විමසුම් සඳහා ප්‍රතිචාර නිකුත් කිරීම සඳහා stub solver හරහා. දේශීය සේවාලාභීන්ට තමන් විසින්ම DNSSEC වලංගුකරණය සිදු කළ හැකි අතර, බාහිර සේවාලාභීන් මව් DNS සේවාදායකයට නොවෙනස්ව ප්‍රොක්සි වේ.
  • CacheFromLocalhost විකල්පය solved.conf වෙත එක් කරන ලදී, සැකසූ විට, systemd-resolved DNS සේවාදායකයට 127.0.0.1 හිදී ඇමතුම් සඳහා පවා හැඹිලි භාවිතා කරනු ඇත (පෙරනිමියෙන්, ද්විත්ව හැඹිලිගත වීම වැළැක්වීම සඳහා එවැනි ඉල්ලීම් හැඹිලිගත කිරීම අක්‍රීය කර ඇත).
  • systemd-resolved RFC-5001 NSID සඳහා දේශීය ඩීඑන්එස් විසඳුම තුළ සහය එක් කරයි, දේශීය විසදුම්කරු සහ වෙනත් ඩීඑන්එස් සේවාදායකය සමඟ අන්තර්ක්‍රියා අතර වෙනස හඳුනා ගැනීමට සේවාදායකයින්ට ඉඩ සලසයි.
  • solvectl උපයෝගීතාව මඟින් දත්ත මූලාශ්‍රය (දේශීය හැඹිලිය, ජාල ඉල්ලීම, දේශීය ප්‍රොසෙසර ප්‍රතිචාරය) සහ දත්ත සම්ප්‍රේෂණය කිරීමේදී සංකේතනය භාවිතා කිරීම පිළිබඳ තොරතුරු ප්‍රදර්ශනය කිරීමේ හැකියාව ක්‍රියාත්මක කරයි. නාම නිර්ණය කිරීමේ ක්‍රියාවලිය පාලනය කිරීම සඳහා විකල්ප --හැඹිලිය, --සංශ්ලේෂණය, --ජාලය, --කලාපය, --විශ්වාසය-ඇන්කර්, සහ --validate සපයනු ලැබේ.
  • systemd-nspawn දැනට පවතින iptables සහායට අමතරව nftables භාවිතයෙන් ෆයර්වෝලයක් වින්‍යාස කිරීම සඳහා සහය එක් කරයි. systemd-networkd හි IPMasquerade සැකසුම nftables-පාදක පසුබිමක් භාවිතා කිරීමේ හැකියාව එක් කර ඇත.
  • systemd-localed අතුරුදහන් ස්ථාන උත්පාදනය කිරීම සඳහා locale-gen ඇමතීමට සහය එකතු කරන ලදී.
  • විකල්ප --pager/-no-pager/-json= JSON ආකෘතියෙන් පේජිං මාදිලිය සහ ප්‍රතිදානය සක්‍රීය/අබල කිරීමට විවිධ උපයෝගිතා වෙත එක් කර ඇත. SYSTEMD_COLORS පරිසර විචල්‍යය (“16” හෝ “256”) හරහා ටර්මිනලයේ භාවිතා කරන වර්ණ ගණන සැකසීමේ හැකියාව එක් කරන ලදී.
  • වෙනම නාමාවලි ධූරාවලියක් (split / සහ /usr) සහ cgroup v1 සහාය සහිත ගොඩනැගීම අත්හරින ලදී.
  • Git හි ප්‍රධාන ශාඛාව 'master' සිට 'main' ලෙස නැවත නම් කර ඇත.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න