ProHoster > Blog > internetové správy > systemd system manager vydanie 250

systemd system manager vydanie 250

Po piatich mesiacoch vývoja bolo predstavené vydanie správcu systému systemd 250 Nové vydanie zaviedlo možnosť ukladať poverenia v zašifrovanej podobe, implementovalo overovanie automaticky detekovaných GPT oddielov pomocou digitálneho podpisu, zlepšilo informácie o príčinách oneskorení, keď. spúšťacie služby a pridané možnosti na obmedzenie prístupu služieb k určitým súborovým systémom a sieťovým rozhraniam, poskytuje sa podpora monitorovania integrity oddielu pomocou modulu dm-integrity a pridáva sa podpora pre automatickú aktualizáciu sd-boot.

Hlavné zmeny:

  • Pridaná podpora pre šifrované a overené prihlasovacie údaje, ktoré môžu byť užitočné na bezpečné ukladanie citlivých materiálov, ako sú kľúče SSL a prístupové heslá. Dešifrovanie prihlasovacích údajov sa vykonáva iba v prípade potreby av súvislosti s miestnou inštaláciou alebo zariadením. Údaje sa šifrujú automaticky pomocou symetrických šifrovacích algoritmov, ktorých kľúč sa môže nachádzať v súborovom systéme, v čipe TPM2 alebo pomocou kombinovanej schémy. Po spustení služby sa prihlasovacie údaje automaticky dešifrujú a stanú sa dostupnými pre službu vo svojej normálnej forme. Na prácu so zašifrovanými povereniami bol pridaný nástroj „systemd-creds“ a pre služby boli navrhnuté nastavenia LoadCredentialEncrypted a SetCredentialEncrypted.
  • sd-stub, spustiteľný súbor EFI, ktorý umožňuje firmvéru EFI načítať jadro Linuxu, teraz podporuje zavádzanie jadra pomocou protokolu EFI LINUX_EFI_INITRD_MEDIA_GUID. Do sd-stub je tiež pridaná možnosť zabaliť poverenia a súbory sysext do archívu cpio a preniesť tento archív do jadra spolu s initrd (ďalšie súbory sú umiestnené v adresári /.extra/). Táto funkcia vám umožňuje používať overiteľné nemenné prostredie initrd doplnené o sysexty a šifrované autentifikačné údaje.
  • Špecifikácia Discoverable Partitions bola výrazne rozšírená a poskytuje nástroje na identifikáciu, montáž a aktiváciu systémových oddielov pomocou GPT (GUID Partition Tables). V porovnaní s predchádzajúcimi vydaniami táto špecifikácia teraz podporuje koreňový oddiel a oddiel /usr pre väčšinu architektúr, vrátane platforiem, ktoré nepoužívajú UEFI.

    Discoverable Partitions tiež pridáva podporu pre oblasti, ktorých integrita je overená modulom dm-verity pomocou digitálnych podpisov PKCS#7, čo uľahčuje vytváranie plne overených obrazov diskov. Podpora overovania je integrovaná do rôznych nástrojov, ktoré manipulujú s obrazmi diskov, vrátane systemd-nspawn, systemd-sysext, systemd-dissect, služieb RootImage, systemd-tmpfiles a systemd-sysusers.

  • Pre jednotky, ktorých spustenie alebo zastavenie trvá dlho, je možné okrem zobrazenia animovaného indikátora priebehu zobraziť informácie o stave, ktoré vám umožnia pochopiť, čo sa so službou práve deje a ktorá služba je správcom systému. momentálne čaká na dokončenie.
  • Do /etc/systemd/system.conf a /etc/systemd/user.conf bol pridaný parameter DefaultOOMScoreAdjust, ktorý vám umožňuje upraviť prah OOM-killer pre nedostatok pamäte, použiteľný pre procesy, ktoré systemd spúšťa pre systém a používateľov. Štandardne je váha systémových služieb vyššia ako u užívateľských služieb, t.j. Pri nedostatku pamäte je pravdepodobnosť ukončenia užívateľských služieb vyššia ako pri systémových.
  • Pridané nastavenie RestrictFileSystems, ktoré umožňuje obmedziť prístup služieb k určitým typom súborových systémov. Na zobrazenie dostupných typov súborových systémov môžete použiť príkaz „systemd-analyze filesystems“. Analogicky bola implementovaná možnosť RestrictNetworkInterfaces, ktorá vám umožňuje obmedziť prístup k určitým sieťovým rozhraniam. Implementácia je založená na module BPF LSM, ktorý obmedzuje prístup skupiny procesov k objektom jadra.
  • Pridaný nový konfiguračný súbor /etc/integritytab a pomôcka systemd-integritysetup, ktoré konfigurujú modul dm-integrity na riadenie integrity údajov na úrovni sektora, napríklad na zaručenie nemennosti šifrovaných údajov (Authenticated Encryption, zaisťuje, že blok údajov má neboli upravené kruhovým objazdom) . Formát súboru /etc/integritytab je podobný súborom /etc/crypttab a /etc/veritytab s tým rozdielom, že namiesto dm-crypt a dm-verity sa používa dm-integrity.
  • Bol pridaný nový súbor systemd-boot-update.service, po aktivácii a nainštalovaní bootloadera sd-boot systemd automaticky aktualizuje verziu bootloadera sd-boot, pričom kód bootloadera bude vždy aktuálny. Samotný sd-boot je teraz štandardne zostavený s podporou mechanizmu SBAT (UEFI Secure Boot Advanced Targeting), ktorý rieši problémy so zrušením certifikátu pre UEFI Secure Boot. Okrem toho sd-boot poskytuje možnosť analyzovať nastavenia zavádzania systému Microsoft Windows, aby sa správne vygenerovali názvy zavádzacích oblastí systému Windows a zobrazila sa verzia systému Windows.

    sd-boot tiež poskytuje možnosť definovať farebnú schému v čase zostavovania. Počas procesu zavádzania bola pridaná podpora pre zmenu rozlíšenia obrazovky stlačením klávesu „r“. Pridaná klávesová skratka „f“ na prechod do rozhrania konfigurácie firmvéru. Pridaný režim na automatické spustenie systému zodpovedajúci položke ponuky vybratej počas posledného spustenia. Pridaná možnosť automatického načítania ovládačov EFI umiestnených v adresári /EFI/systemd/drivers/ v sekcii ESP (EFI System Partition).

  • Zahrnutý je nový súbor jednotky factory-reset.target, ktorý je spracovaný v systemd-logind podobným spôsobom ako operácie reštartu, vypnutia, pozastavenia a hibernácie a používa sa na vytváranie obslužných programov na vykonanie obnovenia továrenských nastavení.
  • Proces vyriešený systemd teraz vytvára dodatočnú zásuvku na počúvanie na 127.0.0.54 okrem 127.0.0.53. Požiadavky prichádzajúce na 127.0.0.54 sú vždy presmerované na upstream server DNS a nie sú spracované lokálne.
  • Poskytli možnosť vytvárať systemd-importd a systemd-resolved s knižnicou OpenSSL namiesto libgcrypt.
  • Pridaná počiatočná podpora pre architektúru LoongArch používanú v procesoroch Loongson.
  • systemd-gpt-auto-generator poskytuje možnosť automaticky konfigurovať systémom definované odkladacie oddiely zašifrované podsystémom LUKS2.
  • Kód na analýzu obrázkov GPT používaný v nástrojoch systemd-nspawn, systemd-dissect a podobných nástrojoch implementuje schopnosť dekódovať obrázky pre iné architektúry, čo umožňuje použitie systemd-nspawn na spúšťanie obrázkov na emulátoroch iných architektúr.
  • Pri kontrole obrazov diskov systemd-dissect teraz zobrazuje informácie o účele partície, ako je napríklad vhodnosť spustenia cez UEFI alebo spustenie v kontajneri.
  • Pole „SYSEXT_SCOPE“ bolo pridané do súborov system-extension.d/, čo vám umožňuje označiť rozsah obrazu systému – „initrd“, „system“ alebo „portable“.
  • Do súboru os-release bolo pridané pole „PORTABLE_PREFIXES“, ktoré možno použiť v prenosných obrázkoch na určenie podporovaných prefixov súborov jednotiek.
  • systemd-logind predstavuje nové nastavenia HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress a HandleHibernateKeyLongPress, ktoré možno použiť na určenie toho, čo sa stane, keď niektoré klávesy podržíte stlačené dlhšie ako 5 sekúnd (napríklad je možné nakonfigurovať stlačenie klávesu Suspend pre rýchly prechod do pohotovostného režimu , a keď ho podržíte stlačené, prejde do režimu spánku).
  • Pre jednotky sú implementované nastavenia StartupAllowedCPUs a StartupAllowedMemoryNodes, ktoré sa líšia od podobných nastavení bez predpony Startup tým, že sa aplikujú iba vo fáze zavádzania a vypínania, čo umožňuje nastaviť ďalšie obmedzenia prostriedkov počas zavádzania.
  • Pridané [Condition|Assert][Memory|CPU|IO]Tlakové kontroly, ktoré umožňujú preskočenie alebo zlyhanie aktivácie jednotky, ak mechanizmus PSI zistí veľké zaťaženie pamäte, CPU a I/O v systéme.
  • Predvolený maximálny limit inode bol zvýšený pre oddiel /dev zo 64k na 1M a pre oddiel /tmp zo 400k na 1M.
  • Pre služby bolo navrhnuté nastavenie ExecSearchPath, ktoré umožňuje zmeniť cestu pre vyhľadávanie spustiteľných súborov spúšťaných cez nastavenia ako ExecStart.
  • Pridané nastavenie RuntimeRandomizedExtraSec, ktoré vám umožňuje zaviesť náhodné odchýlky do časového limitu RuntimeMaxSec, ktorý obmedzuje čas vykonania jednotky.
  • Rozšírila sa syntax nastavení RuntimeDirectory, StateDirectory, CacheDirectory a LogsDirectory, v ktorých zadaním dodatočnej hodnoty oddelenej dvojbodkou môžete teraz organizovať vytvorenie symbolického odkazu na daný adresár pre organizáciu prístupu po viacerých cestách.
  • Pre služby sú ponúkané nastavenia TTYRows a TTYColumns na nastavenie počtu riadkov a stĺpcov v zariadení TTY.
  • Pridané nastavenie ExitType, ktoré vám umožňuje zmeniť logiku určovania konca služby. V predvolenom nastavení systemd monitoruje iba smrť hlavného procesu, ale ak je nastavený ExitType=cgroup, správca systému počká na dokončenie posledného procesu v cgroup.
  • Implementácia podpory TPM2/FIDO2/PKCS11 od systemd-cryptsetup je teraz tiež vytvorená ako doplnok cryptsetup, ktorý umožňuje použitie normálneho príkazu cryptsetup na odomknutie šifrovaného oddielu.
  • Obslužný program TPM2 v systemd-cryptsetup/systemd-cryptsetup pridáva okrem kľúčov ECC aj podporu pre primárne kľúče RSA, aby sa zlepšila kompatibilita s čipmi bez ECC.
  • Do /etc/crypttab bola pridaná možnosť token-timeout, ktorá vám umožňuje definovať maximálny čas čakania na pripojenie tokenu PKCS#11/FIDO2, po ktorom budete vyzvaní na zadanie hesla alebo kľúča na obnovenie.
  • systemd-timesyncd implementuje nastavenie SaveIntervalSec, ktoré vám umožňuje pravidelne ukladať aktuálny systémový čas na disk, napríklad na implementáciu monotónnych hodín v systémoch bez RTC.
  • Do pomôcky systemd-analyze boli pridané možnosti: „--image“ a „--root“ na kontrolu súborov jednotiek v danom image alebo koreňovom adresári, „--recursive-errors“ na zohľadnenie závislých jednotiek pri chybe sa zistí, „--offline“ na kontrolu oddelených jednotkových súborov uložených na disku, „—json“ na výstup vo formáte JSON, „—tichý“ na vypnutie nedôležitých správ, „—profil“ na naviazanie na prenosný profil. Pridaný je aj príkaz inspect-elf na analýzu základných súborov vo formáte ELF a možnosť kontrolovať súbory jednotiek s daným názvom jednotky bez ohľadu na to, či sa tento názov zhoduje s názvom súboru.
  • systemd-networkd rozšíril podporu pre zbernicu Controller Area Network (CAN). Pridané nastavenia na ovládanie režimov CAN: Loopback, OneShot, PresumeAck a ClassicDataLengthCode. Pridané možnosti TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 a DataSyncJumpWidth v sekcii synchronizácie bitových súborov CAN.net v súboroch .net.
  • Systemd-networkd pridal možnosť Label pre klienta DHCPv4, ktorá vám umožňuje konfigurovať štítok adresy používaný pri konfigurácii adries IPv4.
  • systemd-udevd pre "ethtool" implementuje podporu pre špeciálne "max" hodnoty, ktoré nastavujú veľkosť vyrovnávacej pamäte na maximálnu hodnotu podporovanú hardvérom.
  • V súboroch .link pre systemd-udevd môžete teraz konfigurovať rôzne parametre na kombinovanie sieťových adaptérov a pripojenie hardvérových obslužných programov (offload).
  • systemd-networkd štandardne ponúka nové súbory .network: 80-container-vb.network na definovanie sieťových mostov vytvorených pri spustení systemd-nspawn s možnosťami „--network-bridge“ alebo „--network-zone“; 80-6rd-tunnel.network na definovanie tunelov, ktoré sa automaticky vytvoria pri prijatí odpovede DHCP s voľbou 6RD.
  • Systemd-networkd a systemd-udevd pridali podporu pre preposielanie IP cez rozhrania InfiniBand, pre ktoré bola do súborov systemd.netdev pridaná sekcia „[IPoIB]“ a spracovanie hodnoty „ipoib“ bolo implementované v druhu nastavenie.
  • systemd-networkd poskytuje automatickú konfiguráciu trasy pre adresy špecifikované v parametri AllowedIPs, ktoré je možné nakonfigurovať prostredníctvom parametrov RouteTable a RouteMetric v sekciách [WireGuard] a [WireGuardPeer].
  • systemd-networkd poskytuje automatické generovanie nemenných MAC adries pre rozhrania batadv a bridge. Ak chcete zakázať toto správanie, môžete zadať MACAddress=none v súboroch .netdev.
  • Nastavenie WakeOnLanPassword bolo pridané do súborov .link v sekcii „[Link]“ na určenie hesla, keď je WoL spustený v režime „SecureOn“.
  • Pridané nastavenia AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO a UseRawPacketSize do časti „[CAKE]“ súborov .network na definovanie parametrov mechanizmu správy siete CAKE (Common Applications) Kept Enhanceed .
  • Pridané nastavenie IgnoreCarrierLoss do sekcie „[Network]“ súborov .network, ktoré vám umožňuje určiť, ako dlho budete čakať, kým zareagujete na stratu nosného signálu.
  • Systemd-nspawn, homectl, machinectl a systemd-run rozšírili syntax parametra "--setenv" - ak je zadaný iba názov premennej (bez "="), hodnota sa prevezme z príslušnej premennej prostredia (napr. napríklad pri zadaní "--setenv=FOO" sa hodnota prevezme z premennej prostredia $FOO a použije sa v premennej prostredia s rovnakým názvom nastavenej v kontajneri).
  • systemd-nspawn pridal možnosť „--suppress-sync“ na zakázanie systémových volaní sync()/fsync()/fdatasync() pri vytváraní kontajnera (užitočné, keď je prioritou rýchlosť a nie je možné zachovať artefakty zostavy v prípade zlyhania dôležité, pretože ich možno kedykoľvek znovu vytvoriť).
  • Pribudla nová databáza hwdb, ktorá obsahuje rôzne typy analyzátorov signálov (multimetre, analyzátory protokolov, osciloskopy atď.). Informácie o kamerách v hwdb boli rozšírené o pole s informáciami o type kamery (bežná alebo infračervená) a umiestnení objektívu (predná alebo zadná).
  • Povolené generovanie nemenných názvov sieťových rozhraní pre zariadenia netfront používané v Xene.
  • Analýza základných súborov nástrojom systemd-coredump založeným na knižniciach libdw/libelf sa teraz vykonáva v samostatnom procese izolovanom v prostredí sandbox.
  • systemd-importd pridal podporu pre premenné prostredia $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, pomocou ktorých môžete zakázať generovanie pododdielov Btrfs, ako aj konfigurovať kvóty a synchronizáciu disku.
  • V systemd-journald, na súborových systémoch, ktoré podporujú režim kopírovania pri zápise, je režim COW znova povolený pre archivované žurnály, čo umožňuje ich komprimáciu pomocou Btrfs.
  • systemd-journald implementuje deduplikáciu identických polí v jednej správe, ktorá sa vykonáva vo fáze pred umiestnením správy do žurnálu.
  • Do príkazu vypnutia bola pridaná možnosť „--show“ na zobrazenie plánovaného vypnutia.

Zdroj: opennet.ru

Pridať komentár