ProHoster > Blog > internetové správy > systemd system manager vydanie 246

systemd system manager vydanie 246

Po piatich mesiacoch vývoja predložené vydanie správcu systému systémový 246Nová verzia obsahuje podporu pre zmrazenie jednotiek, možnosť overiť obrazy koreňových diskov pomocou digitálneho podpisu, podporu pre kompresiu protokolov a výpisov jadra pomocou algoritmu ZSTD, možnosť odomknúť prenosné domovské adresáre pomocou tokenov FIDO2, podporu pre odomknutie oddielov Microsoft BitLocker cez /etc/crypttab a premenovanie BlackList na DenyList.

Hlavné zmeny:

  • Pridaná podpora pre radič zdrojov freezer založený na cgroups v2, ktorý možno použiť na zastavenie procesov a dočasné uvoľnenie zdrojov (CPU, I/O a potenciálne aj pamäť) pre iné úlohy. Zmrazovanie a rozmrazovanie jednotiek sa riadi pomocou nového príkazu „systemctl freeze“ alebo cez D-Bus.
  • Pridaná podpora pre overovanie obrazov koreňových diskov pomocou digitálneho podpisu. Overovanie sa vykonáva pomocou nových nastavení v servisných jednotkách: RootHash (hash koreňového disku na overenie obrazu disku zadaného pomocou možnosti RootImage) a RootHashSignature (digitálny podpis vo formáte PKCS#7 pre hash koreňového disku).
  • Obslužný program PID 1 má teraz schopnosť automaticky načítať predkompilované pravidlá AppArmor (/etc/apparmor/earlypolicy) v počiatočnej fáze bootovania.
  • Pridané nové nastavenia súboru jednotky: ConditionPathIsEncrypted a AssertPathIsEncrypted na kontrolu, či sa zadaná cesta nachádza na blokovom zariadení, ktoré používa šifrovanie (dm-crypt/LUKS), ConditionEnvironment a AssertEnvironment na kontrolu premenných prostredia (napríklad tých, ktoré sú nastavené PAM alebo pri konfigurácii kontajnerov).
  • Pre jednotky *.mount bolo implementované nastavenie ReadWriteOnly. Toto nastavenie zabraňuje pripojení oddielu iba na čítanie, ak ho nemožno pripojiť na čítanie aj zápis. Tento režim sa konfiguruje v súbore /etc/fstab pomocou možnosti „x-systemd.rw-only“.
  • Pre jednotky *.socket bolo pridané nastavenie PassPacketInfo, ktoré umožňuje jadru pridať ďalšie metadáta pre každý paket načítaný zo socketu (povoľuje režimy socketov IP_PKTINFO, IPV6_RECVPKTINFO a NETLINK_PKTINFO).
  • Pre služby (jednotky *.service) sa navrhujú nastavenia CoredumpFilter (definuje sekcie pamäte, ktoré by mali byť zahrnuté do výpisov jadra) a
    TimeoutStartFailureMode/TimeoutStopFailureMode (definuje správanie (SIGTERM, SIGABRT alebo SIGKILL), keď dôjde k uplynutiu časového limitu pri spustení alebo zastavení služby).
  • Väčšina možností teraz podporuje zadávanie hexadecimálnych hodnôt pomocou predpony „0x“.
  • Rôzne parametre príkazového riadka a konfiguračné súbory súvisiace s nastavením kľúčov alebo certifikátov teraz podporujú zadávanie ciest k unixovým socketom (AF_UNIX) na prenos kľúčov a certifikátov prostredníctvom volaní služby IPC, keď je nežiaduce umiestňovať certifikáty na nešifrované diskové úložisko.
  • Pridaná podpora pre šesť nových špecifikátorov, ktoré je možné použiť v súboroch units, tmpfiles.d/, sysusers.d/ a ďalších konfiguračných súboroch: %a pre nahradenie aktuálnej architektúry, %o/%w/%B/%W pre nahradenie polí identifikátormi z /etc/os-release a %l pre nahradenie krátkeho názvu hostiteľa.
  • Súbory jednotiek už nepodporujú syntax „.include“, ktorá bola pred 6 rokmi zastaraná.
  • Nastavenia StandardError a StandardOutput už nepodporujú hodnoty „syslog“ a „syslog-console“, ktoré sa automaticky skonvertujú na „journal“ a „journal+console“.
  • Pre automaticky vytvorené body pripojenia založené na tmpfs (/tmp, /run, /dev/shm atď.) sú nastavené limity veľkosti a počtu inódov, ktoré zodpovedajú 50 % veľkosti RAM pre /tmp a /dev/shm a 10 % RAM pre všetky ostatné.
  • Boli pridané nové parametre príkazového riadka jadra: systemd.hostname na nastavenie názvu hostiteľa pri bootovaní, udev.blockdev_read_only na obmedzenie všetkých blokových zariadení súvisiacich s fyzickým úložiskom na režim iba na čítanie (na selektívne prepísanie tohto režimu môžete použiť príkaz „blockdev --setrw“), systemd.swap na vypnutie automatickej aktivácie swapovacieho oddielu, systemd.clock-usec na nastavenie systémových hodín v mikrosekundách a systemd.condition-needs-update a systemd.condition-first-boot na prepísanie kontrol ConditionNeedsUpdate a ConditionFirstBoot.
  • Predvolene je premenná sysctl fs.suid_dumpable nastavená na hodnotu 2 („suidsafe“), čo umožňuje ukladanie výpisov jadra pre procesy s príznakom suid.
  • Hardvérová databáza z ChromiumOS si požičiava súbor /usr/lib/udev/hwdb.d/60-autosuspend.hwdb, ktorý obsahuje informácie o zariadeniach PCI a USB, ktoré podporujú automatický režim spánku.
  • Do súboru networkd.conf bolo pridané nastavenie ManageForeignRoutes. Po jeho povolení začne systemd-networkd spravovať všetky trasy nakonfigurované inými nástrojmi.
  • Do súborov .network bola pridaná sekcia „[SR-IOV]“ na konfiguráciu sieťových zariadení s podporou SR-IOV (virtualizácia jedného koreňa I/O).
  • V systemd-networkd bolo do sekcie „[Sieť]“ pridané nastavenie IPv4AcceptLocal, ktoré umožňuje sieťovému rozhraniu prijímať pakety prichádzajúce s lokálnou zdrojovou adresou.
  • V systemd-networkd bola pridaná možnosť konfigurácie disciplín prioritizácie HTB prevádzky prostredníctvom [HierarchyTokenBucket] a
    [HierarchyTokenBucketClass], „pfifo“ cez [PFIFO], „GRED“ cez [GenericRandomEarlyDetection], „SFB“ cez [StochasticFairBlue], „koláč“
    cez [CAKE], „PIE“ cez [PIE], „DRR“ cez [DeficitRoundRobinScheduler] a
    [DeficitRoundRobinSchedulerClass], „BFIFO“ cez [BFIFO],
    „PFIFOHeadDrop“ cez [PFIFOHeadDrop], „PFIFOFast“ cez [PFIFOFast], „HHF“
    cez [HeavyHitterFilter], „ETS“ cez [EnhancedTransmissionSelection],
    „QFQ“ prostredníctvom [QuickFairQueueing] a [QuickFairQueueingClass].
  • V systemd-networkd bolo do sekcie [DHCPv4] pridané nastavenie UseGateway, ktoré zakazuje používanie informácií o bráne získaných prostredníctvom DHCP.
  • V súbore systemd-networkd boli sekcie [DHCPv4] a [DHCPServer] aktualizované o nastavenie SendVendorOption pre nastavenie a spracovanie ďalších možností dodávateľa.
  • V súbore systemd-networkd implementuje sekcia [DHCPServer] novú sadu volieb EmitPOP3/POP3, EmitSMTP/SMTP a EmitLPR/LPR na pridanie informácií o serveroch POP3, SMTP a LPR.
  • V súbore systemd-networkd, v súboroch .netdev, v sekcii [Bridge] bolo pridané nastavenie VLANProtocol na výber použitého protokolu VLAN.
  • V systemd-networkd implementuje sekcia [Link] súborov .network nastavenie Group na správu skupiny odkazov.
  • Nastavenia čiernej listiny boli premenované na DenyList (aby sa zabezpečila spätná kompatibilita, zachovala sa stará podoba názvu).
  • Do systemd-networkd bola pridaná veľká časť nastavení súvisiacich s IPv6 a DHCPv6.
  • Do networkctl bol pridaný príkaz „forcerenew“ na vynútenie obnovenia všetkých väzieb adries (prenájmov).
  • V systemd-resolved teraz konfigurácia DNS podporuje zadanie čísla portu a názvu hostiteľa pre overenie certifikátu DNS-over-TLS. Implementácia DNS-over-TLS teraz podporuje overenie SNI.
  • Do systemd-resolved bola pridaná možnosť konfigurovať presmerovanie DNS mien s jedným označením (z jedného názvu hostiteľa).
  • systemd-journald teraz podporuje algoritmus zstd na kompresiu veľkých polí v žurnáloch. V hašovacích tabuľkách používaných v žurnáloch bola implementovaná prevencia kolízií.
  • Pridané klikateľné URL adresy s odkazmi na dokumentáciu do správ protokolu journalctl.
  • Do súboru journald.conf bolo pridané nastavenie Audit, ktoré kontroluje, či je audit povolený počas inicializácie systemd-journald.
  • Do systemd-coredump bola pridaná možnosť kompresie výpisov jadra pomocou algoritmu zstd.
  • Pridané nastavenie UUID do systemd-repart na priradenie UUID vytvorenému oddielu.
  • Služba systemd-homed, ktorá spravuje prenosné domovské adresáre, teraz podporuje odomykanie domovských adresárov pomocou tokenov FIDO2. Backend pre šifrovanie oddielov LUKS teraz podporuje automatické obnovenie prázdnych blokov súborového systému po ukončení relácie. Bola pridaná ochrana pred dvojitým šifrovaním, ak sa v systéme zistí šifrovanie pre oddiel /home.
  • Do súboru /etc/crypttab boli pridané nastavenia: „keyfile-erase“ na vymazanie kľúča po použití a „try-empty-password“ na pokus o odomknutie oddielu s prázdnym heslom pred výzvou na zadanie hesla od používateľa (užitočné pri inštalácii šifrovaných obrazov s heslom priradeným po prvom spustení, a nie počas inštalácie).
  • Systemd-cryptsetup teraz podporuje odomykanie oddielov Microsoft BitLocker pomocou /etc/crypttab pri bootovaní. Pridané je aj čítanie.
    kľúče na automatické odomykanie oddielov zo súborov /etc/cryptsetup-keys.d/ .key a /run/cryptsetup-keys.d/ .kľúč.
  • Pridaný generátor systemd-xdg-autostart-generator na vytváranie súborov jednotiek zo súborov automatického spustenia .desktop.
  • Do bootctl bol pridaný príkaz reboot-to-firmware.
  • Do systemd-firstboot boli pridané nasledujúce možnosti: „--image“ na určenie obrazu disku, z ktorého sa má bootovať, „--kernel-command-line“ na inicializáciu súboru /etc/kernel/cmdline, „--root-password-hashed“ na určenie hash hesla root a „--delete-root-password“ na odstránenie hesla root.

Zdroj: opennet.ru

Kúpte si spoľahlivý hosting pre stránky s DDoS ochranou, VPS VDS servery 🔥 Kúpte si spoľahlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster