ProHoster > Blog > internetové správy > systemd system manager vydanie 253

systemd system manager vydanie 253

Po tri a pol mesiacoch vývoja bolo predstavené vydanie správcu systému systemd 253.

Medzi zmeny v novom vydaní:

  • Balík obsahuje pomôcku „ukify“, ktorá je navrhnutá na vytváranie, overovanie a generovanie podpisov pre zjednotené obrazy jadra (UKI, Unified Kernel Image), ktorý kombinuje obslužný program na načítanie jadra z UEFI (UEFI boot stub), obraz jadra Linuxu a systémové prostredie načítané do pamäte initrd, ktoré sa používa na počiatočnú inicializáciu vo fáze pred pripojením koreňového súborového systému. Pomôcka nahrádza funkčnosť, ktorú predtým poskytoval príkaz 'dracut -uefi' a dopĺňa ju o možnosti automatického výpočtu offsetov v súboroch PE, zlučovanie initrd, podpisovanie vložených obrazov jadra, vytváranie kombinovaných obrazov pomocou sbsign, heuristiku na určenie mena jadra, kontrolu obrázok s úvodnou obrazovkou a pridaním podpísaných politík PCR vygenerovaných pomocným programom systemd-measure.
  • Pridaná podpora pre prostredia initrd, ktoré nie sú obmedzené umiestnením pamäte, v ktorých sa namiesto tmpfs používajú overlayfs. V takýchto prostrediach systemd po prepnutí koreňového systému súborov nevymaže všetky súbory v initrd.
  • Parameter „OpenFile“ bol pridaný do služieb na otváranie ľubovoľných súborov v súborovom systéme (alebo pripojenie k soketom Unix) a odovzdávanie súvisiacich deskriptorov súborov spustenému procesu (napríklad, keď potrebujete zorganizovať prístup k súboru pre neprivilegovaná služba bez zmeny prístupových práv k súboru) .
  • V systemd-cryptenroll je možné pri registrácii nových kľúčov odomknúť zašifrované oddiely pomocou tokenov FIDO2 (--unlock-fido2-device) bez vyžadovania hesla. Používateľom zadaný PIN kód je uložený so soľou, aby sa skomplikovala detekcia hrubej sily.
  • Pridané nastavenia ReloadLimitIntervalSec a ReloadLimitBurst, ako aj možnosti príkazového riadka jadra (systemd.reload_limit_interval_sec a /systemd.reload_limit_burst) na obmedzenie intenzity reštartov procesov na pozadí.
  • Pre jednotky bola implementovaná voľba „MemoryZSwapMax“ na konfiguráciu vlastnosti memory.zswap.max, ktorá určuje maximálnu veľkosť zswap.
  • Pre jednotky bola implementovaná možnosť „LogFilterPatterns“, ktorá vám umožňuje nastaviť regulárne výrazy na filtrovanie výstupu informácií do protokolu (možno použiť na vylúčenie určitého výstupu alebo uloženie iba určitých údajov).
  • Jednotky rozsahu teraz podporujú nastavenie „OOMPolicy“ na nastavenie správania pri pokuse o preempt, keď je málo pamäte (relácie prihlásenia sú nastavené na OOMPolicy=continue, aby ich OOM zabijak násilne neukončil).
  • Bol definovaný nový typ služby – “Type=notify-reload”, ktorý rozširuje typ “Type=notify” o možnosť čakať na dokončenie spracovania signálu reštartu (SIGHUP). Služby systemd-networkd.service, systemd-udevd.service a systemd-logind boli prevedené na nový typ.
  • udev používa novú schému pomenovania pre sieťové zariadenia, rozdiel je v tom, že pre USB zariadenia, ktoré nie sú viazané na PCI zbernicu, je teraz ID_NET_NAME_PATH nastavené tak, aby zabezpečilo predvídateľnejšie názvy. Operátor '-=' bol implementovaný pre premenné SYMLINK, pričom symbolické odkazy zostali nekonfigurované, ak bolo predtým definované pravidlo na ich pridávanie.
  • V systemd-boot bol prepracovaný prenos zdroja pre generátory pseudonáhodných čísel v jadre a pre diskový backend. Pridaná podpora načítania jadra nielen z ESP (EFI System Partition), napríklad z firmvéru alebo priamo pre QEMU. Analýza parametrov SMBIOS sa poskytuje na určenie spustenia vo virtualizačnom prostredí. Bol implementovaný nový „if-safe“ režim, v ktorom sa certifikát pre UEFI Secure Boot načíta z ESP iba ​​vtedy, ak sa považuje za bezpečný (beží na virtuálnom počítači).
  • Pomôcka bootctl implementuje generovanie systémových tokenov na všetkých systémoch EFI, okrem virtualizačných prostredí. Pridané príkazy „kernel-identify“ a „kernel-inspect“ na zobrazenie typu obrazu jadra a informácie o možnostiach príkazového riadka a verzii jadra, „unlink“ na odstránenie súboru spojeného s prvým typom zavádzacích záznamov, „cleanup“ na odstránenie všetkých súbory z adresára "entry-token" v ESP a XBOOTLDR, ktoré nie sú spojené s prvým typom zavádzacích záznamov. Bolo poskytnuté spracovanie premennej KERNEL_INSTALL_CONF_ROOT.
  • Príkaz 'systemctl list-dependencies' teraz podporuje spracovanie volieb '--type' a '--state' a príkaz 'systemctl kexec' pridáva podporu pre prostredia založené na hypervízore Xen.
  • V súboroch .network v sekcii [DHCPv4] bola teraz pridaná podpora pre možnosti SocketPriority a QuickAck, RouteMetric=high|medium|low.
  • Systemd-repart pridal možnosti „--include-partitions“, „--exclude-partitions“ a „-defer-partitions“ na filtrovanie oddielov podľa typu UUID, čo vám napríklad umožňuje vytvárať obrazy, v ktorých je zabudovaný jeden oddiel. na základe obsahu iného oddielu . Tiež bola pridaná možnosť „-veľkosť sektora“ na určenie veľkosti sektora použitého pri vytváraní oddielu. Pridaná podpora pre generovanie súborov erofs. Nastavenie Minimalizovať implementuje spracovanie „najlepšej“ hodnoty na výber minimálnej možnej veľkosti obrázka.
  • systemd-journal-remote umožňuje použitie nastavení MaxUse, KeepFree, MaxFileSize a MaxFiles na obmedzenie spotreby miesta na disku.
  • systemd-cryptsetup pridáva podporu pre odosielanie proaktívnych požiadaviek na tokeny FIDO2 na určenie ich prítomnosti pred autentifikáciou.
  • Do crypttabu boli pridané nové parametre tpm2-measure-bank a tpm2-measure-pcr.
  • systemd-gpt-auto-generator implementuje pripájanie oddielov ESP a XBOOTLDR v režimoch „noexec,nosuid,nodev“ a tiež pridáva účtovanie pre parametre rootfstype a rootflags prechádzajúce cez príkazový riadok jadra.
  • systemd-resolved poskytuje možnosť konfigurovať parametre resolvera zadaním volieb nameserver, domain, network.dns a network.search_domains na príkazovom riadku jadra.
  • Príkaz „systemd-analyze plot“ má teraz možnosť výstupu vo formáte JSON, keď zadáte príznak „-json“. Na ovládanie výstupu boli pridané aj nové možnosti „--table“ a „-no-legend“.
  • V roku 2023 plánujeme ukončiť podporu pre cgroups v1 a rozdelené hierarchie adresárov (kde /usr je pripojený oddelene od koreňového adresára, alebo /bin a /usr/bin, /lib a /usr/lib sú oddelené).

Zdroj: opennet.ru

Pridať komentár