ProHoster > Blog > internetové správy > systemd system manager vydanie 257

systemd system manager vydanie 257

Po šiestich mesiacoch vývoja bolo predstavené vydanie správcu systému systemd 257 Kľúčové zmeny: nové nástroje systemd-sbsign a systemd-keyutil, podpora pre MPTCP pri aktivácii cez soket, počiatočná podpora pre budovanie s knižnicou Musl C, the. updatectl utilita na správu inštalácie aktualizácií cez systemd-sysupdate, možnosť spúšťať služby v samostatných menných priestoroch PID, ochrana pred náhodným vymazaním súborov pri použití „systemd-tmpfiles —purge“.

Medzi zmeny v novom vydaní:

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux a systémové prostredie initrd načítané do pamäte.
  • Bol pridaný nový nástroj systemd-keyutil, ktorý implementuje rôzne operácie so súkromnými kľúčmi a certifikátmi X.509. Napríklad systemd-keyutil možno použiť na testovanie schopnosti načítať súkromné ​​kľúče a certifikáty a extrahovať z nich verejné kľúče vo formáte PEM.
  • V jednotkách „.socket“, ktoré sa používajú na zabezpečenie fungovania mechanizmu aktivácie socketov (spúšťanie procesov pri pokuse o nadviazanie sieťového pripojenia), je implementovaná podpora pre MPTCP (Multipath TCP), rozšírenie protokolu TCP na organizáciu fungovania TCP pripojenia s doručovaním paketov súčasne pozdĺž niekoľkých trás cez rôzne sieťové rozhrania viazané na rôzne... Moja IP adresa.
  • Zahŕňa zmeny potrebné na zostavenie pomocou štandardnej knižnice Musl C.
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • Rozšírili sa možnosti komponentu systemd-sysupdate, ktorý slúži na automatickú detekciu, sťahovanie a inštaláciu aktualizácií pomocou atomického mechanizmu na nahradenie partícií, súborov alebo adresárov (používajú sa dva nezávislé oddiely/súbory/adresáre, z ktorých jeden obsahuje aktuálne pracovné zdroj a druhý nainštaluje ďalšiu) aktualizáciu, po ktorej sa vymenia sekcie/súbory/adresáre). V praxi sa systemd-sysupdate už používa v GNOME OS.

    Okrem procesu systemd-sysupdate bola pridaná služba s rovnakým názvom, ktorá umožňuje použitie D-Bus na správu aktualizácií systému neprivilegovaným používateľom. Na správu služby je zahrnutá aj nová utilita updatectl. Do systemd-sysupdate bol pridaný príznak „--offline“, aby sa zakázalo sťahovanie metadát cez sieť a používali sa iba verzie už stiahnuté do lokálneho systému. Pridaná podpora pre výstup vo formáte JSON pre všetky príkazy.

  • Pre služby bola implementovaná nová vlastnosť „PrivatePIDs“, pomocou ktorej môžete organizovať spúšťanie procesov s PID 1 (init proces) v samostatnom priestore identifikátorov procesu (PID namespace). V prostredí vytvorenom pre spustený proces budú viditeľné iba procesy z menného priestoru vytvoreného preň.
  • Pridaná podpora pre zhody bez rozlišovania malých a veľkých písmen do pravidiel udev (napr. 'ATTR{foo}==i»abcd»'). Pomocou udev je možné poskytnúť neprivilegovaným lokálnym používateľom prístup (“uaccess”) k zariadeniu /dev/udmabuf, ktorý je nevyhnutný pre prácu s IPMI kamerami cez libcamera. udev poskytuje rozpoznávanie rôznych hardvérových krypto peňaženiek s rozhraním USB a nastavenie vlastnosti ID_HARDWARE_WALLET pre ne, čo vám umožňuje použiť na ne režim „uaccess“ pre prístup neprivilegovaných používateľov.
  • Do súboru /etc/os-release boli pridané nové polia RELEASE_TYPE, EXPERIMENT a EXPERIMENT_URL. "RELEASE_TYPE" môže mať hodnoty "experimental", "development", "stable" a "lts" na oddelenie stabilných verzií od vývojových a experimentálnych verzií. Parametre EXPERIMENT a EXPERIMENT_URL sú určené na vysvetlenie podstaty experimentálnej zostavy.
  • Pomôcka run0, vyvinutý ako náhrada za program sudo, pridal možnosť „--shell-prompt-prefix“, ktorá špecifikuje reťazec predpony pre príkazový riadok. V predvolenom nastavení sa emoji „🦸“ zobrazuje ako predpona na vizuálne zvýraznenie zvýšenej relácie.
  • V systemd-tmpfiles, aby sa predišlo náhodnému vymazaniu nesprávnych súborov, možnosť „--purge“ sa teraz vzťahuje len na nastavenia v tmpfiles.d/, ktoré majú explicitne nastavený príznak „$“. Operácia "--purge" teraz tiež vyžaduje zadanie aspoň jedného súboru z adresára tmpfiles.d/. Pre reťazce typu 'L' bol pridaný príznak '?', ak je zadaný, symbolický odkaz sa vytvorí iba v prípade, že cieľový súbor existuje.
  • V správcovi služieb a súvisiacich nástrojoch sa kód sledovania procesu naďalej konvertuje tak, aby namiesto PID používal PIDFD. PIDFD je spojené s konkrétnym procesom a nemení sa, zatiaľ čo PID môže byť spojené s iným procesom po ukončení aktuálneho procesu spojeného s týmto PID.
  • Pre služby je teraz možné zadať hodnotu „debug“ v parametri „RestartMode“, v ktorej sa neúspešná služba reštartuje so zapnutým režimom ladenia (premenná prostredia DEBUG_INVOCATION=1 je nastavená) a hodnota LogLevelMax bude dočasne zvýšená na úroveň ladenia.
  • PID 1 handler má možnosť načítať pravidlá pre modul IPE (Integrity Policy Enforcement) LSM, ktoré definujú politiku integrity pre celý systém (ktoré operácie sú povolené a ako sa má overovať pravosť komponentov).
  • Do súborov jednotiek „.timer“ bola pridaná možnosť „DeferReactivation“, ktorá umožňuje preskočiť ďalšiu aktiváciu časovača, ak služba od poslednej aktivácie ešte neskončila.
  • V parametri súboru jednotiek PrivateUsers je teraz možné zadať hodnotu „identity“, aby sa umožnilo mapovanie ID používateľov pri vytváraní priestoru názvov používateľov.
  • Pridaná podpora pre hodnotu „disconnected“ do parametra súboru jednotiek PrivateTmp, ktorý bude používať samostatné inštancie tmpfs pre adresáre /tmp/ a /var/tmp/.
  • Do parametra súboru jednotiek ProtectControlGroups bola pridaná podpora pre nové „súkromné“ a „prísne“ režimy, po nastavení sa pre službu vytvorí nový menný priestor cgroup a pripojí sa cgroupfs. Keď je nastavená možnosť „strict“, cgroupfs sa pripojí v režime iba na čítanie.
  • Parametre StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory a ConfigurationDirectory poskytujú možnosť použiť príznak ':ro' na obmedzenie prístupu k príslušným adresárom na režim iba na čítanie.
  • Do parametra príkazového riadka jadra „systemd.machine_id“ bola pridaná podpora pre hodnotu „firmware“, v ktorej sa systémový identifikátor (ID stroja) vypočíta na základe UUID zo SMBIOS/DeviceTree.
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • Nástroje resolvectl, timedatectl a systemd-inhibit teraz podporujú interaktívnu autorizáciu pomocou Polkit.
  • Do obslužného programu systemctl bola pridaná možnosť používať príznak „--now“ v príkaze „reenable“.
  • Do obslužného programu systemd-mount bola pridaná možnosť „--json“ pre výstup vo formáte JSON (ak je napríklad zadaný spolu s „--list-devices“, zoznam zariadení sa vypíše vo formáte JSON).
  • Do obslužného programu "localectl" boli pridané možnosti "-l" a "--full", ktoré zakazujú orezávanie dlhých riadkov počas výstupu.
  • Do sleep.conf bola pridaná možnosť HibernateOnACPower, ktorá umožňuje odložiť prepnutie do režimu spánku, kým sa zariadenie neodpojí od stacionárneho zdroja napájania.
  • V systemd-sysusers bola do riadkov „u“ pridaná podpora pre modifikátor „!“, pomocou ktorého môžete vytvárať úplne uzamknuté používateľské účty (predtým sa na zablokovanie používateľa používalo nastavenie nesprávneho hesla, ktoré napr. neviedlo k zablokovaniu počas autentifikácie kľúčom v SSH).
  • Systemd-coredump pridáva možnosť „EnterNamespace“, ktorá umožňuje prístup k priestoru bodu pripojenia akýchkoľvek havarovaných procesov, aby sa získali ich symboly ladenia. V praxi môže byť táto možnosť užitočná na organizáciu spätného sledovania základných súborov z aplikácií bežiacich v izolovaných kontajneroch.
  • systemd-logind zahŕňa spracovanie kombinácie Ctrl-Alt-Shift-Esc na odoslanie signálu org.freedesktop.login1.SecureAttentionKey komponentom používateľského prostredia s požiadavkou na zobrazenie dialógového okna zabezpečeného prihlásenia. Implementované nastavenie „DesignatedMaintenanceTime“ na automatické plánovanie dokončenia práce v určený čas. Analogicky s podporou zariadení DRM a evdev bola pridaná podpora pre konfiguráciu prístupu neprivilegovaných používateľov k zariadeniam hidraw (herné ovládače a joysticky).
  • systemd-machined teraz podporuje prihlásenie neprivilegovaných klientov. virtuálne stroje a kontajnery. Prístup k funkciám spracovaným v systéme d je zabezpečený aj prostredníctvom rozhrania Varlink API, okrem D-Bus.
  • Do konfiguračného súboru networkd.conf bola pridaná nová sekcia „[IPv6AddressLabel]“ na konfiguráciu štítkov a predpôn pre adresy IPv6.
  • Pridaná možnosť „--stdin“ do príkazu „networkctl edit“ na získanie obsahu súboru zo štandardného streamu. Pridaná podpora pre úpravu a zobrazovanie súborov .netdev špecifikovaním sieťového rozhrania pre príkazy 'networkctl edit' a 'networkctl cat'. Pridaná možnosť „--no-ask-password“ na zakázanie interaktívnej autorizácie.
  • Do nástrojov ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart a systemd-sbsign bola pridaná možnosť „--certificate-source“ na načítanie certifikátu X.509 cez poskytovateľa OpenSSL namiesto priameho načítania z súbor.
  • systemd-boot pridáva možnosť používať tlačidlá hlasitosti na pohyb nahor a nadol v ponuke zavádzania, čo môže byť užitočné na zariadeniach, ako sú smartfóny. Do pomôcky bootctl bola pridaná podpora inštalácie databázy UEFI Secure Boot vo formáte ESL(db/dbx/…) pre systemd-boot.
  • Do journalctl bola pridaná možnosť „--list-invocation“ na zobrazenie zoznamu volaní jednotiek a možnosť „--invocation“ („-I“) na zobrazenie protokolov spojených len s konkrétnym volaním.
  • systemd-nspawn pridáva podporu pre neprivilegované používanie FUSE (systém súborov v užívateľskom priestore) v kontajneroch. Pri použití možnosti „--bind-user“ sa kľúče SSH používateľa potrebné na prístup cez SSH preposielajú do kontajnera.
  • libsystemd pridal nové programovacie rozhranie "sd-json", ktoré používa formát JSON, ako aj rozhranie "sd-varlink", ktoré používa IPC Varlink.
  • Odporúčaná verzia základného jadra bola inovovaná na vydanie 5.4, ktoré vzniklo v roku 2019. Budúci rok plánujú prestať podporovať staršie jadrá a označiť vydanie 5.4 ako minimálnu podporovanú základnú verziu.
  • Podpora pre cgroups v1 bola zastaraná a predvolene je zakázaná (ak ju chcete povoliť, musíte okrem povolenia v nastaveniach systemd zadať SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 na príkazovom riadku jadra). Ďalšie vydanie systemd 258 plánuje úplne odstrániť kód súvisiaci s cgroups v1. Systemd verzia 258 má tiež odstrániť podporu pre servisné skripty System V.

Zdroj: opennet.ru

Kúpte si spoľahlivý hosting pre stránky s DDoS ochranou, VPS VDS servery 🔥 Kúpte si spoľahlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster