ProHoster > Blog > internetne novice > Systemd System Manager izdaja 250

Systemd System Manager izdaja 250

Po petih mesecih razvoja je bila predstavljena nova izdaja upravitelja sistema systemd 250, ki je uvedla možnost shranjevanja poverilnic v šifrirani obliki, implementirano preverjanje samodejno zaznanih particij GPT z uporabo digitalnega podpisa, izboljšane informacije o vzrokih zakasnitev. zagon storitev in dodane možnosti za omejevanje dostopa storitev do določenih datotečnih sistemov in omrežnih vmesnikov, zagotovljena je podpora za spremljanje integritete particije z modulom dm-integrity in dodana je podpora za samodejno posodabljanje sd-boot.

Večje spremembe:

  • Dodana podpora za šifrirane in overjene poverilnice, ki so lahko uporabne za varno shranjevanje občutljivih materialov, kot so ključi SSL in gesla za dostop. Dešifriranje poverilnic se izvaja samo, kadar je to potrebno in v povezavi z lokalno namestitvijo ali opremo. Podatki so samodejno šifrirani s pomočjo simetričnih algoritmov šifriranja, katerih ključ se lahko nahaja v datotečnem sistemu, v čipu TPM2 ali z uporabo kombinirane sheme. Ko se storitev zažene, se poverilnice samodejno dešifrirajo in postanejo na voljo storitvi v običajni obliki. Za delo s šifriranimi poverilnicami je bil dodan pripomoček 'systemd-creds', za storitve pa sta bili predlagani nastavitvi LoadCredentialEncrypted in SetCredentialEncrypted.
  • sd-stub, izvršljiva datoteka EFI, ki omogoča vdelano programsko opremo EFI, da naloži jedro Linuxa, zdaj podpira zagon jedra z uporabo protokola EFI LINUX_EFI_INITRD_MEDIA_GUID. V sd-stub je dodana tudi možnost pakiranja poverilnic in datotek sysext v arhiv cpio ter prenos tega arhiva v jedro skupaj z initrd (dodatne datoteke so nameščene v imeniku /.extra/). Ta funkcija vam omogoča uporabo preverljivega nespremenljivega initrd okolja, ki ga dopolnjujejo sysexts in šifrirani podatki za preverjanje pristnosti.
  • Specifikacija odkritih particij je bila znatno razširjena in zagotavlja orodja za identifikacijo, namestitev in aktiviranje sistemskih particij z uporabo GPT (GUID Partition Tables). V primerjavi s prejšnjimi izdajami specifikacija zdaj podpira korensko particijo in particijo /usr za večino arhitektur, vključno s platformami, ki ne uporabljajo UEFI.

    Discoverable Partitions prav tako dodaja podporo za particije, katerih celovitost je preverjena z modulom dm-verity z uporabo digitalnih podpisov PKCS#7, kar olajša ustvarjanje popolnoma overjenih diskovnih slik. Podpora za preverjanje je integrirana v različne pripomočke, ki manipulirajo s slikami diskov, vključno s systemd-nspawn, systemd-sysext, systemd-dissect, storitvami RootImage, systemd-tmpfiles in systemd-sysusers.

  • Za enote, ki potrebujejo dolgo časa za zagon ali zaustavitev, je poleg prikaza animirane vrstice napredka mogoče prikazati informacije o stanju, ki vam omogočajo, da razumete, kaj točno se trenutno dogaja s storitvijo in katero storitev upravlja sistem trenutno čaka na dokončanje.
  • V /etc/systemd/system.conf in /etc/systemd/user.conf je dodan parameter DefaultOOMScoreAdjust, ki vam omogoča prilagoditev praga OOM-killer za nizek pomnilnik, ki se uporablja za procese, ki jih systemd zažene za sistem in uporabnike. Teža sistemskih storitev je privzeto višja od uporabniških, tj. Ob pomanjkanju pomnilnika je verjetnost prekinitve uporabniških storitev večja kot sistemskih.
  • Dodana nastavitev RestrictFileSystems, ki omogoča omejitev dostopa storitev do določenih vrst datotečnih sistemov. Za ogled tipov datotečnih sistemov, ki so na voljo, lahko uporabite ukaz “systemd-analyze filesystems”. Po analogiji je implementirana možnost RestrictNetworkInterfaces, ki omogoča omejitev dostopa do določenih omrežnih vmesnikov. Implementacija temelji na modulu BPF LSM, ki skupini procesov omejuje dostop do objektov jedra.
  • Dodana nova konfiguracijska datoteka /etc/integritytab in pripomoček systemd-integritysetup, ki konfigurirata modul dm-integrity za nadzor celovitosti podatkov na ravni sektorja, na primer za zagotavljanje nespremenljivosti šifriranih podatkov (Authenticated Encryption zagotavlja, da podatkovni blok ima ni bilo spremenjeno krožno) . Format datoteke /etc/integritytab je podoben datotekama /etc/crypttab in /etc/veritytab, le da se namesto dm-crypt in dm-verity uporablja dm-integrity.
  • Dodana je bila nova datoteka enote systemd-boot-update.service. Ko je aktivirana in je nameščen zagonski nalagalnik sd-boot, bo systemd samodejno posodobil različico zagonskega nalagalnika sd-boot, pri čemer bo koda zagonskega nalagalnika vedno posodobljena. Sam sd-boot je zdaj privzeto zgrajen s podporo za mehanizem SBAT (UEFI Secure Boot Advanced Targeting), ki rešuje težave s preklicem potrdila za UEFI Secure Boot. Poleg tega sd-boot omogoča razčlenitev zagonskih nastavitev sistema Microsoft Windows za pravilno ustvarjanje imen zagonskih particij z operacijskim sistemom Windows in prikaz različice sistema Windows.

    sd-boot nudi tudi možnost definiranja barvne sheme v času gradnje. Med postopkom zagona je dodana podpora za spreminjanje ločljivosti zaslona s pritiskom na tipko "r". Dodana bližnjica »f« za dostop do vmesnika za konfiguracijo vdelane programske opreme. Dodan način za samodejni zagon sistema, ki ustreza elementu menija, izbranem med zadnjim zagonom. Dodana možnost samodejnega nalaganja gonilnikov EFI, ki se nahajajo v imeniku /EFI/systemd/drivers/ v razdelku ESP (EFI System Partition).

  • Vključena je nova datoteka enote factory-reset.target, ki je obdelana v systemd-logind na podoben način kot operacije ponovnega zagona, izklopa, začasne zaustavitve in mirovanja ter se uporablja za ustvarjanje upravljavcev za ponastavitev na tovarniške nastavitve.
  • Proces, razrešen s systemd, zdaj poleg 127.0.0.54 ustvari dodatno poslušajočo vtičnico na 127.0.0.53. Zahteve, ki prispejo na naslov 127.0.0.54, so vedno preusmerjene na zgornji strežnik DNS in niso obdelane lokalno.
  • Zagotovljena možnost gradnje systemd-importd in systemd-resolved s knjižnico OpenSSL namesto libgcrypt.
  • Dodana začetna podpora za arhitekturo LoongArch, ki se uporablja v procesorjih Loongson.
  • systemd-gpt-auto-generator omogoča samodejno konfiguriranje sistemsko definiranih izmenjalnih particij, šifriranih s podsistemom LUKS2.
  • Koda za razčlenjevanje slik GPT, ki se uporablja v systemd-nspawn, systemd-dissect in podobnih pripomočkih, izvaja zmožnost dekodiranja slik za druge arhitekture, kar omogoča uporabo systemd-nspawn za izvajanje slik na emulatorjih drugih arhitektur.
  • Pri pregledovanju slik diska systemd-dissect zdaj prikaže informacije o namenu particije, kot je primernost za zagon prek UEFI ali izvajanje v vsebniku.
  • Polje »SYSEXT_SCOPE« je bilo dodano datotekam system-extension.d/, kar vam omogoča, da navedete obseg slike sistema - »initrd«, »system« ali »portable«.
  • Datoteki os-release je bilo dodano polje »PORTABLE_PREFIXES«, ki ga je mogoče uporabiti v prenosnih slikah za določanje podprtih predpon datotek enot.
  • systemd-logind uvaja nove nastavitve HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress in HandleHibernateKeyLongPress, s katerimi je mogoče določiti, kaj se zgodi, ko so določene tipke pritisnjene več kot 5 sekund (na primer, hiter pritisk tipke Suspend lahko konfigurirate tako, da preide v stanje pripravljenosti , in ko ga pridržite, preide v stanje spanja).
  • Za enote sta implementirani nastavitvi StartupAllowedCPUs in StartupAllowedMemoryNodes, ki se od podobnih nastavitev brez predpone Startup razlikujeta po tem, da se uporabita samo v fazi zagona in zaustavitve, kar vam omogoča nastavitev drugih omejitev virov med zagonom.
  • Dodan [Condition|Assert][Memory|CPU|IO]Preverjanja tlaka, ki omogočajo preskok ali neuspeh aktivacije enote, če mehanizem PSI zazna veliko obremenitev pomnilnika, CPE-ja in V/I v sistemu.
  • Privzeta največja omejitev inode je bila povečana za particijo /dev s 64k na 1M in za particijo /tmp s 400k na 1M.
  • Za storitve je bila predlagana nastavitev ExecSearchPath, ki omogoča spreminjanje poti za iskanje izvršljivih datotek, zagnanih prek nastavitev, kot je ExecStart.
  • Dodana nastavitev RuntimeRandomizedExtraSec, ki vam omogoča, da v časovno omejitev RuntimeMaxSec uvedete naključna odstopanja, kar omejuje čas izvajanja enote.
  • Sintaksa nastavitev RuntimeDirectory, StateDirectory, CacheDirectory in LogsDirectory je bila razširjena, v kateri lahko z navedbo dodatne vrednosti, ločene z dvopičjem, zdaj organizirate ustvarjanje simbolične povezave do danega imenika za organiziranje dostopa po več poteh.
  • Za storitve so na voljo nastavitve TTYRows in TTYColumns za nastavitev števila vrstic in stolpcev v napravi TTY.
  • Dodana nastavitev ExitType, ki omogoča spreminjanje logike za določanje konca storitve. Systemd privzeto spremlja samo smrt glavnega procesa, če pa je nastavljen ExitType=cgroup, bo upravitelj sistema počakal, da se zaključi zadnji proces v skupini cgroup.
  • Implementacija podpore za TPM2/FIDO2/PKCS11 s strani systemd-cryptsetup je zdaj zgrajena tudi kot vtičnik cryptsetup, ki omogoča uporabo običajnega ukaza cryptsetup za odklepanje šifrirane particije.
  • Upravljalnik TPM2 v systemd-cryptsetup/systemd-cryptsetup dodaja podporo za primarne ključe RSA poleg ključev ECC za izboljšanje združljivosti s čipi, ki niso ECC.
  • V /etc/crypttab je bila dodana možnost časovne omejitve žetona, ki vam omogoča, da določite najdaljši čas čakanja na povezavo žetona PKCS#11/FIDO2, po katerem boste pozvani, da vnesete geslo ali obnovitveni ključ.
  • systemd-timesyncd implementira nastavitev SaveIntervalSec, ki vam omogoča redno shranjevanje trenutnega sistemskega časa na disk, na primer za implementacijo monotone ure v sistemih brez RTC.
  • Možnosti so bile dodane pripomočku systemd-analyze: “--image” in “--root” za preverjanje datotek enot znotraj dane slike ali korenskega imenika, “--recursive-errors” za upoštevanje odvisnih enot, ko pride do napake. je zaznan, »--offline« za preverjanje ločenih datotek enote, shranjenih na disk, »—json« za izpis v formatu JSON, »—quiet« za onemogočanje nepomembnih sporočil, »—profile« za povezovanje s prenosnim profilom. Dodan je tudi ukaz inspect-elf za razčlenjevanje jedrnih datotek v formatu ELF in možnost preverjanja datotek enot z danim imenom enote, ne glede na to, ali se to ime ujema z imenom datoteke.
  • systemd-networkd je razširil podporo za vodilo CAN (Controller Area Network). Dodane nastavitve za nadzor načinov CAN: Loopback, OneShot, PresumeAck in ClassicDataLengthCode. Dodane so možnosti TimeQuantaNSec, PropagationSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment1, DataPhaseBufferSegment2 in DataSyncJumpWidth v razdelku [CAN] datotek .network za nadzor bitne sinhronizacije vmesnika CAN .
  • Systemd-networkd je dodal možnost oznake za odjemalca DHCPv4, ki vam omogoča, da konfigurirate oznako naslova, ki se uporablja pri konfiguraciji naslovov IPv4.
  • systemd-udevd za "ethtool" izvaja podporo za posebne "max" vrednosti, ki nastavijo velikost medpomnilnika na največjo vrednost, ki jo podpira strojna oprema.
  • V datotekah .link za systemd-udevd lahko zdaj konfigurirate različne parametre za kombiniranje omrežnih adapterjev in povezovanje upravljavcev strojne opreme (razbremenitev).
  • systemd-networkd privzeto ponuja nove datoteke .network: 80-container-vb.network za definiranje omrežnih mostov, ustvarjenih pri izvajanju systemd-nspawn z možnostma “--network-bridge” ali “--network-zone”; 80-6rd-tunnel.network za definiranje tunelov, ki se samodejno ustvarijo ob prejemu odgovora DHCP z možnostjo 6RD.
  • Systemd-networkd in systemd-udevd imata dodano podporo za posredovanje IP prek vmesnikov InfiniBand, za kar je bil v datoteke systemd.netdev dodan razdelek »[IPoIB]«, obdelava vrednosti »ipoib« pa je bila implementirana v Kind nastavitev.
  • systemd-networkd zagotavlja samodejno konfiguracijo poti za naslove, določene v parametru AllowedIPs, ki jih je mogoče konfigurirati prek parametrov RouteTable in RouteMetric v razdelkih [WireGuard] in [WireGuardPeer].
  • systemd-networkd zagotavlja samodejno generiranje nespremenljivih naslovov MAC za vmesnike batadv in most. Če želite onemogočiti to vedenje, lahko podate MACAddress=none v datotekah .netdev.
  • Nastavitev WakeOnLanPassword je bila dodana datotekam .link v razdelku »[Povezava]« za določanje gesla, ko se WoL izvaja v načinu »SecureOn«.
  • Dodane nastavitve AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO in UseRawPacketSize v razdelek »[CAKE]« datotek .network za definiranje parametrov mehanizma za upravljanje omrežne čakalne vrste CAKE (Common Applications Kept Enhanced). .
  • Dodana nastavitev IgnoreCarrierLoss v razdelek »[Network]« datotek .network, ki vam omogoča, da določite, kako dolgo morate čakati, preden se odzovete na izgubo nosilnega signala.
  • Systemd-nspawn, homectl, machinectl in systemd-run so razširili sintakso parametra "--setenv" - če je navedeno samo ime spremenljivke (brez "="), bo vrednost vzeta iz ustrezne spremenljivke okolja (za na primer, ko podate "--setenv=FOO", bo vrednost vzeta iz spremenljivke okolja $FOO in uporabljena v spremenljivki okolja z istim imenom, ki je nastavljena v vsebniku).
  • systemd-nspawn je dodal možnost "--suppress-sync", da onemogoči sistemske klice sync()/fsync()/fdatasync() pri ustvarjanju vsebnika (uporabno, ko je hitrost prioriteta in ohranjanje artefaktov gradnje v primeru napake ni pomembno, saj jih je mogoče kadar koli znova ustvariti).
  • Dodana je nova baza podatkov hwdb, ki vključuje različne vrste analizatorjev signalov (multimetri, analizatorji protokolov, osciloskopi itd.). Informacije o kamerah v hwdb smo razširili s poljem s podatki o vrsti kamere (navadna ali infrardeča) in postavitvi objektiva (spredaj ali zadaj).
  • Omogočeno ustvarjanje nespremenljivih imen omrežnih vmesnikov za naprave netfront, ki se uporabljajo v Xen.
  • Analiza jedrnih datotek s pripomočkom systemd-coredump, ki temelji na knjižnicah libdw/libelf, se zdaj izvaja v ločenem procesu, izoliranem v okolju peskovnika.
  • systemd-importd je dodal podporo za spremenljivke okolja $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, s katerimi lahko onemogočite generiranje podparticij Btrfs ter konfigurirate kvote in sinhronizacijo diska.
  • V systemd-journald je v datotečnih sistemih, ki podpirajo način kopiranja ob pisanju, način COW ponovno omogočen za arhivirane dnevnike, kar omogoča njihovo stiskanje z uporabo Btrfs.
  • systemd-journald izvaja deduplikacijo enakih polj v enem sporočilu, ki se izvede na stopnji pred umestitvijo sporočila v dnevnik.
  • Dodana možnost "--show" ukazu za zaustavitev za prikaz načrtovane zaustavitve.

Vir: opennet.ru

Dodaj komentar