ProHoster > Blog > internetne novice > systemd 245 je na voljo z izvedbo prenosnega domačega imenika

systemd 245 je na voljo z izvedbo prenosnega domačega imenika

Po treh mesecih razvoja predstavljeno izdaja upravitelja sistema systemd 245. V novi izdaji sta dodani novi komponenti systemd-homed in systemd-repart, vključena je podpora za prenosne uporabniške profile v formatu JSON, zagotovljena je možnost definiranja imenskih prostorov v systemd-journald in dodana je podpora za mehanizem "pidfd". . Popolnoma preoblikovan spletno mesto projekta, ki zbere večino razpoložljive dokumentacije in predlaga nov logotip.

systemd 245 je na voljo z izvedbo prenosnega domačega imenika

Glavni Spremembe:

  • Dodana storitev systemd-homed, ki omogoča upravljanje prenosnih domačih imenikov, dostavljenih v obliki nameščene slikovne datoteke, v kateri so podatki šifrirani. Systemd-homed vam omogoča ustvarjanje samostojnih okolij za uporabniške podatke, ki jih je mogoče prenašati med različnimi sistemi, ne da bi pri tem skrbeli za sinhronizacijo identifikatorjev in zaupnost. Uporabniške poverilnice so vezane na domači imenik in ne na sistemske nastavitve – namesto /etc/passwd, /etc/group in /etc/shadow se uporablja profil v formatu JSON. Za več podrobnosti glejte zadnja objava systemd-homed.
  • Dodana spremljevalna komponenta s homed systemd "userdb” (“systemd-userdb”), ki prevaja račune NSS UNIX/glibc v zapise JSON in zagotavlja poenoten API Varlink za poizvedovanje in ponavljanje zapisov. Profil JSON, povezan z domačim imenikom, določa parametre, ki so potrebni za uporabnikovo delo, vključno z uporabniškim imenom, zgoščeno vrednostjo gesla, šifrirnimi ključi, kvotami in predvidenimi viri. Profil je mogoče overiti z digitalnim podpisom, shranjenim na zunanjem žetonu Yubikey. Za upravljanje profilov je predlagan pripomoček »userdbctl«. Podpora za profile JSON je bila dodana različnim komponentam systemd, vključno s systemd-logind in pam-systemd, kar omogoča uporabnikom prenosnih imenikov preverjanje pristnosti, prijavo, nastavitev spremenljivk okolja, ustvarjanje seje, nastavitev omejitev itd. V prihodnosti se pričakuje, da bo ogrodje sssd lahko ustvarilo profile JSON z uporabniškimi nastavitvami, shranjenimi v LDAP.
  • Dodan je bil nov pripomoček »systemd-repart«, zasnovan za ponovno razdelitev particijskih tabel diska v formatu GPT. Struktura particije je definirana v deklarativni obliki z datotekami, ki opisujejo, katere particije morajo ali lahko obstajajo. Ob vsakem zagonu se dejanska tabela particij primerja s temi datotekami, nakar se dodajo manjkajoče particije ali, če se relativna ali absolutna velikost, definirana v nastavitvah, ne ujema, se poveča velikost obstoječih. Dovoljene so samo postopne spremembe, tj. brisanje in zmanjševanje velikosti ni mogoče, particije je mogoče samo dodajati in povečevati.
    Pripomoček je zasnovan tako, da se zažene iz initrd in samodejno zazna disk, na katerem je korenska particija, ki ne zahteva dodatne konfiguracije, razen datotek z definicijo sprememb.

    Systemd-repart je v praksi lahko uporaben za slike operacijskega sistema, ki so lahko na začetku poslane v minimalni obliki, po prvem zagonu pa se lahko razširijo na velikost obstoječe blokovne naprave ali dopolnijo z dodatnimi particijami (na primer root particijo lahko razširite na celoten disk ali po prvem zagonu ustvarite izmenjalno particijo ali /home). Druga možnost uporabe bi bile konfiguracije z dvema vrtečima se particijama - na začetku je lahko na voljo samo prva particija, druga pa bi bila ustvarjena ob prvem zagonu.

  • Zdaj je mogoče zagnati več primerkov systemd-journald, od katerih vsak vodi dnevnike v svojem imenskem prostoru. Poleg glavnega systemd-journald.service imenik .service ponuja predlogo za ustvarjanje dodatnih primerkov, vezanih na njihove imenske prostore z uporabo direktive »LogNamespace«. Vsak imenski prostor dnevnika streže ločen proces v ozadju z lastnim nizom nastavitev in omejitev. Predlagana funkcija je lahko uporabna za uravnoteženje obremenitve z veliko količino dnevnikov ali za izboljšanje izolacije aplikacij. Dodana možnost »--namespace« v journalctl, da omejite poizvedbo samo na navedeni imenski prostor.
  • Systemd-udevd in druge komponente systemd so dodale podporo za mehanizem za dodeljevanje alternativnih imen omrežnim vmesnikom, kar omogoča hkratno uporabo več imen za en vmesnik. Ime je lahko dolgo do 128 znakov (prej je bilo ime omrežnega vmesnika omejeno na 16 znakov). Systemd-udevd zdaj privzeto vsakemu omrežnemu vmesniku dodeli vsa različica imen, ki jih ustvarijo podprte sheme poimenovanja. To vedenje je mogoče spremeniti z novimi nastavitvami AlternativeName in AlternativeNamesPolicy v datotekah .link. systemd-nspawn izvaja generiranje alternativnih imen s polnim imenom vsebnika za veth povezave, ustvarjene na strani gostitelja.
  • API sd-event.h dodaja podporo za podsistem jedra Linuxa "pidfd" za obravnavo situacije ponovne uporabe PID (pidfd je povezan z določenim procesom in se ne spreminja, medtem ko je PID lahko povezan z drugim procesom za trenutnim procesom povezan z njim zapusti ta PID). Vse komponente systemd razen PID 1 so bile pretvorjene za uporabo pidfds, če podsistem podpira trenutno jedro.
  • systemd-logind zagotavlja preverjanje dostopa za operacijo spreminjanja navideznega terminala prek PolicyKit. Privzeto so dovoljenja za spremembo aktivnega terminala dodeljena samo uporabnikom, ki so vsaj enkrat sprožili sejo na lokalnem virtualnem terminalu.
  • Da bi olajšali ustvarjanje slik initrd s systemd, obravnavalnik PID 1 zdaj zazna, ali se uporablja initrd, in v tem primeru samodejno naloži initrd.target namesto default.target. S tem pristopom se lahko slika initrd in glavna sistemska slika razlikujeta samo glede na prisotnost datoteke /etc/initrd-release.
  • Dodan je nov parameter ukazne vrstice jedra - "systemd.cpu_affinity", ki je enakovreden možnosti CPUAffinity v /etc/systemd/system.conf in vam omogoča, da konfigurirate masko afinitete CPE za PID 1 in druge procese.
  • Omogočeno ponovno nalaganje baze podatkov SELinux skupaj s ponovnim zagonom PID 1 prek ukazov, kot je "systemctl daemon-reload".
  • Nastavitev »systemd.show-status=error« je bila dodana upravljalniku PID 1, ko je nastavljena, so na konzoli prikazana samo sporočila o napakah in znatne zamude med nalaganjem.
  • systemd-sysusers je dodal podporo za ustvarjanje uporabnikov z imenom primarne skupine, ki se razlikuje od uporabniškega imena.
  • systemd-growfs uvaja podporo za razširitev particije XFS prek možnosti priklopa x-systemd.growfs v /etc/fstab, poleg predhodno podprte razširitve particije z Ext4 in Btrfs.
  • Dodana možnost x-initrd.attach v /etc/crypttab za definiranje šifrirane particije, ki je že odklenjena na stopnji initrd.
  • systemd-cryptsetup je dodal podporo (možnost pkcs11-uri v /etc/crypttab) za odklepanje šifriranih particij z uporabo pametnih kartic PKCS#11, na primer za pripenjanje šifriranja particije na YubiKeys.
  • Nove možnosti priklopa "x-systemd.required-by" in "x-systemd.wanted-by" so bile dodane v /etc/fstab za eksplicitno konfiguracijo enot, ki definirajo operacije priklopa, ki se kličejo namesto local-fs.target in remote -fs .target.
  • Dodana je nova možnost peskovnika storitev - ProtectClock, ki omejuje pisanje na sistemsko uro (dostop je blokiran na ravni /dev/rtc, sistemskih klicev in dovoljenj CAP_SYS_TIME/CAP_WAKE_ALARM).
  • Po specifikaciji Odkrite particije in systemd-gpt-auto-generator dodano zaznavanje particij
    /var in /var/tmp.

  • V »systemctl list-unit-files« se je pri prikazu seznama enot pojavil nov stolpec, ki odraža stanje omogočanja, ponujeno v prednastavitvah proizvajalca za to vrsto enote.
  • V »systemctl« je bila dodana možnost »—with-dependencies«. Ko bo nameščen, bodo ukazi, kot sta »systemctl status« in »systemctl cat«, prikazali ne le vse ustrezne enote, ampak tudi enote, od katerih so odvisne.
  • V systemd-networkd je konfiguracija qdisc dodala možnost konfiguracije parametrov TBF (Token Bucket Filter), SFQ (Stochastic Fairness Queuing), CoDel (Controlled-Delay Active Queue Management) in FQ (Fair Queue).
  • systemd-networkd je dodal podporo za omrežne naprave IFB (Vmesni funkcionalni blok).
  • Systemd-networkd implementira parameter MultiPathRoute v razdelku [Route] za konfiguracijo večpotnih poti.
  • V systemd-networkd za odjemalca DHCPv4 je dodana možnost SendDecline, ko je podana, se po prejemu odgovora DHCP z naslovom izvede preverjanje podvojenega naslova in če je zaznan konflikt naslovov, se izdani naslov zavrne. Odjemalcu DHCPv4 je bila dodana tudi možnost RouteMTUBytes, ki vam omogoča, da določite velikost MTU za poti, ustvarjene iz vezav naslovov IP (zakupov).
  • Nastavitev PrefixRoute v razdelku [Address] datotek .network je opuščena. Nadomestila jo je nastavitev »AddPrefixRoute«, ki ima nasprotni pomen.
  • V datotekah .network je bila nastavitvi Gateway v razdelku »[Route]« dodana podpora za novo vrednost »_dhcp«. Ko je nastavljena, je statična pot izbrana na podlagi prehoda, konfiguriranega prek DHCP.
  • Nastavitve so se pojavile v datotekah .network v razdelku »[RoutingPolicyRule]«.
    Uporabnik in SuppressPrefixLength za podajanje izvornega usmerjanja na podlagi obsegov UID in velikosti predpone.

  • V networkctl ukaz “status” omogoča prikaz dnevnikov v zvezi z vsakim omrežnim vmesnikom.
  • systemd-networkd-wait-online doda podporo za nastavitev najdaljšega časa za čakanje, da vmesnik začne delovati, in za čakanje, da vmesnik preneha delovati.
  • Prekinjena obdelava datotek .link in .network s praznim ali komentiranim razdelkom »[Match]«.
  • V datotekah .link in .network je v razdelku »[Match]« dodana nastavitev »PermanentMACAddress« za preverjanje trajnega MAC naslova naprav v primeru uporabe generiranega naključnega MAC.
  • Razdelek »[TrafficControlQueueingDiscipline]« v datotekah .network je bil preimenovan v »[NetworkEmulator]«, predpona »NetworkEmulator« pa je bila odstranjena iz imen povezanih nastavitev.
  • systemd-resolved for DNS-over-TLS doda podporo za preverjanje SNI.

Vir: opennet.ru

Dodaj komentar