ProHoster > Blog > internetne novice > Systemd System Manager izdaja 257

Systemd System Manager izdaja 257

Po šestih mesecih razvoja je bila predstavljena izdaja upravljalnika sistema systemd 257. Ključne spremembe: novi pripomočki systemd-sbsign in systemd-keyutil, podpora za MPTCP, ko se aktivira prek vtičnice, začetna podpora za gradnjo s knjižnico Musl C, updatectl pripomoček za upravljanje namestitve posodobitev prek systemd-sysupdate, možnost zagona storitev v ločenih imenskih prostorih PID, zaščita pred nenamernim brisanjem datotek pri uporabi “systemd-tmpfiles —purge”.

Med spremembami v novi izdaji:

  • Dodan je bil nov pripomoček systemd-sbsign za digitalno podpisovanje izvedljivih datotek v formatu PE (Portable Executable), namenjenih za uporabo pri zagonu v načinu EFI Secure Boot. Za ustvarjanje podpisov se lahko uporabijo mehanizmi in ponudniki, ki jih zagotavlja knjižnica OpenSSL. systemd-sbsign se lahko uporablja kot alternativa aplikacijama sbsigntool in pesign v pripomočku ukify pri ustvarjanju univerzalnih slik jedra (UKI), ki združujejo zagonski nalagalnik UEFI (UEFI boot stub) in sliko jedra v eni datoteki. Linux in sistemsko okolje initrd naloženo v pomnilnik.
  • Dodan je bil nov pripomoček, systemd-keyutil, ki izvaja različne operacije na zasebnih ključih in potrdilih X.509. Na primer, systemd-keyutil lahko uporabite za testiranje zmožnosti nalaganja zasebnih ključev in potrdil ter izvleka javnih ključev iz njih v formatu PEM.
  • V enotah ".socket", ki se uporabljajo za zagotavljanje delovanja mehanizma aktivacije vtičnice (zagon procesov pri poskusu vzpostavitve omrežne povezave), je implementirana podpora za MPTCP (Multipath TCP), razširitev protokola TCP za organizacijo delovanja povezave TCP z istočasno dostavo paketov po več poteh prek različnih omrežnih vmesnikov, vezanih na različne IP-naslovi.
  • Vključuje spremembe, potrebne za izdelavo s standardno knjižnico Musl C.
  • Različne komponente systemd, ki prikazujejo kazalnike napredka (npr. systemd-repart, systemd-sysupdate/updatectl in importctl), zdaj podpirajo uporabo zaporedij ANSI za animacijo prikazov napredka. Takšna zaporedja so trenutno podprta le v Windows Terminal (pričakuje se, da bo sčasoma podobna funkcija prenesena na emulatorje terminalov za Linux).
  • Razširjene so bile zmožnosti komponente systemd-sysupdate, ki se uporablja za samodejno zaznavanje, prenos in namestitev posodobitev z uporabo atomskega mehanizma za zamenjavo particij, datotek ali imenikov (uporabljata se dve neodvisni particiji/datoteki/imeniku, od katerih ena vsebuje trenutno delujočo vir, drugi pa namesti naslednjo) posodobitev, po kateri se razdelki/datoteke/imeniki zamenjajo). V praksi se systemd-sysupdate že uporablja v OS GNOME.

    Poleg procesa systemd-sysupdate je bila dodana istoimenska storitev, ki omogoča uporabo D-Busa za upravljanje sistemskih posodobitev s strani neprivilegiranega uporabnika. Za upravljanje storitve je vključen tudi nov pripomoček updatectl. Dodana zastavica »--offline« v systemd-sysupdate, da onemogočite prenos metapodatkov prek omrežja in uporabite samo različice, ki so že prenesene v lokalni sistem. Dodana podpora za izpis v formatu JSON za vse ukaze.

  • Za storitve je bila implementirana nova lastnost »PrivatePIDs«, s katero lahko organizirate zagon procesov s PID 1 (init process) v ločenem prostoru identifikatorja procesa (PID namespace). V okolju, ustvarjenem za zagnani proces, bodo vidni samo procesi iz imenskega prostora, ustvarjenega zanj.
  • Dodana podpora za ujemanje pravil udev, ki ne razlikujejo med velikimi in malimi črkami (npr. 'ATTR{foo}==i»abcd»'). Z uporabo udev je možno neprivilegiranim lokalnim uporabnikom omogočiti dostop (»uaccess«) do naprave /dev/udmabuf, ki je potrebna za delo z IPMI kamerami preko libcamera. udev omogoča prepoznavanje različnih strojnih kripto denarnic z vmesnikom USB in nastavitvijo lastnosti ID_HARDWARE_WALLET zanje, kar vam omogoča, da zanje uporabite način »uaccess« za dostop neprivilegiranih uporabnikov.
  • V datoteko /etc/os-release so bila dodana nova polja RELEASE_TYPE, EXPERIMENT in EXPERIMENT_URL. »RELEASE_TYPE« lahko sprejme vrednosti »experimental«, »development«, »stable« in »lts«, da loči stabilne različice od razvojnih in poskusnih različic. Parametra EXPERIMENT in EXPERIMENT_URL sta namenjena razlagi bistva poskusne zgradbe.
  • Pripomoček run0, razvit kot zamenjava za program sudo, je dodal možnost »--shell-prompt-prefix«, ki določa niz predpone za poziv ukazne lupine. Privzeto je emoji »🦸« prikazan kot predpona za vizualno poudarjanje seje na povišanem nivoju.
  • Da bi preprečili nenamerno brisanje napačnih datotek, v systemd-tmpfiles možnost "--purge" zdaj velja samo za nastavitve v tmpfiles.d/, ki imajo izrecno nastavljeno zastavico "$". Tudi operacija "--purge" zdaj zahteva podajanje vsaj ene datoteke iz imenika tmpfiles.d/. Za nize s tipom 'L' je bila dodana zastavica '?', ko je podana, bo simbolična povezava ustvarjena le, če ciljna datoteka obstaja.
  • V upravitelju storitev in povezanih pripomočkih se koda za sledenje procesu še naprej pretvarja za uporabo PIDFD namesto PID. PIDFD je povezan z določenim procesom in se ne spreminja, medtem ko je PID lahko povezan z drugim procesom, ko se trenutni proces, povezan s tem PID-om, zaključi.
  • Pri storitvah je sedaj možno določiti vrednost “debug” v parametru “RestartMode”, pri kateri bo neuspela storitev znova zagnana z omogočenim načinom za odpravljanje napak (nastavljena je spremenljivka okolja DEBUG_INVOCATION=1), vrednost LogLevelMax pa bo začasno dvignjen na raven odpravljanja napak.
  • Upravljalnik PID 1 ima možnost nalaganja pravil za modul IPE (Integrity Policy Enforcement) LSM, ki določajo politiko integritete za celoten sistem (katere operacije so dovoljene in kako naj se preverja pristnost komponent).
  • Datotekam enote “.timer” je bila dodana možnost “DeferReactivation”, ki vam omogoča, da preskočite naslednjo aktivacijo časovnika, če storitev še ni zaključila svoje izvedbe od zadnje aktivacije.
  • V parametru datoteke enote PrivateUsers je zdaj mogoče podati vrednost »identitete«, da omogočite preslikavo uporabniških ID-jev pri ustvarjanju uporabniškega imenskega prostora.
  • Dodana je podpora za vrednost »disconnected« v parameter datoteke enote PrivateTmp, ki bo uporabljal ločene primerke tmpfs za imenika /tmp/ in /var/tmp/.
  • Parametru datoteke enote ProtectControlGroups je bila dodana podpora za nova »zasebna« in »stroga« načina, ko je nastavljena, se za storitev ustvari nov imenski prostor cgroup in priklopi cgroupfs. Ko je nastavljena možnost »strict«, je cgroupfs nameščen v načinu samo za branje.
  • Parametri StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory in ConfigurationDirectory omogočajo uporabo zastavice ':ro' za omejitev dostopa do ustreznih imenikov na način samo za branje.
  • Dodana je podpora za vrednost »firmware« v parameter ukazne vrstice jedra »systemd.machine_id«, v katerem bo identifikator sistema (ID stroja) izračunan na podlagi UUID iz SMBIOS/DeviceTree.
  • Dodana je bila podpora za sistemske klice mseal(), listmount() in statmount(), ki so bile uvedene v novejših izdajah jedra. Linux.
  • Pripomočki resolvectl, timedatectl in systemd-inhibit zdaj podpirajo interaktivno avtorizacijo s Polkitom.
  • Pripomoček systemctl je dodal možnost uporabe zastavice "--now" v ukazu "reenable".
  • Dodana možnost »--json« v pripomoček systemd-mount za izpis v formatu JSON (na primer, ko je navedena skupaj z »--list-devices«, bo seznam naprav izpisan v formatu JSON).
  • Možnosti "-l" in "--full" sta bili dodani pripomočku "localectl", da onemogočite obrezovanje dolgih vrstic med izpisom.
  • V sleep.conf je bila dodana možnost HibernateOnACPower, ki omogoča odlog preklopa v način mirovanja, dokler naprava ni odklopljena od stacionarnega vira napajanja.
  • V systemd-sysusers je dodana podpora za modifikator »u«, s katerim lahko ustvarite popolnoma zaklenjene uporabniške račune (prej se je za blokiranje uporabnika uporabljala nastavitev napačnega gesla, kar je npr. ni povzročila blokade med preverjanjem pristnosti ključa v SSH).
  • Systemd-coredump doda možnost "EnterNamespace", ki omogoča dostop do prostora točke namestitve vseh zrušenih procesov za pridobitev njihovih simbolov za odpravljanje napak. V praksi je možnost uporabna za organiziranje povratnega sledenja jedrnih datotek iz aplikacij, ki se izvajajo v izoliranih vsebnikih.
  • systemd-logind vključuje obdelavo kombinacije Ctrl-Alt-Shift-Esc za pošiljanje signala org.freedesktop.login1.SecureAttentionKey komponentam uporabniškega okolja z zahtevo za prikaz varnega prijavnega pogovornega okna. Implementirana je nastavitev »DesignatedMaintenanceTime« za samodejno načrtovanje dokončanja dela ob določenem času. Po analogiji s podporo za naprave DRM in evdev je bila dodana podpora za konfiguriranje dostopa za neprivilegirane uporabnike do naprav hidraw (krmilniki za igre in igralne palice).
  • systemd-machined zdaj podpira prijave neprivilegiranih odjemalcev. virtualni stroji in vsebnike. Dostop do funkcionalnosti, ki jo izdeluje systemd, je poleg D-Bus omogočen tudi prek Varlink API-ja.
  • V konfiguracijsko datoteko networkd.conf je bil dodan nov razdelek »[IPv6AddressLabel]« za konfiguracijo oznak in predpon za naslove IPv6
  • Dodana možnost »--stdin« ukazu »networkctl edit« za pridobitev vsebine datoteke iz standardnega toka. Dodana podpora za urejanje in prikazovanje datotek .netdev z določitvijo omrežnega vmesnika za ukaza 'networkctl edit' in 'networkctl cat'. Dodana možnost »--no-ask-password« za onemogočanje interaktivne avtorizacije.
  • Pripomočkom ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart in systemd-sbsign je dodana možnost »--certificate-source« za nalaganje potrdila X.509 prek ponudnika OpenSSL namesto neposrednega nalaganja iz datoteka.
  • systemd-boot doda možnost uporabe gumbov za glasnost za premikanje gor in dol po zagonskem meniju, kar je lahko uporabno v napravah, kot so pametni telefoni. Podpora za namestitev baze podatkov UEFI Secure Boot v formatu ESL(db/dbx/…) za systemd-boot je bila dodana pripomočku bootctl.
  • Dodana možnost »--list-invocation« v journalctl za prikaz seznama klicev enote in možnost »--invocation« (»-I«) za prikaz dnevnikov, povezanih samo z določenim klicem.
  • systemd-nspawn doda podporo za neprivilegirano uporabo FUSE (datotečni sistem v uporabniškem prostoru) v vsebnikih. Pri uporabi možnosti »--bind-user« so uporabniški ključi SSH, potrebni za dostop prek SSH, posredovani vsebniku.
  • libsystemd je dodal nov programski vmesnik "sd-json", ki uporablja format JSON, kot tudi vmesnik "sd-varlink", ki uporablja IPC Varlink.
  • Priporočena osnovna različica jedra je bila nadgrajena na izdajo 5.4, oblikovano leta 2019. Naslednje leto nameravajo prenehati podpirati starejša jedra in označiti izdajo 5.4 kot minimalno podprto osnovno različico.
  • Podpora za cgroups v1 je zastarela in je privzeto onemogočena (če jo želite omogočiti, morate podati SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 v ukazni vrstici jedra poleg tega, da jo omogočite v nastavitvah systemd). Naslednja izdaja systemd 258 načrtuje popolno odstranitev kode, povezane s cgroups v1. Systemd različica 258 naj bi tudi odstranila podporo za skripte storitev System V.

Vir: opennet.ru

Kupite zanesljivo gostovanje za strani z DDoS zaščito, VPS VDS strežniki 🔥 Kupite zanesljivo spletno gostovanje z zaščito DDoS, VPS VDS strežniki | ProHoster