ProHoster > Blog > talafou initaneti > Systemd system manager fa'amalolo 243

Systemd system manager fa'amalolo 243

Ina ua uma le lima masina o le atinaʻe tuuina atu fa'amalologa o le pule o le faiga faiga 243. Faatasi ai ma mea fou, e mafai ona matou matauina le tuʻufaʻatasia i le PID 1 o se tagata e faʻaaogaina mo le maualalo o le manatua i totonu o le polokalama, lagolago mo le faʻapipiʻiina o au lava polokalame BPF mo le faʻamamaina o fefaʻatauaiga o iunite, le tele o filifiliga fou mo systemd-networkd, o se auala mo le mataʻituina o le bandwidth o fesoʻotaʻiga. fa'afeso'ota'i, fa'aagaaga e ala ile fa'aletonu ile 64-bit system 22-bit PID numera nai lo le 16-bit, fa'asolo i se fa'asologa o vaega fa'atasi, fa'aofi i le systemd-network-generator.

Suiga autu:

  • O le fa'ailoaina o fa'ailoga fa'atupu fatu e uiga i le leai o se manatua (Out-Of-Memory, OOM) ua fa'aopoopoina i le PID 1 fa'aulu e fa'afeiloa'i ai iunite ua o'o atu i le fa'atapula'a o le taumafaina manatua i se tulaga fa'apitoa ma le avanoa e filifili ai e fa'amalosia i latou e fa'amutaina. pe taofi;
  • Mo faila faila, ta'iala fou IPingressFilterPath ma
    IPEgressFilterPath, lea e mafai ai e oe ona faʻafesoʻotaʻi polokalame BPF ma tagata faʻapitoa e faʻamama ai pusa IP ulufale mai ma fafo e gaosia e ala i faiga e fesoʻotaʻi ma lenei iunite. O foliga fa'atulagaina e mafai ai ona e faia se ituaiga o pa puipui mo auaunaga systemd. Fa'ata'ita'iga tusitusi se faamama feso'otaiga faigofie e fa'avae ile BPF;

  • O le "mama" poloaiga ua faʻaopoopoina i le systemctl aoga e tape ai le faʻaoga, faila faila, faʻamatalaga tulaga ma faʻamaumauga ogalaau;
  • systemd-networkd faʻaopoopo le lagolago mo MACsec, nlmon, IPVTAP ma Xfrm fesoʻotaʻiga fesoʻotaʻiga;
  • systemd-networkd e fa'atinoina le fa'aputuga eseese o fa'aputuga DHCPv4 ma DHCPv6 e ala i le vaega "[DHCPv4]" ma le "[DHCPv6]" i le faila fa'aopoopo. Faʻaopoopo le filifiliga RoutesToDNS e faʻaopoopo ai se auala ese i le DNS server ua faʻamaonia i faʻamaufaʻailoga na maua mai le DHCP server (ina ia faʻasalalau atu i le DNS e ala i le fesoʻotaʻiga tutusa ma le auala autu na maua mai le DHCP). O filifiliga fou ua faʻaopoopoina mo le DHCPv4: MaxAttempts - numera maualuga o talosaga e maua ai se tuatusi, BlackList - lisi uliuli o DHCP servers, SendRelease - faʻatagaina le lafoina o feʻau DHCP RELEASE pe a maeʻa le sauniga;
  • O tulafono fou ua faʻaopoopoina i le systemd-analyse utility:
    • “systemd-analyse timestamp” - fa'avasega taimi ma le liua;
    • “systemd-analyse timespan” - au'ili'iliga ma le liua o vaitaimi;
    • “tulaga o su'esu'ega-systemd” - fa'avasega ma su'e fa'amatalaga ConditionXYZ;
    • “systemd-analyse exit-status” - fa'avasega ma fa'aliliu tulafono e alu ese mai numera i igoa ma le isi itu;
    • "systemd-analyze unit-files" - Lisi uma ala faila mo iunite ma igoa igoa.
  • Filifiliga SuccessExitStatus, RestartPreventExitStatus ma
    O lo'o lagolagoina nei e le RestartForceExitStatus e le gata i numera fa'afo'i fa'ailoga, ae fa'apea fo'i ma latou fa'amatalaga tusitusia (mo se fa'ata'ita'iga, "DATAERR"). E mafai ona e vaʻai i le lisi o tulafono laiti e tuʻuina atu i faʻamatalaga e faʻaaoga ai le "sytemd-analyze exit-status" poloaiga;

  • O le "tapē" poloaiga ua faaopoopo i le networkctl aoga e tape ai masini fesoʻotaiga vavave, faʻapea foʻi ma le "-stats" filifiliga e faʻaalia ai fuainumera o masini;
  • O le SpeedMeter ma le SpeedMeterIntervalSec ua fa'aopoopoina ile networkd.conf mo le fuaina i lea taimi ma lea taimi le gaosiga o feso'ota'iga feso'ota'iga. Fuainumera maua mai i'uga fua e mafai ona va'aia ile fa'atonuga ole 'networkctl status';
  • Fa'aopoopoina fa'aoga fou systemd-network-generator mo le fa'atupuina o faila
    .network, .netdev ma .link e faʻavae i luga o faʻatulagaga IP na pasia pe a faʻalauiloa e ala i le Linux kernel command line i le Dracut settings format;

  • O le sysctl "kernel.pid_max" tau i luga o 64-bit faiga ua seti nei e ala i le faaletonu i le 4194304 (22-bit PIDs nai lo 16-bits), lea e faʻaitiitia ai le faʻalavelave faʻafuaseʻi pe a tofia PIDs, faʻateleina le tapulaa i le numera o le taimi e tasi fa'agasolo faiga, ma e iai sona aafiaga lelei i le saogalemu. O le suiga e ono o'o atu ai i fa'afitauli o feso'ota'iga, peita'i o ia fa'afitauli e le'i lipotia i le fa'atinoga;
  • Ona o le faaletonu, o le tulaga faufale e sui i le fa'avasegaga tu'ufa'atasi cgroups-v2 (“-Ddefault-hierarchy=unified”). I le taimi muamua, o le faaletonu o le hybrid mode (“-Ddefault-hierarchy=hybrid”);
  • O le amio a le faʻaogaina o le system call filter (SystemCallFilter) ua suia, lea, i le tulaga o le faʻasaina o le telefoni, faʻamutaina nei le faagasologa atoa, nai lo filo taʻitoʻatasi, talu ai o le faʻamutaina o filo taʻitasi e mafai ona oʻo atu ai i faʻafitauli e le mafaamatalaina. Na'o suiga e fa'aoga pe afai e iai sau Linux kernel 4.14+ ma libseccomp 2.4.0+;
  • O polokalame e le fa'apitoa e tu'uina atu i ai le malosi e tu'uina atu ai le ICMP Echo (ping) packets e ala i le fa'atulagaina o le sysctl "net.ipv4.ping_group_range" mo le vaega atoa o vaega (mo faiga uma);
  • Ina ia faʻavaveina le faʻagasologa o le fausiaina, o le faʻatupuina o tusi lesona a le tagata ua taofia e ala i le faaletonu (ia fausia faʻamaumauga atoa, e tatau ona e faʻaogaina le filifiliga "-Dman = moni" poʻo le "-Dhtml = moni" mo tusi lesona i le html format). Ina ia faʻafaigofie ona vaʻai i faʻamaumauga, e lua faʻamaumauga e aofia ai: fausia/man/man ma build/man/html mo le faʻatupuina ma le muai vaʻaia o tusi lesona e fiafia i ai;
  • Ina ia fa'agasolo igoa ole igoa ma mata'itusi mai alafapeta a le atunu'u, o le faletusi libidn2 e fa'aaogaina e ala i le le mafai (e toe fa'afo'i le libidn, fa'aaoga le "-Dlibidn=true" filifiliga);
  • Lagolago mo le /usr/sbin/halt.local executable file, lea na tuʻuina atu galuega e leʻi faʻasalalau lautele i tufatufaga, ua faʻagata. Ina ia faʻatulagaina le faʻalauiloaina o faʻatonuga pe a tapuni, e fautuaina e faʻaaoga tusitusiga i /usr/lib/systemd/system-shutdown/ pe faʻamalamalamaina se iunite fou e faʻalagolago i le final.target;
  • I le tulaga mulimuli o le tapunia, o le systemd ua otometi lava ona faateleina le tulaga ogalaau i le sysctl "kernel.printk", lea e foia ai le faafitauli i le faʻaalia i totonu o faʻamaumauga o loʻo tutupu i le taimi mulimuli ane o le tapunia, pe a maeʻa le faʻaogaina masani o daemons. ;
  • I le journalctl ma isi mea aoga e faʻaalia ai ogalaau, o lapataiga e faʻamaonia i le samasama, ma faʻamaumauga o suʻega o loʻo faʻamaonia i le lanumoana e faʻaalia ai i latou mai le motu o tagata;
  • I le fesuiaiga o le siosiomaga $PATH, o le ala i le bin / ua sau nei i luma o le ala i sbin /, i.e. afai e iai igoa tutusa o faila e mafai ona fa'atinoina i fa'atonuga e lua, o le faila mai le bin/ o le a fa'atinoina;
  • systemd-logind e maua ai se SetBrightness() valaau e suia saogalemu le susulu o le lau i luga o se fa'avae ta'itasi;
  • Ua faaopoopo le fu'a "--wait-for-initialization" i le "udevadm info" e faatali ai le masini e amatalia;
  • I le taimi o le taʻavale, o le PID 1 o loʻo faʻaalia nei igoa o iunite nai lo se laina ma a latou faʻamatalaga. Ina ia toe fo'i i amioga ua mavae, e mafai ona e fa'aogaina le StatusUnitFormat filifiliga i /etc/systemd/system.conf po'o le systemd.status_unit_format kernel filifiliga;
  • Fa'aopoopo le filifiliga KExecWatchdogSec i /etc/systemd/system.conf mo le watchdog PID 1, lea e fa'amaoti ai le taimi e toe amata ai le fa'aaogaina o le kexec. Tulaga tuai
    ShutdownWatchdogSec ua toe fa'aigoaina i le RebootWatchdogSec ma fa'amatala se taimi malolo mo galuega i le taimi o le tapuni po'o le toe amata masani;

  • Ua fa'aopoopoina se filifiliga fou mo auaunaga Tulaga Fa'atino, lea e mafai ai ona e faʻamaonia poloaiga o le a faʻatinoina aʻo leʻi faia le ExecStartPre. Faʻavae i luga o le faʻailoga sese na toe faʻafoʻi mai e le faʻatonuga, e faia se faʻaiʻuga i le faʻatinoina atili o le iunite - afai e toe faʻafoʻi le code 0, e faʻaauau le faʻalauiloaina o le iunite, pe a fai mai le 1 i le 254 e muta lemu e aunoa ma se fuʻa toilalo, afai e 255 e muta i le se fu'a toilalo;
  • Faʻaopoopoina se auaunaga fou systemd-pstore.service e aveese faʻamatalaga mai sys/fs/pstore/ ma mai le faʻasaoina i /var/lib/pstore mo nisi suʻesuʻega;
  • O tulafono fou ua faʻaopoopoina i le timedatectl aoga mo le faʻatulagaina o laina NTP mo systemd-timesyncd e faʻatatau i fesoʻotaʻiga fesoʻotaʻiga;
  • O le "localectl list-locales" e le o toe faʻaalia nofoaga e ese mai i le UTF-8;
  • Faʻamautinoa e le amanaʻia mea sese tau tofiga i faila sysctl.d/ pe afai e amata le igoa fesuiaʻi i le uiga “-“;
  • tautua systemd-random-seed.service ua nafa atoa nei ma le amataina o le vaitaele entropy o le Linux kernel pseudorandom numera generator. Au'aunaga e mana'omia se fa'ailoga sa'o /dev/urandom e tatau ona amata pe a uma le systemd-random-seed.service;
  • O le systemd-boot boot loader e maua ai le avanoa e filifili ai e lagolago faila fatu fa'atasi ai ma fa'asologa fa'afuase'i i le EFI System Partition (ESP);
  • O tulafono fou ua faʻaopoopoina i le bootctl aoga: "bootctl random-seed" e faʻatupu ai se faila fatu i le ESP ma le "bootctl is-installed" e siaki ai le faʻapipiʻiina o le systemd-boot boot loader. ua toe fetuutuunai foi le bootctl e faaali ai lapataiga e uiga i le le sa'o o le setiina o faʻamaufaʻailoga (mo se faʻataʻitaʻiga, pe a tape le ata o le fatu, ae o le faʻailoga mo le utaina o loʻo totoe);
  • Tuuina atu filifiliga otometi o le vaeluaga swap pe a alu le faiga i le faiga moe. O le vaeluaga e filifilia e faʻatatau i le faʻamuamua ua faʻatulagaina mo ia, ma i le tulaga o faʻamuamua tutusa, le aofaʻi o avanoa avanoa;
  • Fa'aopoopo le keyfile-time out option i /etc/crypttab e seti ai le umi o le a fa'atali ai se masini e iai se fa'ailoga fa'ailoga a'o le'i fa'aosoina se fa'aupuga e maua ai le vaeluaga fa'ailoga;
  • Faʻaopoopo le IOWeight filifiliga e seti ai le mamafa o le I/O mo le BFQ scheduler;
  • systemd-resolved faʻaopoopo le 'malosi' mode mo DNS-over-TLS ma faʻatinoina le gafatia e teu ai naʻo tali DNS lelei ("Cache leai-negative" i le resolved.conf);
  • Mo VXLAN, ua fa'aopoopoina e le systemd-networkd se filifiliga GenericProtocolExtension e mafai ai ona fa'aopoopoina fa'asalalauga VXLAN. Mo VXLAN ma GENEVE, o le IPDoNotFragment filifiliga ua faʻaopoopoina e seti ai le fuʻa faʻasaina o le vaeluaga mo pepa o loʻo alu ese;
  • I le systemd-networkd, i le vaega "[Ala]", o le FastOpenNoCookie filifiliga ua faʻaalia e mafai ai e le masini mo le vave tatalaina o fesoʻotaʻiga TCP (TFO - TCP Fast Open, RFC 7413) e faʻatatau i auala taʻitasi, faʻapea foʻi ma le TTLPropagate filifiliga e fetuutuunai TTL LSP (Label Switched Path ). O le "Ituaiga" filifiliga e maua ai le lagolago mo le lotoifale, faʻasalalauga, soʻo se faʻasalalauga, faʻasalalauga faʻasalalau, soʻo se ma xresolve auala auala;
  • Systemd-networkd ofo atu se filifiliga DefaultRouteOnDevice i le vaega "[Network]" e faʻapipiʻi otometi se auala le lelei mo se masini fesoʻotaʻiga tuʻuina atu;
  • Systemd-networkd ua faaopoopo ProxyARP ma
    ProxyARPWifi mo le faʻatulagaina o le amio ARP sui, MulticastRouter mo le faʻatulagaina o taʻiala i le telecast mode, MulticastIGMPVersion mo le suia o le IGMP (Internet Group Management Protocol) version mo multicast;

  • Ua fa'aopoopoina e le Systemd-networkd filifiliga Local, Peer ma PeerPort mo alalaupapa FooOverUDP e fa'atulaga ai tuatusi IP fa'apitonu'u ma mamao, fa'apea fo'i ma le numera o feso'ota'iga. Mo TUN tunnels, o le VnetHeader filifiliga ua faʻaopoopoina e faʻapipiʻi le GSO (Generic Segment Offload) lagolago;
  • I le systemd-networkd, i le .network ma .link faila i le vaega [Match], ua faʻaalia se mea totino, lea e mafai ai ona e iloa masini e ala i a latou meatotino patino i le udev;
  • I le systemd-networkd, ua faʻaopoopoina se AssignToLoopback filifiliga mo tunnels, lea e pulea pe o le pito o le tunnel e tuʻuina atu i le masini loopback "lo";
  • systemd-networkd e otometi lava ona faʻagaoioia le IPv6 stack pe a poloka e ala i le sysctl disable_ipv6 - IPv6 e faʻagaoioia pe afai o le IPv6 faʻatulagaina (static poʻo le DHCPv6) e faʻamalamalamaina mo le fesoʻotaʻiga fesoʻotaʻiga, a leai e le suia le tau o le sysctl ua uma ona seti;
  • I faila .network, o le CriticalConnection seti ua suia e le KeepConfiguration filifiliga, lea e maua ai le tele o auala mo le faʻamalamalamaina o tulaga ("ioe", "static", "dhcp-on-stop", "dhcp") lea e tatau ai i le systemd-networkd. aua le pa'i i feso'ota'iga o iai pe a amata;
  • Fa'aletonu fa'aletonu CVE-2019-15718, mafua mai i le leai o se avanoa e pulea ai le D-Bus interface systemd-resolved. O le mataupu e mafai ai e se tagata faʻapitoa ona faʻatinoina galuega e naʻo le avanoa mo le au pulega, e pei o le suia o tulaga DNS ma le faʻatonuina o fesili DNS i se server rogue;
  • Fa'aletonu fa'aletonu CVE-2019-9619e feso'ota'i ma le le fa'atagaina pam_systemd mo fa'asalalauga e le'i feso'ota'i, lea e mafai ai ona fa'asesēina le sauniga fa'agaioiga.

puna: opennet.ru

Faaopoopo i ai se faamatalaga