ProHoster > Blog > lajme në internet > lëshimi i menaxherit të sistemit systemd 246

lëshimi i menaxherit të sistemit systemd 246

Pas pesë muajsh zhvillimi prezantuar lëshimi i menaxherit të sistemit sistemi 246. Publikimi i ri përfshin mbështetje për njësitë e ngrirjes, aftësinë për të verifikuar imazhin e diskut rrënjësor duke përdorur një nënshkrim dixhital, mbështetje për kompresimin e regjistrave dhe deponimet thelbësore duke përdorur algoritmin ZSTD, aftësinë për të zhbllokuar drejtoritë portative të shtëpisë duke përdorur argumentet FIDO2, mbështetje për zhbllokimin e Microsoft BitLocker ndarjet nëpërmjet /etc/ crypttab, BlackList është riemërtuar në DenyList.

Kryesore Ndryshimet:

  • Mbështetje e shtuar për kontrolluesin e burimeve të ngrirësit bazuar në cgroups v2, me të cilin mund të ndaloni proceset dhe të lironi përkohësisht disa burime (CPU, I/O dhe ndoshta edhe memorie) për të kryer detyra të tjera. Ngrirja dhe shkrirja e njësive kontrollohet duke përdorur komandën e re "systemctl freeze" ose nëpërmjet D-Bus.
  • Mbështetje e shtuar për verifikimin e imazhit të diskut rrënjësor duke përdorur një nënshkrim dixhital. Verifikimi kryhet duke përdorur cilësimet e reja në njësitë e shërbimit: RootHash (root hash për verifikimin e imazhit të diskut të specifikuar përmes opsionit RootImage) dhe RootHashSignature (nënshkrimi dixhital në formatin PKCS#7 për hash-in rrënjë).
  • Trajtuesi PID 1 zbaton aftësinë për të ngarkuar automatikisht rregullat e parapërpiluara të AppArmor (/etc/apparmor/earlypolicy) në fazën fillestare të nisjes.
  • Janë shtuar cilësimet e reja të skedarit të njësisë: ConditionPathIsEncrypted dhe AssertPathIsEncrypted për të kontrolluar vendosjen e shtegut të specifikuar në një pajisje bllok që përdor enkriptimin (dm-crypt/LUKS), ConditionEnvironment dhe AssertEnvironment për të kontrolluar variablat e mjedisit (për shembull, ato të vendosura nga PAM ose gjatë vendosjes së kontejnerëve).
  • Për njësitë *.mount, është zbatuar cilësimi ReadWriteOnly, i cili ndalon montimin e një ndarjeje në modalitetin vetëm për lexim nëse nuk ishte e mundur montimi i saj për lexim dhe shkrim. Në /etc/fstab ky modalitet konfigurohet duke përdorur opsionin "x-systemd.rw-only".
  • Për njësitë *.socket, është shtuar një cilësim PassPacketInfo, i cili i mundëson kernelit të shtojë meta të dhëna shtesë për çdo paketë të lexuar nga foleja (aktivizon modalitetet IP_PKTINFO, IPV6_RECVPKTINFO dhe NETLINK_PKTINFO për folenë).
  • Për shërbimet (*.njësi shërbimi), propozohen cilësimet e CoredumpFilter (përcakton seksionet e kujtesës që duhet të përfshihen në deponitë bazë) dhe
    TimeoutStartFailureMode/TimeoutStopFailureMode (përcakton sjelljen (SIGTERM, SIGABRT ose SIGKILL) kur ndodh një afat kohor kur fillon ose ndalon një shërbim).

  • Shumica e opsioneve tani mbështesin vlerat heksadecimal të specifikuara duke përdorur prefiksin "0x".
  • Në parametra të ndryshëm të linjës komanduese dhe skedarë konfigurimi që lidhen me konfigurimin e çelësave ose certifikatave, është e mundur të specifikoni shtegun drejt prizave unix (AF_UNIX) për transferimin e çelësave dhe certifikatave përmes thirrjeve në shërbimet IPC kur nuk është e dëshirueshme të vendosni certifikata në një disk të pakriptuar. magazinimit.
  • Mbështetje e shtuar për gjashtë specifikues të rinj që mund të përdoren në njësi, tmpfiles.d/, sysusers.d/ dhe skedarë të tjerë konfigurimi: %a për zëvendësimin e arkitekturës aktuale, %o/%w/%B/%W për zëvendësimin e fushave me identifikuesit nga /etc/os-release dhe %l për zëvendësimin e shkurtër të emrit të hostit.
  • Skedarët e njësisë nuk e mbështesin më sintaksën ".include", e cila u zhvlerësua 6 vjet më parë.
  • Cilësimet StandardError dhe StandardOutput nuk mbështesin më vlerat "syslog" dhe "syslog-console", të cilat do të konvertohen automatikisht në "journal" dhe "journal+console".
  • Për pikat e montimit të krijuara automatikisht të bazuara në tmpfs (/tmp, /run, /dev/shm, etj.), ofrohen kufizime në madhësinë dhe numrin e inodeve, që korrespondojnë me 50% të madhësisë së RAM-it për /tmp dhe /dev/ shm, dhe 10% të RAM-it për të gjithë të tjerët.
  • U shtuan opsionet e reja të linjës së komandës së kernelit: systemd.hostname për të vendosur emrin e hostit në fazën fillestare të nisjes, udev.blockdev_read_only për të kufizuar të gjitha pajisjet e bllokut të lidhur me disqet fizike në modalitetin vetëm për lexim (mund të përdorni komandën "blockdev --setrw" për të anuloj në mënyrë selektive), systemd .swap për të çaktivizuar aktivizimin automatik të ndarjes swap, systemd.clock-usec për të vendosur orën e sistemit në mikrosekonda, systemd.condition-needs-update dhe systemd.condition-first-boot për të anashkaluar ConditionNeedsUpdate dhe ConditionFirstBoot çeqe.
  • Si parazgjedhje, sysctl fs.suid_dumpable është vendosur në 2 ("suidsafe"), që lejon ruajtjen e deponive bazë për proceset me flamurin suid.
  • Skedari /usr/lib/udev/hwdb.d/60-autosuspend.hwdb u huazua në bazën e të dhënave të harduerit nga ChromiumOS, e cila përfshin informacione rreth pajisjeve PCI dhe USB që mbështesin modalitetin automatik të gjumit.
  • Një cilësim ManageForeignRoutes është shtuar në networkd.conf, kur aktivizohet, systemd-networkd do të fillojë të menaxhojë të gjitha rrugët e konfiguruara nga shërbimet e tjera.
  • Një seksion "[SR-IOV]" është shtuar në skedarët .network për konfigurimin e pajisjeve të rrjetit që mbështesin SR-IOV (Virtualizimi I/O me një rrënjë).
  • Në systemd-networkd, cilësimi IPv4AcceptLocal është shtuar në seksionin "[Network]" për të lejuar marrjen e paketave që vijnë me një adresë burimi lokal në ndërfaqen e rrjetit.
  • systemd-networkd ka shtuar aftësinë për të konfiguruar disiplinat e prioritizimit të trafikut HTB përmes [HierarchyTokenBucket] dhe
    [HierarchyTokenBucketClass], "pfifo" nëpërmjet [PFIFO], "GRED" nëpërmjet [GenericRandomEarlyDetection], "SFB" nëpërmjet [StochasticFairBlue], "tortë"
    nëpërmjet [CAKE], "PIE" nëpërmjet [PIE], "DRR" nëpërmjet [DeficitRoundRobinScheduler] dhe
    [DeficitRoundRobinSchedulerClass], "BFIFO" nëpërmjet [BFIFO],
    "PFIFOHeadDrop" nëpërmjet [PFIFOHeadDrop], "PFIFOFast" nëpërmjet [PFIFOFast], "HHF"
    nëpërmjet [HeavyHitterFilter], "ETS" nëpërmjet [EnhancedTransmissionSelection],
    "QFQ" nëpërmjet [QuickFairQueueing] dhe [QuickFairQueueingClass].

  • Në systemd-networkd, një cilësim UseGateway është shtuar në seksionin [DHCPv4] për të çaktivizuar përdorimin e informacionit të portës së marrë nëpërmjet DHCP.
  • Në systemd-networkd, në seksionet [DHCPv4] dhe [DHCPServer], është shtuar një cilësim SendVendorOption për instalimin dhe përpunimin e opsioneve shtesë të shitësit.
  • systemd-networkd zbaton një grup të ri opsionesh EmitPOP3/POP3, EmitSMTP/SMTP dhe EmitLPR/LPR në seksionin [DHCPServer] për të shtuar informacione rreth serverëve POP3, SMTP dhe LPR.
  • Në systemd-networkd, në skedarët .netdev në seksionin [Bridge], është shtuar një cilësim i Protokollit VLAN për të zgjedhur protokollin VLAN për t'u përdorur.
  • Në systemd-networkd, në skedarët .network në seksionin [Link], vendosja e Grupit zbatohet për të menaxhuar një grup lidhjesh.
  • Cilësimet e listës së zezë janë riemërtuar në DenyList (duke ruajtur trajtimin e emrave të vjetër për pajtueshmërinë e pasme).
  • Systemd-networkd ka shtuar një pjesë të madhe të cilësimeve që lidhen me IPv6 dhe DHCPv6.
  • U shtua komanda “forcerenew” në networkctl për të detyruar të gjitha lidhjet e adresave të përditësohen (qira).
  • Në systemd-resolved, në konfigurimin DNS, u bë e mundur të specifikohej numri i portit dhe emri i hostit për verifikimin e certifikatës DNS-over-TLS. Zbatimi DNS-over-TLS ka shtuar mbështetjen për kontrollin SNI.
  • Systemd-resolved tani ka aftësinë për të konfiguruar ridrejtimin e emrave të DNS me një emërtim (me një emërtim, nga një emër pritës).
  • systemd-journald ofron mbështetje për përdorimin e algoritmit zstd për të kompresuar fusha të mëdha në revista. Është bërë punë për të mbrojtur kundër përplasjeve në tabelat hash të përdorura në revista.
  • URL-të e klikueshme me lidhje me dokumentacionin janë shtuar në journalctl kur shfaqen mesazhet e regjistrit.
  • U shtua një cilësim Auditimi te journald.conf për të kontrolluar nëse auditimi është i aktivizuar gjatë inicializimit të systemd-journald.
  • Systemd-coredump tani ka aftësinë për të kompresuar deponitë thelbësore duke përdorur algoritmin zstd.
  • U shtua cilësimi UUID në systemd-repart për të caktuar një UUID në ndarjen e krijuar.
  • Shërbimi systemd-homed, i cili ofron menaxhimin e drejtorive portative në shtëpi, ka shtuar mundësinë për të zhbllokuar drejtoritë e shtëpisë duke përdorur tokenat FIDO2. Backend-i i enkriptimit të ndarjes LUKS ka shtuar mbështetje për kthimin automatik të blloqeve të sistemit të skedarëve bosh kur përfundon një sesion. Mbrojtje e shtuar kundër kriptimit të dyfishtë të të dhënave nëse përcaktohet se ndarja /home në sistem është tashmë e koduar.
  • Cilësimet e shtuara në /etc/crypttab: "keyfile-erase" për të fshirë një çelës pas përdorimit dhe "provo-empty-password" për të tentuar të shkyçësh një ndarje me një fjalëkalim bosh përpara se të kërkohet nga përdoruesi një fjalëkalim (i dobishëm për instalimin e imazheve të enkriptuara me një fjalëkalim të caktuar pas nisjes së parë, jo gjatë instalimit).
  • systemd-cryptsetup shton mbështetje për zhbllokimin e ndarjeve të Microsoft BitLocker në kohën e nisjes duke përdorur /etc/crypttab. Shtoi gjithashtu aftësinë për të lexuar
    çelësat për zhbllokimin automatik të ndarjeve nga skedarët /etc/cryptsetup-keys.d/ .key dhe /run/cryptsetup-keys.d/ .Celës.

  • U shtua systemd-xdg-autostart-generator për të krijuar skedarë njësi nga skedarët e .desktop autostart.
  • U shtua komanda "reboot-to-firmware" në "bootctl".
  • Opsionet e shtuara në systemd-firstboot: "--image" për të specifikuar imazhin e diskut që do të niset, "--kernel-command-line" për të inicializuar skedarin /etc/kernel/cmdline, "--root-password-hashed" në specifikoni hash-in e fjalëkalimit rrënjë, dhe "--delete-root-password" për të fshirë fjalëkalimin rrënjë.

Burimi: opennet.ru

Shto një koment