ProHoster > Blog > litaba tsa inthanete > Ho lokolloa ha systemd system manager 252 ka tšehetso ea UKI (Unified Kernel Image).

Ho lokolloa ha systemd system manager 252 ka tšehetso ea UKI (Unified Kernel Image).

Kamora likhoeli tse hlano tsa nts'etsopele, mookameli oa sistimi systemd 252 o lokollotsoe. Phetoho ea bohlokoa phetolelong e ncha ke kopanyo ea ts'ehetso bakeng sa ts'ebetso ea sejoale-joale ea boot, e nolofalletsang netefatso ea signature ea dijithale eseng feela kernel le bootloader, empa le likarolo tsa tikoloho ea sistimi e ka tlase.

Mokhoa o sisintsweng o kenyeletsa tshebediso ya setshwantsho sa kernel se kopaneng sa UKI (Unified Kernel Image) ha ho kenngwa, se kopanyang sesebediswa sa ho kenya kernel ho tswa ho UEFI (UEFI boot stub), setshwantsho sa kernel. Linux le initrd, tikoloho ea sistimi e kentsweng mohopolong, e sebelisetsoang ho qala pele ho kenya sistimi ea lifaele ea motso. Setšoantšo sa UKI se pakiloe e le faele e le 'ngoe e ka sebelisoang ka mokhoa oa PE, e ka kengoang ho sebelisoa li-bootloader tsa setso kapa ea bitsoa ka kotloloho ho tsoa ho firmware ea UEFI. Ha e bitsoa ho tsoa ho UEFI, botšepehi le bonnete ba eseng feela kernel empa hape le litaba tsa initrd li ka netefatsoa ho sebelisoa tshaeno ea dijithale.

Sesebelisoa se secha, systemd-measure, se kenyelelitsoe bakeng sa ho bala litekanyo tsa TPM PCR (Trusted Platform Module Configuration Register), tse sebelisetsoang ho netefatsa botšepehi le ho hlahisa signature ea digital bakeng sa setšoantšo sa UKI. Senotlolo sa sechaba se sebelisoang bakeng sa ho saena le boitsebiso bo tsamaeang le PCR se ka kenngoa ka ho toba setšoantšong sa boot sa UKI (senotlolo le saena li bolokiloe faeleng ea PE '.pcrsig' le '.pcrkey' masimo) 'me e ntšoa ho eona ho sebelisoa lisebelisoa tsa ka ntle kapa tsa ka hare.

Lisebelisoa tsa systemd-cryptsetup, systemd-cryptenroll, le systemd-creds li fetotsoe ho sebelisa tlhahisoleseling ena, ho lumella likaroloana tsa disk tse kentsoeng hore li hokahane le kernel e saenneng ka dijithale (tabeng ena, phihlello ea karohano e kentsoeng e fanoa feela haeba setšoantšo sa UKI se netefalitsoe ke signature ea dijithale e thehiloeng ho li-parameter tse bolokiloeng ho TPM).

Ho feta moo, sesebelisoa sa systemd-pcrphase se kenyelelitsoe, se u lumellang ho laola ho tlama ha mekhahlelo e fapaneng ea boot ho li-parameter tse bolokiloeng mohopolong oa li-cryptoprocessors tse tšehetsang tlhaloso ea TPM 2.0 (mohlala, u ka etsa hore senotlolo sa ho arola sa LUKS2 se fumanehe feela setšoantšong sa initrd le ho thibela ho se fihlella ha nako e tlang).

Liphetoho tse ling:

  • E netefalitse hore sebaka sa C.UTF-8 se sebelisoa ka mokhoa o ikhethileng ntle le haeba ho boletsoe sebaka se fapaneng litlhophisong.
  • Bokhoni ba ho etsa preset e felletseng ea ts'ebeletso (systemctl preset) nakong ea boot ea pele e kentsoe ts'ebetsong. Ho nolofalletsa ho hlophisa nakong ea boot ho hloka moaho o nang le khetho ea "-Dfirst-boot-full-preset", empa e reriloe hore e khonehe ka ho sa feleng lintlafatsong tse tlang.
  • Litsi tsa tsamaiso ea basebelisi li sebelisa sesebelisoa sa CPU, ho netefatsa hore litlhophiso tsa CPUWeight li sebelisoa ho likarolo tsohle tse sebelisoang ho arola tsamaiso (app.slice, background.slice, session.slice) ho arola lisebelisoa pakeng tsa lits'ebeletso tse fapaneng tsa basebelisi tse hlolisanang bakeng sa lisebelisoa tsa CPU. CPUWeight e boetse e ts'ehetsa boleng ba "sebella" ho kenya tšebetsong mokhoa o nepahetseng oa kabo ea lisebelisoa.
  • Likarolong tsa nakoana le ts'ebelisong ea li-systemd-repart, hoa khoneha ho hlakola litlhophiso ka ho theha lifaele tsa ho theoha ho /etc/systemd/system/name.d/ directory.
  • Lits'oants'o tsa sistimi li se li tšoailoe joalo ka 'support-end', ho ipapisitsoe le boleng ba paramethara e ncha ea 'SUPPORT_END=' faeleng ea /etc/os-release.
  • E kenyellelitsoe "ConditionCredential=" le "AssertCredential=" litlhophiso tse ka sebelisoang ho hlokomoloha kapa ho senya likarolo haeba lintlha tse itseng li le sieo tsamaisong.
  • E kentsoe "DefaultSmackProcessLabel = " le "DefaultDeviceTimeoutSec = "litlhophiso ho system.conf le user.conf ho hlalosa boemo ba ts'ireletso ba SMACK le nako ea ts'ebetso ea yuniti.
  • Litlhophisong tsa "ConditionFirmware=" le "AssertFirmware=", bokhoni ba ho hlakisa likarolo tsa SMBIOS ka bomong bo kentsoe. Mohlala, ho qala yuniti ha feela sebaka sa /sys/class/dmi/id/board_name se na le boleng ba "Custom Board," o ka hlakisa "ConditionFirmware=smbios-field(board_name = "Custom Board").
  • Ts'ebetso ea ho qala (PID 1) joale e na le bokhoni ba ho kenya mangolo a tumello ho tsoa masimong a SMBIOS (Mofuta oa 11, "li-string tsa barekisi ba OEM") ho phaella ho a hlalosa ka qemu_fwcfg, e leng se etsang hore ho be bonolo ho fana ka mangolo a tumello. mechine ea sebele mme e felisa tlhoko ea lisebelisoa tsa motho oa boraro tse kang cloud-init le ignition.
  • Nakong ea ho koala, mohopolo oa ho theola litsamaiso tsa faele (proc, sys) o fetotsoe, 'me tlhahisoleseling mabapi le lits'ebetso tse thibelang ho theoha ha litsamaiso tsa lifaele joale li bolokiloe ho log.
  • The SystemCallFilter e lumella ho fihlella mohala oa riscv_flush_icache oa sistimi ka boiketsetso.
  • Bootloader ea sd-boot joale e na le bokhoni ba ho qala ka mokhoa o tsoakiloeng, moo kernel ea 64-bit e leng teng. Linux E qala ho tsoa ho firmware ea UEFI ea 32-bit. Tšobotsi ea liteko e ekelitsoe bakeng sa ho sebelisa linotlolo tsa SecureBoot ka boiketsetso ho tsoa lifaeleng tse fumanehang karolong ea sistimi ea ESP (EFI).
  • Likhetho tse ncha li kenyellelitsoe ho sesebelisoa sa bootctl: "-all-architectures" bakeng sa ho kenya li-binaries bakeng sa meralo eohle ea EFI e tšehetsoeng, "--root = " le "--image = " bakeng sa ho sebetsa ka bukana kapa setšoantšo sa disk, "--install-source = " bakeng sa ho hlakisa mohloli oa ho kenya, "- efi-boot-option-description = ".
  • Sesebelisoa sa systemctl se ntlafalitsoe ka taelo ea 'list-automounts' bakeng sa ho bonts'a lethathamo la li-directory tse itlhommeng pele le "--image=" kgetho bakeng sa ho phethahatsa litaelo tse amanang le setšoantšo sa disk se boletsoeng. Likhetho tsa "--state=" le "--type=" li kentsoe litaelong tsa 'show' le 'maemo'.
  • Likhetho tse latelang li kentsoe ho systemd-networkd: "TCPCongestionControlAlgorithm=" bakeng sa ho khetha algorithm ea TCP congestion control, "KeepFileDescriptor=" bakeng sa ho boloka tlhaloso ea faele bakeng sa likhokahano tsa TUN/TAP, "NetLabel = "bakeng sa ho beha lileibole tsa NetLabel, le "RapidCommit=" bakeng sa ho potlakisa tlhophiso ea1RFC3v3v6). "RouteTable =" parameter joale e lumella ho hlalosa mabitso a litafole tsa ho tsamaisa.
  • hona joale systemd-nspawn e lumella tšebeliso ea litsela tsa lifaele tse amanang le "--bind = " le "- overlay = " likhetho. Khetho ea "--bind=" e se e ts'ehetsa paramethara ea 'rootidmap' bakeng sa ho etsa 'mapa oa ID ea motso ka har'a sets'oants'o ho mong'a bukana e kentsoeng tsamaisong ea moamoheli.
  • Ho systemd-resolved, sephutheloana sa OpenSSL se sebelisoa e le mokhoa o ka morao oa encryption (ts'ehetso ea gnutls e bolokiloe e le khetho). Li-algorithms tse sa tšehetsoeng tsa DNSSEC joale li nkuoa li sa sireletseha, ho fapana le ho khutlisa phoso (SERVFAIL).
  • systemd-sysusers, systemd-tmpfiles, le systemd-sysctl li kenya tšebetsong bokhoni ba ho fetisa litlhophiso ka mochini oa polokelo ea lintlha.
  • Ts'ebeliso ea systemd-analyze hona joale e na le taelo ea 'bapisa-liphetolelo' bakeng sa ho bapisa likhoele le linomoro tsa mofuta (tse ts'oanang le 'rpmdev-vercmp' le 'dpkg --compare-versions'). Taelo ea 'systemd-analyze dump' joale e na le bokhoni ba ho sefa likarolo ka mask.
  • Ha u khetha mokhoa oa ho robala oa mekhahlelo e mengata (ho emisa-ebe-hibernate), nako ea standby e se e khethoa ho ipapisitse le khakanyo ea bophelo ba betri e setseng. Ho hibernation hanghang ho etsahala ha tjhaji ya betri e theohela ka tlase ho 5%.
  • Mokhoa o mocha oa tlhahiso "-o short-delta" o kentsoe ho 'journalctl', e bonts'ang phapang ea nako lipakeng tsa melaetsa e fapaneng ea log.
  • systemd-repart joale e ts'ehetsa ho theha likarolo tse nang le Squashfs le likaroloana tsa dm-verity, ho kenyeletsoa le tse nang le li-signature tsa dijithale.
  • E kenyellelitsoe "StopIdleSessionSec=" ho beha ho systemd-logind ho emisa nako e sa sebetseng ka mor'a nako e boletsoeng.
  • E kenyellelitsoe "-unlock-key-file=" kgetho ea ho systemd-cryptenroll ho ntša senotlolo sa decryption faeleng ho fapana le ho susumetsa mosebelisi.
  • Bokhoni ba ho tsamaisa ts'ebeliso ea systemd-growfs libakeng tse se nang udev bo netefalitsoe.
  • systemd-backlight e ntlafalitse tšehetso bakeng sa litsamaiso tse nang le likarete tse ngata tsa litšoantšo.
  • Laesense ea disampole tsa khoutu e fanoeng litokomaneng e fetotsoe ho tloha ho CC0 ho ea ho MIT-0.

Liphetoho tse senyang litšebelisano:

  • Ha u sheba nomoro ea mofuta oa kernel u sebelisa taelo ea ConditionKernelVersion, basebetsi ba '=' le '!=' joale ba sebelisa papiso e bonolo ea likhoele. Haeba ho se na papiso ea papiso e boletsoeng, ho bapisa glob ho ka sebelisoa ho sebelisoa litlhaku tsa '*', '?', le '[', ']'. Ho bapisa liphetolelo ka mokhoa oa ts'ebetso ea stverscmp(), sebelisa '<', '>', '<=', le '>=' li-operator.
  • Leiboleng la SELinux, e sebediswang ho hlahloba phihlello ho tswa faeleng ya yuniti, jwale e balwa mohatong wa ho kenya difaele, ho ena le mohatong wa ho hlahloba phihlello.
  • Boemo ba "ConditionFirstBoot" hona joale bo tuka boteng ba pele ba sistimi feela nakong ea sethala ka boeona mme bo khutlisa "bohata" ha u letsetsa li-unit kamora hore boot e felile.
  • Ka 2024, systemd e rera ho nyenyefatsa mokhoa oa ho fokotsa lisebelisoa tsa cgroup v1, o neng o theohile ho systemd 248. Batsamaisi ba eletsoa ho nahana ka litšebeletso tsa ho falla tse itšetlehileng ka cgroup v1 ho kopanya v2 esale pele. Phapang ea bohlokoa lipakeng tsa li-cgroups v2 le v1 ke ts'ebeliso ea sehlopha se tloaelehileng sa lihlopha bakeng sa mefuta eohle ea lisebelisoa, sebakeng sa maemo a arohaneng a kabo ea lisebelisoa tsa CPU, taolo ea memori, le I/O. Maemo a arohaneng a lebisa mathateng a ho hlophisa litšebelisano lipakeng tsa batho ba sebetsang le kernel e eketsehileng ha ho sebelisoa melao bakeng sa ts'ebetso e boletsoeng maemong a fapaneng.
  • Ts'ehetso bakeng sa li-hierarchies tse arohaneng tsa li-directory, moo / usr e behiloeng ka thoko ho motso kapa li-directory tsa / bin le / usr / bin, / lib le / usr / lib li arotsoe, li reretsoe ho emisoa halofo ea bobeli ea 2023.

Source: opennet.ru

Reka sebaka se tšepahalang sa libaka tse nang le ts'ireletso ea DDoS, li-server tsa VPS VDS 🔥 Reka sebaka se tšepahalang sa ho amohela webosaete ka tšireletso ea DDoS, li-server tsa VPS VDS | ProHoster