ProHoster > Blog > warta internét > Systemd System Manager release 250

Systemd System Manager release 250

Saatos pangwangunan lima bulan, sékrési manajer sistem systemd 250. Pelepasan énggal ngenalkeun kamampuan pikeun nyimpen kredensial dina bentuk énkripsi, ngalaksanakeun verifikasi partisi GPT anu dideteksi sacara otomatis nganggo tanda tangan digital, ningkatkeun inpormasi ngeunaan panyabab telat nalika jasa dimimitian, sarta ditambahkeun pilihan pikeun ngawatesan aksés jasa kana sistem file tangtu jeung interfaces jaringan, rojongan pikeun ngawas integritas partisi ngagunakeun modul dm-integritas disadiakeun, sarta rojongan pikeun sd-boot otomatis-update ditambahkeun.

Parobahan utama:

  • Ditambahkeun dukungan pikeun kredensial énkripsi sareng dioténtikasi, anu tiasa mangpaat pikeun nyimpen bahan sénsitip sapertos konci SSL sareng kecap akses aksés. Dekripsi kredensial dilaksanakeun ngan upami diperyogikeun sareng aya hubunganana sareng pamasangan atanapi alat lokal. Data énkripsi sacara otomatis nganggo algoritma énkripsi simetris, konci anu tiasa ditempatkeun dina sistem file, dina chip TPM2, atanapi nganggo skéma kombinasi. Nalika jasa dimimitian, kredensial sacara otomatis didekripsi sareng janten sayogi pikeun jasa dina bentuk normalna. Pikeun damel sareng kredensial énkripsi, utilitas 'systemd-creds' parantos ditambihan, sareng setélan LoadCredentialEncrypted sareng SetCredentialEncrypted parantos diusulkeun pikeun jasa.
  • sd-stub, executable EFI anu ngamungkinkeun firmware EFI ngamuat kernel Linux, ayeuna ngadukung booting kernel nganggo protokol LINUX_EFI_INITRD_MEDIA_GUID EFI. Ogé ditambahkeun kana sd-stub nyaéta kamampuhan pikeun ngarangkep Kapercayaan jeung sysext file kana arsip cpio sarta mindahkeun arsip ieu ka kernel babarengan jeung initrd (file tambahan disimpen dina /.extra/ diréktori). Fitur ieu ngamungkinkeun anjeun ngagunakeun lingkungan initrd immutable verifiable, complemented ku sysexts jeung data auténtikasi énkripsi.
  • Spésifikasi Discoverable Partitions parantos dilegakeun sacara signifikan, nyayogikeun alat pikeun ngaidentipikasi, masang sareng ngaktifkeun partisi sistem nganggo GPT (GUID Partition Tables). Dibandingkeun sareng sékrési saméméhna, spésifikasi ayeuna ngadukung partisi akar sareng partisi / usr pikeun kalolobaan arsitéktur, kalebet platform anu henteu nganggo UEFI.

    Partisi Discoverable ogé nambihan dukungan pikeun partisi anu integritasna diverifikasi ku modul dm-verity nganggo PKCS # 7 tanda tangan digital, sahingga ngagampangkeun nyiptakeun gambar disk anu dioténtikasi pinuh. Pangrojong verifikasi diintegrasikeun kana sababaraha utilitas anu ngamanipulasi gambar disk, kalebet systemd-nspawn, systemd-sysext, systemd-dissect, jasa RootImage, systemd-tmpfiles, sareng systemd-sysusers.

  • Pikeun unit anu butuh waktu lila pikeun ngamimitian atawa eureun, sajaba ti mintonkeun hiji bar kamajuan animasi, kasebut nyaéta dimungkinkeun pikeun nembongkeun informasi status nu ngidinan Anjeun pikeun ngarti naon kahayang anu lumangsung kalawan layanan dina momen jeung jasa mana manajer sistem. ayeuna ngantosan réngsé.
  • Ditambahkeun parameter DefaultOOMScoreAdjust kana /etc/systemd/system.conf jeung /etc/systemd/user.conf, nu ngidinan Anjeun pikeun ngaluyukeun bangbarung OOM-killer pikeun memori low, lumaku pikeun prosés nu systemd dimimitian pikeun sistem jeung pamaké. Sacara standar, beurat jasa sistem leuwih luhur batan jasa pamaké, i.e. Nalika mémori teu cekap, kamungkinan terminasi jasa pangguna langkung luhur tibatan jasa sistem.
  • Katambah setelan RestrictFileSystems, nu ngidinan Anjeun pikeun ngawatesan aksés ladenan kana tipeu sistem file nu tangtu. Pikeun ningali jinis sistem file anu sayogi, anjeun tiasa nganggo paréntah "systemd-analyse filesystems". Ku analogi, pilihan RestrictNetworkInterfaces geus dilaksanakeun, nu ngidinan Anjeun pikeun ngawatesan aksés ka interfaces jaringan tangtu. Palaksanaan ieu dumasar kana modul BPF LSM, nu ngawatesan aksés grup prosés ka objék kernel.
  • Nambahkeun file konfigurasi anyar /etc/integritytab sareng utilitas systemd-integritysetup anu ngonpigurasikeun modul dm-integritas pikeun ngontrol integritas data dina tingkat séktor, contona, pikeun ngajamin immutability data énkripsi (Enkripsi Dioténtikasi, mastikeun yén blok data gaduh henteu dirobih ku cara buleud). Format file /etc/integritytab sami sareng file /etc/crypttab sareng /etc/veritytab, kecuali dm-integrity dianggo tibatan dm-crypt sareng dm-verity.
  • A file Unit anyar systemd-boot-update.service geus ditambahkeun, nalika diaktipkeun jeung sd-boot bootloader dipasang, systemd otomatis bakal ngamutahirkeun versi SD-boot bootloader, ngajaga kodeu bootloader salawasna up to date. sd-boot sorangan ayeuna diwangun sacara standar kalayan dukungan pikeun mékanisme SBAT (UEFI Secure Boot Advanced Targeting), anu ngarengsekeun masalah sareng panyabutan sertipikat pikeun UEFI Secure Boot. Sajaba ti éta, sd-boot nyadiakeun kamampuhan pikeun parse setélan boot Microsoft Windows pikeun bener ngahasilkeun ngaran partitions boot jeung Windows jeung mintonkeun versi Windows.

    sd-boot ogé nyayogikeun kamampuan pikeun nangtukeun skéma warna dina waktos ngawangun. Salila prosés boot, ditambahkeun rojongan pikeun ngarobah resolusi layar ku mencét "r" konci. Ditambahkeun hotkey "f" pikeun muka panganteur konfigurasi firmware. Ditambahkeun mode pikeun otomatis boot sistem pakait jeung item menu dipilih salila boot panungtungan. Ditambahkeun kamampuan pikeun ngamuat supir EFI sacara otomatis anu aya dina diréktori /EFI/systemd/drivers/ dina bagian ESP (EFI System Partition).

  • A file Unit anyar factory-reset.target kaasup, nu diprosés dina systemd-login dina cara nu sarupa jeung reboot, poweroff, nunda jeung hibernate operasi, sarta dipaké pikeun nyieun pawang pikeun ngalakukeun reset pabrik.
  • Prosés systemd-direngsekeun ayeuna nyiptakeun stop kontak déngékeun tambahan dina 127.0.0.54 salian 127.0.0.53. Paménta anu dugi ka 127.0.0.54 sok dialihkeun ka server DNS hulu sareng henteu diolah sacara lokal.
  • Disayogikeun kamampuan ngawangun systemd-importd sareng systemd-resolved sareng perpustakaan OpenSSL tinimbang libgcrypt.
  • Ditambahkeun dukungan awal pikeun arsitektur LoongArch anu dianggo dina prosesor Loongson.
  • systemd-gpt-auto-generator nyayogikeun kamampuan pikeun ngonpigurasikeun partisi swap anu didefinisikeun ku sistem anu énkripsi ku subsistem LUKS2.
  • Kodeu parsing gambar GPT dipaké dina systemd-nspawn, systemd-dissect, sarta utiliti sarupa implements kamampuhan pikeun decode gambar pikeun arsitéktur séjén, sahingga systemd-nspawn bisa dipaké pikeun ngajalankeun gambar dina émulator arsitéktur séjén.
  • Nalika mariksa gambar disk, systemd-dissect ayeuna ningalikeun inpormasi ngeunaan tujuan partisi, sapertos kasesuaian pikeun booting via UEFI atanapi ngajalankeun dina wadah.
  • Widang "SYSEXT_SCOPE" parantos diasupkeun kana file system-extension.d/, anu ngamungkinkeun anjeun nunjukkeun ruang lingkup gambar sistem - "initrd", "sistem" atanapi "portabel".
  • Widang "PORTABLE_PREFIXES" parantos ditambahkeun kana file os-release, anu tiasa dianggo dina gambar portabel pikeun nangtukeun awalan file unit anu didukung.
  • systemd-logind ngenalkeun setélan anyar HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress sareng HandleHibernateKeyLongPress, anu tiasa dianggo pikeun nangtoskeun naon anu bakal kajadian nalika sababaraha konci dipencet langkung ti 5 detik (contona, mencét tombol Suspend pikeun gancang tiasa dikonpigurasikeun. , sareng nalika ditahan, éta bakal bobo).
  • Pikeun unit, setélan StartupAllowedCPUs sareng StartupAllowedMemoryNodes dilaksanakeun, anu bénten sareng setélan anu sami tanpa awalan Startup sabab diterapkeun ngan dina tahap boot sareng shutdown, anu ngamungkinkeun anjeun nyetél larangan sumber daya sanés nalika boot.
  • Ditambahkeun [Kaayaan|Tegeskeun][Memori|CPU|IO]Cék tekanan anu ngamungkinkeun aktivasina unit dilewatan atanapi gagal upami mékanisme PSI ngadeteksi beban beurat dina mémori, CPU, sareng I/O dina sistem.
  • Wates inode maksimum standar geus ngaronjat pikeun partisi / dev tina 64k ka 1M, sarta pikeun partisi / tmp tina 400k ka 1M.
  • Setélan ExecSearchPath parantos diajukeun pikeun jasa, anu ngamungkinkeun anjeun ngarobih jalur pikeun milarian file anu tiasa dieksekusi anu diluncurkeun ku setélan sapertos ExecStart.
  • Ditambahkeun setelan RuntimeRandomizedExtraSec, nu ngidinan Anjeun pikeun ngawanohkeun simpangan acak kana RuntimeMaxSec seep, nu ngawatesan waktos palaksanaan hiji unit.
  • Sintaksis RuntimeDirectory, StateDirectory, CacheDirectory sareng LogsDirectory parantos dilegaan, dimana ku netepkeun nilai tambahan anu dipisahkeun ku titik dua, anjeun ayeuna tiasa ngatur nyiptakeun tautan simbolis kana diréktori anu dipasihkeun pikeun ngatur aksés sapanjang sababaraha jalur.
  • Pikeun jasa, setélan TTYRows sareng TTYColumns ditawarkeun pikeun nyetél jumlah baris sareng kolom dina alat TTY.
  • Ditambahkeun setelan ExitType, nu ngidinan Anjeun pikeun ngarobah logika pikeun nangtukeun tungtung layanan a. Sacara standar, systemd ngan ngalacak maotna prosés utama, tapi upami ExitType=cgroup disetel, manajer sistem bakal ngadagoan prosés terakhir dina cgroup pikeun réngsé.
  • Implementasi systemd-cryptsetup pikeun dukungan TPM2/FIDO2/PKCS11 ayeuna ogé diwangun salaku plugin cryptsetup, ngamungkinkeun paréntah cryptsetup normal dianggo pikeun muka konci partisi énkripsi.
  • Panangan TPM2 dina systemd-cryptsetup / systemd-cryptsetup nambihan dukungan pikeun konci primér RSA salian konci ECC pikeun ningkatkeun kasaluyuan sareng chip non-ECC.
  • Pilihan token-timeout geus ditambahkeun kana / jsb / crypttab, nu ngidinan Anjeun pikeun nangtukeun waktu maksimum ngadagoan PKCS # 11 / sambungan token FIDO2, nu satutasna anjeun bakal dipenta pikeun nuliskeun sandi atawa recovery konci.
  • systemd-timesyncd ngalaksanakeun setélan SaveIntervalSec, anu ngamungkinkeun anjeun périodik ngahemat waktos sistem ayeuna kana disk, contona, pikeun nerapkeun jam monoton dina sistem tanpa RTC.
  • Pilihan parantos ditambahkeun kana utilitas systemd-analyze: "--image" sareng "--root" kanggo mariksa file unit di jero gambar atanapi diréktori akar anu dipasihkeun, "--recursive-errors" kanggo ngémutan unit anu gumantung nalika aya kasalahan. dideteksi, "--offline" pikeun mariksa misah Unit file disimpen kana disk, "-json" pikeun kaluaran dina format JSON, "-quiet" pikeun mareuman pesen teu penting, "-profile" pikeun ngabeungkeut propil portabel. Ogé ditambahkeun nyaéta paréntah inspect-elf pikeun parsing file inti dina format ELF jeung kamampuhan pikeun pariksa file Unit kalawan ngaran unit dibikeun, paduli naha ngaran ieu cocog jeung ngaran file.
  • systemd-networkd parantos ngalegaan dukungan pikeun beus Controller Area Network (CAN). Ditambahkeun setélan pikeun ngadalikeun mode CAN: Loopback, OneShot, PresumeAck sareng ClassicDataLengthCode. Ditambahkeun TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 sareng DataSyncJumpWidth pilihan kana bagian [CAN. synchronization] file antarmuka CAN.
  • Systemd-networkd geus ditambahkeun pilihan Label pikeun klien DHCPv4, nu ngidinan Anjeun pikeun ngonpigurasikeun labél alamat dipaké nalika ngonpigurasikeun alamat IPv4.
  • systemd-udevd pikeun "ethtool" ngalaksanakeun dukungan pikeun nilai "max" khusus anu nyetél ukuran panyangga kana nilai maksimal anu dirojong ku hardware.
  • Dina file .link pikeun systemd-udevd ayeuna anjeun tiasa ngonpigurasikeun rupa-rupa parameter pikeun ngagabungkeun adaptor jaringan sareng panangan hardware (offload).
  • systemd-networkd nawiskeun file .network anyar sacara standar: 80-container-vb.network pikeun ngartikeun sasak jaringan anu diciptakeun nalika ngajalankeun systemd-nspawn nganggo pilihan "--network-bridge" atanapi "--network-zone"; 80-6rd-tunnel.network pikeun nangtukeun torowongan anu otomatis dijieun nalika narima respon DHCP kalawan pilihan 6RD.
  • Systemd-networkd sareng systemd-udevd parantos nambihan dukungan pikeun diteruskeun IP dina antarmuka InfiniBand, dimana bagian "[IPoIB]" parantos ditambah kana file systemd.netdev, sareng ngolah nilai "ipoib" parantos dilaksanakeun dina Jenis. setting.
  • systemd-networkd nyadiakeun konfigurasi rute otomatis pikeun alamat dieusian dina parameter AllowedIPs, nu bisa ngonpigurasi ngaliwatan RouteTable na RouteMetric parameter dina [WireGuard] jeung [WireGuardPeer] bagian.
  • systemd-networkd nyayogikeun generasi otomatis alamat MAC anu henteu robih pikeun antarmuka batadv sareng sasak. Pikeun nganonaktipkeun kabiasaan ieu, anjeun bisa nangtukeun MACAddress = euweuh dina file .netdev.
  • Setelan WakeOnLanPassword geus ditambahkeun kana file .link dina bagian "[Link]" pikeun nangtukeun sandi nalika WoL dijalankeun dina modeu "SecureOn".
  • Ditambahkeun AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Nyeuseuh, SplitGSO na UseRawPacketSize setélan kana "[Kue]" bagian tina file jaringan .network pikeun nangtukeun parameter tina CAKE (Aplikasi umum diteundeun manajemén antrian ditingkatkeun) jaringan. .
  • Ditambahkeun setelan IgnoreCarrierLoss kana "[Network]" bagian tina file .jaringan, ngamungkinkeun Anjeun pikeun nangtukeun sabaraha lila ngadagoan saméméh ngaréaksikeun leungitna sinyal pamawa.
  • Systemd-nspawn, homectl, machinectl sareng systemd-run parantos ngalegaan sintaksis parameter "--setenv" - upami ngan ukur nami variabel anu ditangtukeun (tanpa "="), nilaina bakal dicandak tina variabel lingkungan anu saluyu (pikeun Contona, nalika nangtukeun "--setenv=FOO" nilai bakal dicokot tina variabel lingkungan $ FOO sarta dipaké dina variabel lingkungan tina ngaran anu sarua diatur dina wadah).
  • systemd-nspawn parantos nambihan pilihan "--suppress-sync" pikeun nganonaktipkeun sync () / fsync () / fdatasync () panggero sistem nalika nyiptakeun wadahna (mangpaat nalika kacepetan mangrupikeun prioritas sareng ngajaga artefak ngawangun upami gagal henteu penting, sabab bisa dijieun deui iraha wae).
  • A database hwdb anyar geus ditambahkeun, nu ngawengku rupa-rupa analisa sinyal (multimeters, protokol analyzers, oscilloscopes, jsb). Inpormasi ngeunaan kaméra dina hwdb parantos dilegaan ku sawah kalayan inpormasi ngeunaan jinis kaméra (biasa atanapi infra red) sareng panempatan lensa (hareup atanapi pungkur).
  • Generasi anu diaktipkeun tina nami antarmuka jaringan anu henteu robih pikeun alat netfront anu dianggo dina Xen.
  • Analisis file inti ku utilitas systemd-coredump dumasar kana perpustakaan libdw/libelf ayeuna dilaksanakeun dina prosés anu misah, terasing dina lingkungan sandbox.
  • systemd-importd parantos nambihan dukungan pikeun variabel lingkungan $ SYSTEMD_IMPORT_BTRFS_SUBVOL, $ SYSTEMD_IMPORT_BTRFS_QUOTA, $ SYSTEMD_IMPORT_SYNC, dimana anjeun tiasa nganonaktipkeun generasi subpartisi Btrfs, ogé ngonpigurasikeun kuota sareng sinkronisasi disk.
  • Dina systemd-journald, dina sistem file anu ngadukung mode copy-on-write, mode COW diaktipkeun deui pikeun jurnal anu diarsipkeun, ngamungkinkeun aranjeunna dikomprés nganggo Btrfs.
  • systemd-journald ngalaksanakeun deduplikasi widang idéntik dina hiji pesen, anu dilaksanakeun di panggung sateuacan nempatkeun pesen dina jurnal.
  • Ditambahkeun "--show" pilihan pikeun shutdown paréntah pikeun mintonkeun shutdown dijadwalkeun.

sumber: opennet.ru

Tambahkeun komentar