ProHoster > Blog > warta internét > Systemd System Manager release 242

Systemd System Manager release 242

[: en]

Sanggeus dua bulan pangwangunan ditepikeun release manajer sistem sistemd 242. Diantara inovasi, urang tiasa catetan rojongan pikeun torowongan L2TP, kamampuhan pikeun ngadalikeun paripolah systemd-login on balikan deui ngaliwatan variabel lingkungan, rojongan pikeun nambahan partisi boot XBOOTLDR pikeun ningkatna / boot, kamampuhan pikeun boot jeung partisi root dina overlayfs, kitu ogé sajumlah badag setelan anyar pikeun tipena béda unit.

Parobahan utama:

  • systemd-networkd nyayogikeun dukungan pikeun torowongan L2TP;
  • sd-boot sareng bootctl nyayogikeun dukungan pikeun partisi XBOOTLDR (Extended Boot Loader) anu dirancang pikeun dipasang dina /boot, salian partisi ESP anu dipasang dina /efi atanapi /boot/efi. Kernels, setélan, initrd sareng gambar EFI ayeuna tiasa di-boot tina partisi ESP sareng XBOOTLDR. Parobihan ieu ngamungkinkeun anjeun ngagunakeun bootloader sd-boot dina skenario anu langkung konservatif, nalika bootloader sorangan aya dina ESP, sareng kernels anu dimuat sareng metadata anu aya hubunganana disimpen dina bagian anu misah;
  • Ditambahkeun kamampuhan pikeun boot jeung "systemd.volatile = overlay" pilihan dibikeun ka kernel, nu ngidinan Anjeun pikeun nempatkeun partisi root dina overlayfs tur ngatur karya dina luhureun hiji gambar baca-hijina tina diréktori root kalawan parobahan ditulis ka a diréktori misah di tmpfs (parobahan dina konfigurasi ieu leungit sanggeus balikan deui). Ku analogi, systemd-nspawn parantos nambihan pilihan "--volatile = overlay" pikeun ngagunakeun fungsionalitas anu sami dina wadah;
  • systemd-nspawn parantos nambihan pilihan "--oci-bundle" pikeun ngawenangkeun pamakean runtime bundles pikeun nyayogikeun peluncuran terasing wadah anu saluyu sareng spésifikasi Open Container Initiative (OCI). Pikeun dianggo dina garis paréntah sareng unit nspawn, dukungan pikeun sababaraha pilihan anu dijelaskeun dina spésifikasi OCI diusulkeun, contona, pilihan "--inaccessible" sareng "Inaccessible" tiasa dianggo pikeun ngaluarkeun bagian tina sistem file, sareng " --console" pilihan geus ditambahkeun pikeun ngonpigurasikeun aliran kaluaran baku sarta "-pipe";
  • Ditambahkeun kamampuhan pikeun ngadalikeun paripolah systemd-login ngaliwatan variabel lingkungan: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU jeung
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. Nganggo variabel ieu, anjeun tiasa nyambungkeun panangan prosés reboot anjeun nyalira (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu sareng
    /run/systemd/reboot-to-boot-loader-entry) atanapi mareuman aranjeunna sadayana (upami nilaina disetel ka palsu);

  • Ditambahkeun pilihan "-boot-load-menu =" jeung
    "—boot-loader-entry=", ngamungkinkeun anjeun milih item ménu boot husus atanapi mode boot saatos reboot;

  • Nambahkeun paréntah isolasi sandbox anyar "RestrictSUIDSGID =", anu ngagunakeun seccomp pikeun ngalarang nyiptakeun file nganggo bandéra SUID / SGID;
  • Mastikeun yén larangan "NoNewPrivileges" sareng "RestrictSUIDSGID" diterapkeun sacara standar dina jasa kalayan mode generasi ID pangguna dinamis ("DynamicUser" diaktipkeun);
  • Setelan MACAddressPolicy=persistent standar dina file .link geus dirobah pikeun nutupan leuwih alat. Antarbeungeut sasak jaringan, torowongan (tun, ketok) sareng tautan agrégat (beungkeut) henteu ngaidentipikasi diri iwal ku nami antarmuka jaringan, janten nami ieu ayeuna dianggo salaku dasar pikeun ngabeungkeut alamat MAC sareng IPv4. Sajaba ti éta, setelan "MACAddressPolicy = acak" geus ditambahkeun, nu bisa dipaké pikeun meungkeut MAC na IPv4 alamat ka alat dina urutan acak;
  • ". Alat" file Unit dihasilkeun via systemd-fstab-generator euweuh kaasup pakait ". Gunung" Unit sakumaha kagumantungan dina "Hayang =" bagian. Kantun nyolokkeun alat henteu deui otomatis ngaluncurkeun unit pikeun dipasang, tapi unit sapertos kitu masih tiasa diluncurkeun kusabab alesan anu sanés, sapertos salaku bagian tina local-fs.target atanapi salaku gumantungna kana unit sanés anu gumantung kana local-fs.target. ;
  • Ditambahkeun dukungan pikeun masker ("*", jsb.) kana paréntah "list/status/lldp networkctl" pikeun nyaring grup-grup anu tangtu tina interfaces jaringan ku bagian tina ngaran maranéhna;
  • Variabel lingkungan $PIDFILE ayeuna disetél nganggo jalur mutlak anu dikonpigurasi dina jasa liwat parameter "PIDFile =;".
  • Server Cloudflare publik (1.1.1.1) geus ditambahkeun kana jumlah server DNS cadangan dipaké lamun DNS utama teu didefinisikeun sacara eksplisit. Pikeun ngartikeun ulang daptar server DNS cadangan, anjeun tiasa nganggo pilihan "-Ddns-servers=";
  • Nalika ngadeteksi ayana USB Alat Controller, a usb-gadget.target Handler anyar otomatis dibuka (lamun sistem keur ngajalankeun dina alat periferal USB);
  • Pikeun file unit, setelan "CPUQuotaPeriodSec =" geus dilaksanakeun, nu nangtukeun periode waktu relatif ka nu kuota waktu CPU diukur, diatur ngaliwatan "CPUQuota =" setelan;
  • Pikeun file unit, setelan "ProtectHostname =" geus dilaksanakeun, nu prohibits jasa ngarobah informasi ngeunaan ngaran host, sanajan maranéhna boga idin luyu;
  • Pikeun file unit, setelan "NetworkNamespacePath =" geus dilaksanakeun, nu ngidinan Anjeun pikeun meungkeut ngaranspasi kana jasa atawa unit stop kontak ku nangtukeun jalur ka file ngaranspasi dina pseudo-FS / proc;
  • Ditambahkeun kamampuan pikeun nganonaktipkeun substitusi variabel lingkungan pikeun prosés anu diluncurkeun nganggo setélan "ExecStart =" ku cara nambihan karakter ":" sateuacan paréntah ngamimitian;
  • Pikeun timers (.unit timer) umbul anyar "OnClockChange =" jeung
    "OnTimezoneChange =", nu bisa ngadalikeun Unit panggero lamun sistem waktos atanapi zone waktos robah;

  • Ditambahkeun setélan anyar "ConditionMemory =" jeung "ConditionCPUs =", nu nangtukeun kaayaan keur nelepon hiji unit gumantung kana ukuran mémori jeung jumlah cores CPU (contona, layanan sumberdaya-intensif ngan bisa dijalankeun lamun jumlah diperlukeun RAM sayogi);
  • Ditambahkeun unit time-set.target anyar anu nampi waktos sistem anu diatur sacara lokal, tanpa nganggo rekonsiliasi sareng server waktos éksternal nganggo unit time-sync.target. Unit anyar bisa dipaké ku jasa nu peryogi katepatan jam lokal unsynchronized;
  • Pilihan "--show-transaction" geus ditambahkeun kana "systemctl start" jeung paréntah sarupa, lamun dieusian, kasimpulan sadaya jobs ditambahkeun kana antrian alatan operasi dipénta dipintonkeun;
  • systemd-networkd nerapkeun definisi kaayaan 'enslaved' anyar, dipaké gaganti 'degradasi' atawa 'carrier' pikeun interfaces jaringan anu mangrupa bagian tina tumbu agrégat atawa sasak jaringan. Pikeun panganteur primér, bisi aya masalah sareng salah sahiji tumbu komposit, kaayaan 'degraded-carrier' geus ditambahkeun;
  • Ditambahkeun "IgnoreCarrierLoss =" pilihan pikeun .unit jaringan pikeun nyimpen setelan jaringan bisi leungitna sambungan;
  • Ngaliwatan "RequiredForOnline =" setelan dina unit .network, Anjeun ayeuna bisa nyetél kaayaan link ditarima minimum diperlukeun pikeun mindahkeun panganteur jaringan ka "online" sarta memicu pawang systemd-networkd-antos-online;
  • Nambahkeun pilihan "--any" ka systemd-networkd-wait-online pikeun ngadagoan kesiapan salah sahiji interfaces jaringan anu ditangtukeun tinimbang sadayana, kitu ogé pilihan "--operational-state =" pikeun nangtukeun kaayaan link nunjukkeun kesiapan;
  • Ditambahkeun setelan "UseAutonomousPrefix =" jeung "UseOnLinkPrefix =" kana unit .network, nu bisa dipaké pikeun malire awalan nalika narima.
    pengumuman tina router IPv6 (RA, Iklan Router);

  • Dina unit .network, setelan "MulticastFlood="", "NeighborSuppression =" jeung "Learning =" geus ditambahkeun pikeun ngarobah parameter operasi sasak jaringan, kitu ogé "TripleSampling =" setelan pikeun ngarobah mode TRIPLE-SAMPLING. tina CAN interfaces virtual;
  • "PrivateKeyFile =" jeung "PresharedKeyFile =" setelan geus ditambahkeun kana unit .netdev, kalawan nu bisa nangtukeun swasta jeung dibagikeun (PSK) kenop pikeun panganteur WireGuard VPN;
  • Ditambahkeun sami-cpu-crypt sareng ngalebetkeun-ti-crypt-cpus pilihan ka /etc/crypttab, anu ngatur paripolah scheduler nalika migrasi karya anu aya hubunganana sareng enkripsi antara inti CPU;
  • systemd-tmpfiles nyayogikeun pamrosésan file konci sateuacan ngalaksanakeun operasi dina diréktori sareng file samentawis, anu ngamungkinkeun anjeun nganonaktipkeun padamelan ngabersihkeun file anu luntur salami tindakan anu tangtu (contona, nalika ngabongkar arsip tar dina /tmp, file anu lami pisan tiasa. dibuka nu teu bisa dihapus saméméh ahir aksi sareng maranehna);
  • Paréntah "systemd-analyze cat-config" nyadiakeun kamampuhan pikeun nganalisis konfigurasi dibagi kana sababaraha file, Contona, pamaké sarta sistem prasetél, eusi tmpfiles.d na sysusers.d, aturan udev, jsb.
  • Ditambahkeun "--cursor-file =" pilihan pikeun "journalctl" pikeun nangtukeun file pikeun ngamuat sareng nyimpen kursor posisi;
  • Ditambahkeun definisi hypervisor ACRN sareng subsistem WSL (Windows Subsystem for Linux) pikeun systemd-detect-virt pikeun cabang salajengna nganggo operator kondisional "ConditionVirtualization";
  • Salila pamasangan systemd (nalika ngalaksanakeun "ninja install"), nyiptakeun tautan simbolis kana file systemd-networkd.service, systemd-networkd.socket,
    systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
    systemd-networkd-wait-online.service sareng systemd-timesyncd.service. Pikeun nyiptakeun file ieu, anjeun ayeuna kedah ngajalankeun paréntah "systemctl preset-all".

sumberopennet.ru

[: en]

Sanggeus dua bulan pangwangunan ditepikeun release manajer sistem sistemd 242. Diantara inovasi, urang tiasa catetan rojongan pikeun torowongan L2TP, kamampuhan pikeun ngadalikeun paripolah systemd-login on balikan deui ngaliwatan variabel lingkungan, rojongan pikeun nambahan partisi boot XBOOTLDR pikeun ningkatna / boot, kamampuhan pikeun boot jeung partisi root dina overlayfs, kitu ogé sajumlah badag setelan anyar pikeun tipena béda unit.

Parobahan utama:

  • systemd-networkd nyayogikeun dukungan pikeun torowongan L2TP;
  • sd-boot sareng bootctl nyayogikeun dukungan pikeun partisi XBOOTLDR (Extended Boot Loader) anu dirancang pikeun dipasang dina /boot, salian partisi ESP anu dipasang dina /efi atanapi /boot/efi. Kernels, setélan, initrd sareng gambar EFI ayeuna tiasa di-boot tina partisi ESP sareng XBOOTLDR. Parobihan ieu ngamungkinkeun anjeun ngagunakeun bootloader sd-boot dina skenario anu langkung konservatif, nalika bootloader sorangan aya dina ESP, sareng kernels anu dimuat sareng metadata anu aya hubunganana disimpen dina bagian anu misah;
  • Ditambahkeun kamampuhan pikeun boot jeung "systemd.volatile = overlay" pilihan dibikeun ka kernel, nu ngidinan Anjeun pikeun nempatkeun partisi root dina overlayfs tur ngatur karya dina luhureun hiji gambar baca-hijina tina diréktori root kalawan parobahan ditulis ka a diréktori misah di tmpfs (parobahan dina konfigurasi ieu leungit sanggeus balikan deui). Ku analogi, systemd-nspawn parantos nambihan pilihan "--volatile = overlay" pikeun ngagunakeun fungsionalitas anu sami dina wadah;
  • systemd-nspawn parantos nambihan pilihan "--oci-bundle" pikeun ngawenangkeun pamakean runtime bundles pikeun nyayogikeun peluncuran terasing wadah anu saluyu sareng spésifikasi Open Container Initiative (OCI). Pikeun dianggo dina garis paréntah sareng unit nspawn, dukungan pikeun sababaraha pilihan anu dijelaskeun dina spésifikasi OCI diusulkeun, contona, pilihan "--inaccessible" sareng "Inaccessible" tiasa dianggo pikeun ngaluarkeun bagian tina sistem file, sareng " --console" pilihan geus ditambahkeun pikeun ngonpigurasikeun aliran kaluaran baku sarta "-pipe";
  • Ditambahkeun kamampuhan pikeun ngadalikeun paripolah systemd-login ngaliwatan variabel lingkungan: $SYSTEMD_REBOOT_ TO_FIRMWARE_SETUP,
    $SYSTEMD_REBOOT_TO_BOOT_LOADER_MENU jeung
    $SYSTEMD_REBOOT_ TO_BOOT_LOADER_ENTRY. Nganggo variabel ieu, anjeun tiasa nyambungkeun panangan prosés reboot anjeun nyalira (/run/systemd/reboot-to-firmware-setup, /run/systemd/reboot-to-boot-loader-menu sareng
    /run/systemd/reboot-to-boot-loader-entry) atanapi mareuman aranjeunna sadayana (upami nilaina disetel ka palsu);

  • Ditambahkeun pilihan "-boot-load-menu =" jeung
    "—boot-loader-entry=", ngamungkinkeun anjeun milih item ménu boot husus atanapi mode boot saatos reboot;

  • Nambahkeun paréntah isolasi sandbox anyar "RestrictSUIDSGID =", anu ngagunakeun seccomp pikeun ngalarang nyiptakeun file nganggo bandéra SUID / SGID;
  • Mastikeun yén larangan "NoNewPrivileges" sareng "RestrictSUIDSGID" diterapkeun sacara standar dina jasa kalayan mode generasi ID pangguna dinamis ("DynamicUser" diaktipkeun);
  • Setelan MACAddressPolicy=persistent standar dina file .link geus dirobah pikeun nutupan leuwih alat. Antarbeungeut sasak jaringan, torowongan (tun, ketok) sareng tautan agrégat (beungkeut) henteu ngaidentipikasi diri iwal ku nami antarmuka jaringan, janten nami ieu ayeuna dianggo salaku dasar pikeun ngabeungkeut alamat MAC sareng IPv4. Sajaba ti éta, setelan "MACAddressPolicy = acak" geus ditambahkeun, nu bisa dipaké pikeun meungkeut MAC na IPv4 alamat ka alat dina urutan acak;
  • ". Alat" file Unit dihasilkeun via systemd-fstab-generator euweuh kaasup pakait ". Gunung" Unit sakumaha kagumantungan dina "Hayang =" bagian. Kantun nyolokkeun alat henteu deui otomatis ngaluncurkeun unit pikeun dipasang, tapi unit sapertos kitu masih tiasa diluncurkeun kusabab alesan anu sanés, sapertos salaku bagian tina local-fs.target atanapi salaku gumantungna kana unit sanés anu gumantung kana local-fs.target. ;
  • Ditambahkeun dukungan pikeun masker ("*", jsb.) kana paréntah "list/status/lldp networkctl" pikeun nyaring grup-grup anu tangtu tina interfaces jaringan ku bagian tina ngaran maranéhna;
  • Variabel lingkungan $PIDFILE ayeuna disetél nganggo jalur mutlak anu dikonpigurasi dina jasa liwat parameter "PIDFile =;".
  • Server Cloudflare publik (1.1.1.1) geus ditambahkeun kana jumlah server DNS cadangan dipaké lamun DNS utama teu didefinisikeun sacara eksplisit. Pikeun ngartikeun ulang daptar server DNS cadangan, anjeun tiasa nganggo pilihan "-Ddns-servers=";
  • Nalika ngadeteksi ayana USB Alat Controller, a usb-gadget.target Handler anyar otomatis dibuka (lamun sistem keur ngajalankeun dina alat periferal USB);
  • Pikeun file unit, setelan "CPUQuotaPeriodSec =" geus dilaksanakeun, nu nangtukeun periode waktu relatif ka nu kuota waktu CPU diukur, diatur ngaliwatan "CPUQuota =" setelan;
  • Pikeun file unit, setelan "ProtectHostname =" geus dilaksanakeun, nu prohibits jasa ngarobah informasi ngeunaan ngaran host, sanajan maranéhna boga idin luyu;
  • Pikeun file unit, setelan "NetworkNamespacePath =" geus dilaksanakeun, nu ngidinan Anjeun pikeun meungkeut ngaranspasi kana jasa atawa unit stop kontak ku nangtukeun jalur ka file ngaranspasi dina pseudo-FS / proc;
  • Ditambahkeun kamampuan pikeun nganonaktipkeun substitusi variabel lingkungan pikeun prosés anu diluncurkeun nganggo setélan "ExecStart =" ku cara nambihan karakter ":" sateuacan paréntah ngamimitian;
  • Pikeun timers (.unit timer) umbul anyar "OnClockChange =" jeung
    "OnTimezoneChange =", nu bisa ngadalikeun Unit panggero lamun sistem waktos atanapi zone waktos robah;

  • Ditambahkeun setélan anyar "ConditionMemory =" jeung "ConditionCPUs =", nu nangtukeun kaayaan keur nelepon hiji unit gumantung kana ukuran mémori jeung jumlah cores CPU (contona, layanan sumberdaya-intensif ngan bisa dijalankeun lamun jumlah diperlukeun RAM sayogi);
  • Ditambahkeun unit time-set.target anyar anu nampi waktos sistem anu diatur sacara lokal, tanpa nganggo rekonsiliasi sareng server waktos éksternal nganggo unit time-sync.target. Unit anyar bisa dipaké ku jasa nu peryogi katepatan jam lokal unsynchronized;
  • Pilihan "--show-transaction" geus ditambahkeun kana "systemctl start" jeung paréntah sarupa, lamun dieusian, kasimpulan sadaya jobs ditambahkeun kana antrian alatan operasi dipénta dipintonkeun;
  • systemd-networkd nerapkeun definisi kaayaan 'enslaved' anyar, dipaké gaganti 'degradasi' atawa 'carrier' pikeun interfaces jaringan anu mangrupa bagian tina tumbu agrégat atawa sasak jaringan. Pikeun panganteur primér, bisi aya masalah sareng salah sahiji tumbu komposit, kaayaan 'degraded-carrier' geus ditambahkeun;
  • Ditambahkeun "IgnoreCarrierLoss =" pilihan pikeun .unit jaringan pikeun nyimpen setelan jaringan bisi leungitna sambungan;
  • Ngaliwatan "RequiredForOnline =" setelan dina unit .network, Anjeun ayeuna bisa nyetél kaayaan link ditarima minimum diperlukeun pikeun mindahkeun panganteur jaringan ka "online" sarta memicu pawang systemd-networkd-antos-online;
  • Nambahkeun pilihan "--any" ka systemd-networkd-wait-online pikeun ngadagoan kesiapan salah sahiji interfaces jaringan anu ditangtukeun tinimbang sadayana, kitu ogé pilihan "--operational-state =" pikeun nangtukeun kaayaan link nunjukkeun kesiapan;
  • Ditambahkeun setelan "UseAutonomousPrefix =" jeung "UseOnLinkPrefix =" kana unit .network, nu bisa dipaké pikeun malire awalan nalika narima.
    pengumuman tina router IPv6 (RA, Iklan Router);

  • Dina unit .network, setelan "MulticastFlood="", "NeighborSuppression =" jeung "Learning =" geus ditambahkeun pikeun ngarobah parameter operasi sasak jaringan, kitu ogé "TripleSampling =" setelan pikeun ngarobah mode TRIPLE-SAMPLING. tina CAN interfaces virtual;
  • "PrivateKeyFile =" jeung "PresharedKeyFile =" setelan geus ditambahkeun kana unit .netdev, kalawan nu bisa nangtukeun swasta jeung dibagikeun (PSK) kenop pikeun panganteur WireGuard VPN;
  • Ditambahkeun sami-cpu-crypt sareng ngalebetkeun-ti-crypt-cpus pilihan ka /etc/crypttab, anu ngatur paripolah scheduler nalika migrasi karya anu aya hubunganana sareng enkripsi antara inti CPU;
  • systemd-tmpfiles nyayogikeun pamrosésan file konci sateuacan ngalaksanakeun operasi dina diréktori sareng file samentawis, anu ngamungkinkeun anjeun nganonaktipkeun padamelan ngabersihkeun file anu luntur salami tindakan anu tangtu (contona, nalika ngabongkar arsip tar dina /tmp, file anu lami pisan tiasa. dibuka nu teu bisa dihapus saméméh ahir aksi sareng maranehna);
  • Paréntah "systemd-analyze cat-config" nyadiakeun kamampuhan pikeun nganalisis konfigurasi dibagi kana sababaraha file, Contona, pamaké sarta sistem prasetél, eusi tmpfiles.d na sysusers.d, aturan udev, jsb.
  • Ditambahkeun "--cursor-file =" pilihan pikeun "journalctl" pikeun nangtukeun file pikeun ngamuat sareng nyimpen kursor posisi;
  • Ditambahkeun definisi hypervisor ACRN sareng subsistem WSL (Windows Subsystem for Linux) pikeun systemd-detect-virt pikeun cabang salajengna nganggo operator kondisional "ConditionVirtualization";
  • Salila pamasangan systemd (nalika ngalaksanakeun "ninja install"), nyiptakeun tautan simbolis kana file systemd-networkd.service, systemd-networkd.socket,
    systemd-resolved.service, remote-cryptsetup.target, remote-fs.target,
    systemd-networkd-wait-online.service sareng systemd-timesyncd.service. Pikeun nyiptakeun file ieu, anjeun ayeuna kedah ngajalankeun paréntah "systemctl preset-all".

sumber: opennet.ru

[]

Tambahkeun komentar