ProHoster > Blog > warta internét > Systemd System Manager release 243

Systemd System Manager release 243

Sanggeus lima bulan pangwangunan ditepikeun release manajer sistem sistemd 243. Diantara inovasi, urang tiasa nyatet integrasi kana PID 1 tina panangan pikeun mémori anu rendah dina sistem, dukungan pikeun ngalampirkeun program BPF anjeun nyalira pikeun nyaring lalu lintas unit, seueur pilihan énggal pikeun systemd-networkd, mode pikeun ngawas bandwidth jaringan. interfaces, sangkan sacara standar dina sistem 64-bit 22-bit angka PID tinimbang 16-bit, transisi ka hirarki cgroups ngahiji, kaasup dina systemd-jaringan-generator.

Parobahan utama:

  • Pangakuan sinyal-sinyal kernel-dihasilkeun ngeunaan kaluar memori (Out-Of-Memory, OOM) geus ditambahkeun kana PID 1 handler pikeun mindahkeun unit nu geus ngahontal wates konsumsi memori kana kaayaan husus kalawan kamampuhan pilihan pikeun maksa aranjeunna pikeun nungtungan. atawa eureun;
  • Pikeun file Unit, parameter anyar IPingressFilterPath na
    IPEgressFilterPath, nu ngidinan Anjeun pikeun nyambungkeun program BPF kalawan pawang sawenang pikeun nyaring pakét IP asup jeung kaluar dihasilkeun ku prosés pakait sareng Unit ieu. Fitur anu diusulkeun ngamungkinkeun anjeun nyiptakeun jinis firewall pikeun jasa systemd. Conto tulisan saringan jaringan basajan dumasar kana BPF;

  • Paréntah "bersih" parantos ditambahkeun kana utilitas systemctl pikeun ngahapus cache, file runtime, inpormasi status sareng diréktori log;
  • systemd-networkd nambihan dukungan pikeun antarmuka jaringan MACsec, nlmon, IPVTAP sareng Xfrm;
  • systemd-networkd implements konfigurasi misah tina DHCPv4 na DHCPv6 tumpukan ngaliwatan "[DHCPv4]" jeung "[DHCPv6]" bagian dina file konfigurasi. Ditambahkeun pilihan RoutesToDNS pikeun nambahkeun hiji jalur misah ka server DNS dieusian dina parameter nampi ti server DHCP (supaya lalulintas keur DNS anu dikirim ngaliwatan link sarua salaku jalur utama narima ti DHCP). Pilihan anyar geus ditambahkeun pikeun DHCPv4: MaxAttempts - jumlah maksimum requests pikeun ménta alamat, BlackList - daptar hideung tina server DHCP, SendRelease - sangkan ngirim pesen DHCP RELEASE nalika sési ends;
  • Paréntah anyar parantos ditambahkeun kana utilitas systemd-analyze:
    • "systemd-analyze timestamp" - parsing waktos sareng konvérsi;
    • "Systemd-analyze timespan" - analisa sareng konversi période waktos;
    • "systemd-analyse condition" - parsing sareng nguji ekspresi ConditionXYZ;
    • "systemd-analyze exit-status" - parsing sareng ngarobah kodeu kaluar tina nomer kana nami sareng sabalikna;
    • "systemd-analyze unit-files" - Daptar sadaya jalur file pikeun unit sareng landian unit.
  • Pilihan SuccessExitStatus, RestartPreventExitStatus jeung
    RestartForceExitStatus ayeuna ngarojong henteu ngan kodeu balik numerik, tapi ogé identifiers téks maranéhanana (contona, "DATAERR"). Anjeun tiasa ningali daptar Konci ditugaskeun ka identifiers ngagunakeun "sytemd-analisa kaluar-status" paréntah;

  • Paréntah "hapus" geus ditambahkeun kana utilitas networkctl pikeun mupus alat jaringan virtual, kitu ogé pilihan "-stats" pikeun nembongkeun statistik alat;
  • Setelan SpeedMeter jeung SpeedMeterIntervalSec geus ditambahkeun kana networkd.conf pikeun périodik ngukur throughput tina interfaces jaringan. Statistik anu dicandak tina hasil pangukuran tiasa ditingali dina kaluaran paréntah 'networkctl status';
  • Ditambahkeun utilitas systemd-network-generator anyar pikeun ngahasilkeun file
    .network, .netdev jeung .link dumasar kana setélan IP diliwatan nalika dibuka via garis paréntah kernel Linux Ubuntu dina format setelan Dracut;

  • Nilai sysctl "kernel.pid_max" dina sistem 64-bit ayeuna disetel sacara standar ka 4194304 (22-bit PID tinimbang 16-bit), anu ngirangan kamungkinan tabrakan nalika masihan PID, ningkatkeun wates jumlah sakaligus. prosés ngajalankeun, sarta boga dampak positif kana kaamanan. Parobihan éta berpotensi nyababkeun masalah kasaluyuan, tapi masalah sapertos kitu henteu acan dilaporkeun dina praktékna;
  • Sacara standar, tahap ngawangun pindah ka hirarki ngahijikeun cgroups-v2 ("-Ddefault-hierarchy=unified"). Saméméhna, standar éta mode hibrid ("-Ddefault-hierarki = hibrid");
  • Paripolah saringan panggero sistem (SystemCallFilter) parantos dirobih, anu, dina kasus panggero sistem anu dilarang, ayeuna ngeureunkeun sadayana prosés, tinimbang benang individu, sabab ngeureunkeun benang individu tiasa nyababkeun masalah anu teu bisa diprediksi. Parobihan ngan ukur berlaku upami anjeun gaduh kernel Linux 4.14+ sareng libseccomp 2.4.0+;
  • program unprivileged dibéré kamampuhan pikeun ngirim ICMP Echo (ping) pakét ku netepkeun sysctl "net.ipv4.ping_group_range" pikeun sakabéh rentang grup (pikeun sakabéh prosés);
  • Pikeun nyepetkeun prosés ngawangun, generasi manual lalaki geus dieureunkeun sacara standar (pikeun ngawangun dokuméntasi pinuh, anjeun kudu make pilihan "-Dman = leres" atawa "-Dhtml = leres" pikeun manual dina format html). Pikeun ngagampangkeun ningali dokuméntasi, dua naskah kalebet: build/man/man sareng build/man/html pikeun ngahasilkeun sareng nilik manual anu dipikaresep;
  • Pikeun ngolah ngaran domain sareng karakter tina alfabét nasional, perpustakaan libidn2 dianggo sacara standar (pikeun mulangkeun libidn, nganggo pilihan "-Dlibidn = leres");
  • Rojongan pikeun file eksekusi /usr/sbin/halt.local, anu nyayogikeun fungsionalitas anu henteu disebarkeun sacara lega dina distribusi, parantos dileungitkeun. Pikeun ngatur peluncuran paréntah nalika mareuman, disarankeun pikeun nganggo skrip dina /usr/lib/systemd/system-shutdown/ atanapi netepkeun unit énggal anu gumantung kana final.target;
  • Dina tahap ahir shutdown, systemd ayeuna otomatis ningkatkeun tingkat log dina sysctl "kernel.printk", nu solves masalah kalayan mintonkeun dina acara log anu lumangsung dina tahap saterusna shutdown, nalika daemons logging biasa geus réngsé. ;
  • Dina journalctl sareng utilitas sanés anu nampilkeun log, peringatan disorot warna konéng, sareng rékaman Inok disorot biru pikeun nyorot sacara visual tina balaréa;
  • Dina variabel lingkungan $PATH, jalur ka bin/ ayeuna sateuacan jalur ka sbin/, i.e. lamun aya ngaran idéntik file laksana dina duanana directories, file ti bin/ bakal dieksekusi;
  • systemd-logind nyadiakeun SetBrightness () panggero pikeun aman ngarobah kacaangan layar dina dasar per-sesi;
  • The "--wait-for-initialization" bandéra geus ditambahkeun kana paréntah "udevadm info" ngadagoan alat pikeun initialize;
  • Dina mangsa sistem boot, pawang PID 1 ayeuna mintonkeun ngaran unit tinimbang garis kalawan pedaran maranéhanana. Pikeun balik deui ka kabiasaan baheula, anjeun tiasa nganggo pilihan StatusUnitFormat dina /etc/systemd/system.conf atanapi pilihan kernel systemd.status_unit_format;
  • Ditambahkeun pilihan KExecWatchdogSec kana /etc/systemd/system.conf pikeun watchdog PID 1, nu nangtukeun seep waktu pikeun balikan deui maké kexec. setting heubeul
    ShutdownWatchdogSec geus diganti ngaranna jadi RebootWatchdogSec sarta nangtukeun waktu béak pikeun jobs salila shutdown atawa balikan deui normal;

  • Hiji pilihan anyar geus ditambahkeun pikeun layanan Kaayaan Eksekusi, nu ngidinan Anjeun pikeun nangtukeun paréntah nu bakal dieksekusi saméméh ExecStartPre. Dumasar kodeu kasalahan anu dipulangkeun ku paréntah, kaputusan dilakukeun pikeun palaksanaan unit salajengna - upami kode 0 dipulangkeun, peluncuran unit diteruskeun, upami ti 1 dugi ka 254 éta cicingeun ditungtungan tanpa bandéra gagal, upami 255 ditungtungan ku bandéra gagal;
  • Nambahkeun layanan anyar systemd-pstore.service pikeun nimba data tina sys/fs/pstore/ sarta ti nyimpen kana /var/lib/pstore pikeun analisis salajengna;
  • Paréntah anyar geus ditambahkeun kana utilitas timedatectl pikeun ngonpigurasikeun parameter NTP pikeun systemd-timesyncd dina hubungan interfaces jaringan;
  • Paréntah "localectl list-locales" henteu deui ningalikeun lokal sanés ti UTF-8;
  • Mastikeun yén kasalahan ngerjakeun variabel dina file sysctl.d/ teu dipaliré lamun nami variabel dimimitian ku karakter "-";
  • palayanan systemd-random-seed.service ayeuna sapinuhna tanggung jawab pikeun ngamimitian kolam renang éntropi generator nomer pseudorandom kernel Linux. Ladenan anu merlukeun hiji initialized leres / dev / urandom kudu dimimitian sanggeus systemd-random-seed.service;
  • Systemd-boot boot loader nyayogikeun kamampuan opsional pikeun ngadukung file siki kalawan runtuyan acak dina EFI System Partition (ESP);
  • Paréntah anyar parantos ditambahkeun kana utilitas bootctl: "bootctl random-seed" pikeun ngahasilkeun file siki dina ESP sareng "bootctl is-installed" pikeun mariksa pamasangan systemd-boot boot loader. bootctl ogé geus disaluyukeun pikeun mintonkeun warnings ngeunaan konfigurasi lepat tina entri boot (contona, lamun gambar kernel dihapus, tapi entri pikeun loading ditinggalkeun);
  • Nyadiakeun pilihan otomatis tina partisi swap nalika sistem asup kana mode sare. Partisi dipilih gumantung kana prioritas anu dikonpigurasikeun pikeun éta, sareng dina kasus prioritas anu sami, jumlah rohangan bébas;
  • Nambahkeun pilihan keyfile-timeout ka /etc/crypttab pikeun ngeset sabaraha lila alat jeung konci enkripsi bakal antosan saméméh nyorong kecap akses pikeun ngakses partisi énkripsi;
  • Ditambahkeun pilihan IOWeight pikeun nyetél beurat I / O pikeun scheduler BFQ;
  • systemd-direngsekeun ditambahkeun mode 'ketat' pikeun DNS-over-TLS sarta dilaksanakeun kamampuhan pikeun cache ukur réspon DNS positif ( "Cache no-négatip" dina resolved.conf);
  • Pikeun VXLAN, systemd-networkd parantos nambihan pilihan GenericProtocolExtension pikeun ngaktipkeun ekstensi protokol VXLAN. Pikeun VXLAN jeung GENEVE, pilihan IPDoNotFragment geus ditambahkeun pikeun nyetel bendera larangan fragméntasi pikeun pakét kaluar;
  • Dina systemd-networkd, dina bagian "[Route]", pilihan FastOpenNoCookie parantos muncul pikeun ngaktipkeun mékanisme pikeun muka sambungan TCP gancang (TFO - TCP Fast Open, RFC 7413) dina hubungan rute individu, kitu ogé pilihan TTLPropagate. pikeun ngonpigurasikeun TTL LSP (Label Switched Path). Pilihan "Jenis" nyadiakeun rojongan pikeun lokal, siaran, anycast, multicast, sagala na xresolve mode routing;
  • Systemd-networkd nawarkeun pilihan DefaultRouteOnDevice dina bagian "[Network]" pikeun otomatis ngonpigurasikeun jalur standar pikeun alat jaringan dibikeun;
  • Systemd-networkd geus ditambahkeun ProxyARP na
    ProxyARPWifi pikeun netepkeun paripolah ARP proxy, MulticastRouter pikeun netepkeun parameter routing dina modeu multicast, MulticastIGMPVersion pikeun ngarobah versi IGMP (Internet Group Management Protocol) pikeun multicast;

  • Systemd-networkd parantos nambihan pilihan Lokal, Peer sareng PeerPort pikeun torowongan FooOverUDP pikeun ngonpigurasikeun alamat IP lokal sareng jauh, ogé nomer port jaringan. Pikeun torowongan TUN, pilihan VnetHeader geus ditambahkeun pikeun ngonpigurasikeun GSO (Generic Segment Offload) rojongan;
  • Dina systemd-networkd, dina file .network jeung .link dina bagian [cocok], pilihan Harta geus mucunghul, nu ngidinan Anjeun pikeun ngaidentipikasi alat ku sipat husus maranéhanana di udev;
  • Dina systemd-networkd, pilihan AssignToLoopback geus ditambahkeun pikeun torowongan, nu ngatur naha tungtung torowongan ditugaskeun ka alat loopback "lo";
  • systemd-networkd otomatis ngaktifkeun tumpukan IPv6 upami diblokir via sysctl disable_ipv6 - IPv6 diaktipkeun upami setélan IPv6 (statik atanapi DHCPv6) ditetepkeun pikeun antarmuka jaringan, upami henteu, nilai sysctl anu tos disetel henteu robih;
  • Dina file .network, setelan CriticalConnection geus diganti ku pilihan KeepConfiguration, nu nyadiakeun leuwih sarana pikeun nangtukeun kaayaan ("enya", "statik", "dhcp-on-stop", "dhcp") nu systemd-networkd kedah teu noél sambungan aya nalika ngamimitian;
  • Kerentanan dibereskeun CVE-2019-15718, disababkeun ku kurangna kontrol aksés ka D-Bus panganteur systemd-direngsekeun. Masalah ieu ngamungkinkeun pamaké unprivileged pikeun ngalakukeun operasi anu ngan sadia pikeun pangurus, kayaning ngarobah setelan DNS jeung ngarahkeun queries DNS ka server rogue;
  • Kerentanan dibereskeun CVE-2019-9619patali jeung teu ngaktipkeun pam_systemd pikeun sesi non-interaktif, anu ngamungkinkeun spoofing tina sési aktip.

sumber: opennet.ru

Tambahkeun komentar