ProHoster > Blog > warta internét > Systemd System Manager release 248

Systemd System Manager release 248

Saatos opat bulan pangwangunan, sékrési manajer sistem systemd 248. Pelepasan énggal nyayogikeun dukungan pikeun gambar pikeun diréktori sistem ngembang, file konfigurasi /etc/veritytab, utiliti systemd-cryptenroll, muka konci LUKS2 nganggo chip TPM2 sareng FIDO2. tokens, ngajalankeun unit dina spasi identifier IPC terasing, protokol BATMAN pikeun jaringan bolong, nftables backend pikeun systemd-nspawn. Systemd-oomd geus stabilized.

Parobahan utama:

  • Konsép gambar System Extension geus dilaksanakeun, nu bisa dipaké pikeun manjangkeun hirarki tina /usr/ jeung /opt/ directories, sarta nambahkeun file tambahan dina runtime, sanajan directories dieusian dipasang read-only. Nalika gambar ekstensi sistem dipasang, eusina ditindih dina /usr/ sareng /opt/ hirarki nganggo OverlayFS.

    A utilitas anyar, systemd-sysext, geus diusulkeun pikeun nyambungkeun, megatkeun, nempo tur ngamutahirkeun gambar tina ekstensi sistem. Pikeun otomatis nyambungkeun gambar anu parantos dipasang nalika boot, jasa systemd-sysext.service parantos ditambahkeun. Ditambahkeun parameter "SYSEXT_LEVEL=" kana file os-release pikeun nangtukeun tingkat ekstensi sistem anu dirojong.

  • Pikeun unit, setelan ExtensionImages parantos dilaksanakeun, anu tiasa dianggo pikeun ngaitkeun gambar ekstensi sistem kana hirarki namespace FS tina jasa terasing individu.
  • Ditambahkeun file konfigurasi /etc/veritytab pikeun ngonpigurasikeun verifikasi data dina tingkat blok nganggo modul dm-verity. Format filena sami sareng /etc/crypttab - "section_name device_for_data device_for_hashes check_hash_root options." Ditambahkeun systemd.verity.root_options pilihan garis paréntah kernel pikeun ngonpigurasikeun kabiasaan dm-verity pikeun alat root.
  • systemd-cryptsetup nambahkeun kamampuhan pikeun nimba PKCS # 11 token URI jeung konci énkripsi tina lulugu metadata LUKS2 dina format JSON, sahingga informasi ngeunaan muka hiji alat énkripsi bisa terpadu kana alat sorangan tanpa ngalibetkeun file éksternal.
  • systemd-cryptsetup nyayogikeun pangrojong pikeun muka konci partisi énkripsi LUKS2 nganggo chip TPM2 sareng token FIDO2, salian token PKCS # 11 anu dirojong sateuacana. Loading libfido2 dipigawé via dlopen (), i.e. kasadiaan dipariksa on laleur, tinimbang salaku kagumantungan hard-kabel.
  • Pilihan anyar "no-write-workqueue" jeung "no-read-workqueue" geus ditambahkeun kana / jsb / crypttab pikeun systemd-cryptsetup pikeun ngaktipkeun processing sinkron I / O pakait sareng enkripsi sarta dekripsi.
  • Utilitas systemd-repart parantos nambihan kamampuan pikeun ngaktipkeun partisi énkripsi nganggo chip TPM2, contona, pikeun nyiptakeun partisi énkripsi / var dina boot munggaran.
  • Utiliti systemd-cryptenroll geus ditambahkeun pikeun meungkeut TPM2, FIDO2 na PKCS # 11 tokens kana partisi LUKS, kitu ogé unpin tur nempo tokens, mengikat konci cadang tur nyetel sandi pikeun aksés.
  • Ditambahkeun parameter PrivateIPC, nu ngidinan Anjeun pikeun ngonpigurasikeun file Unit pikeun ngajalankeun prosés dina spasi IPC terasing kalawan identifiers misah sorangan jeung antrian pesen. Pikeun nyambungkeun hiji unit ka spasi identifier IPC geus dijieun, pilihan IPCNamespacePath diusulkeun.
  • Ditambahkeun setélan ExecPaths sareng NoExecPaths pikeun ngamungkinkeun bandéra noexec diterapkeun kana bagian-bagian khusus tina sistem file.
  • systemd-networkd nambihan dukungan pikeun protokol bolong BATMAN (Pendekatan Langkung Saé Pikeun Jaringan Adhoc Mobile), anu ngamungkinkeun nyiptakeun jaringan desentralisasi dimana unggal titik disambungkeun ngaliwatan titik tatangga. Pikeun konfigurasi, bagian [BatmanAdvanced] di .netdev, parameter BatmanAdvanced dina file .network, sarta tipe alat anyar "batadv" diajukeun.
  • Palaksanaan mékanisme respon awal pikeun memori low dina sistem systemd-oomd geus stabilized. Ditambahkeun pilihan DefaultMemoryPressureDurationSec pikeun ngonpigurasikeun waktos ngantosan sumber daya dileupaskeun sateuacan mangaruhan unit. Systemd-oomd ngagunakeun subsistem kernel PSI (Pressure Stall Information) sareng ngamungkinkeun anjeun pikeun ngadeteksi awal telat kusabab kurangna sumber daya sareng sacara selektif ngeureunkeun prosés intensif sumberdaya dina tahap nalika sistem henteu acan aya dina kaayaan kritis sareng henteu. mimitian sacara intensif motong cache sareng mindahkeun data kana partisi swap.
  • Ditambahkeun parameter garis paréntah kernel "root = tmpfs", anu ngamungkinkeun anjeun masang partisi akar dina panyimpenan samentawis anu aya dina RAM nganggo Tmpfs.
  • Parameter /etc/crypttab anu netepkeun file konci ayeuna tiasa nunjuk kana jinis stop kontak AF_UNIX sareng SOCK_STREAM. Dina hal ieu, konci kudu dibikeun nalika nyambungkeun kana stop kontak, nu, contona, bisa dipaké pikeun nyieun jasa anu dinamis ngaluarkeun konci.
  • Ngaran host fallback pikeun dianggo ku manajer sistem sareng systemd-hostnamed ayeuna tiasa diatur ku dua cara: ngalangkungan parameter DEFAULT_HOSTNAME dina os-release sareng ngalangkungan variabel lingkungan $SYSTEMD_DEFAULT_HOSTNAME. systemd-hostnamed ogé nanganan "localhost" dina hostname sareng nambihan kamampuan pikeun ngékspor hostname ogé sipat "HardwareVendor" sareng "HardwareModel" via DBus.
  • Blok jeung variabel lingkungan kakeunaan ayeuna bisa ngonpigurasi ngaliwatan pilihan ManagerEnvironment anyar dina system.conf atawa user.conf, teu ngan ngaliwatan garis paréntah kernel jeung setelan file unit.
  • Dina waktos compile, kasebut nyaéta dimungkinkeun pikeun ngagunakeun fexecve () Sistim panggero pikeun ngamimitian prosés tinimbang execve () pikeun ngurangan reureuh antara mariksa konteks kaamanan sarta nerapkeun eta.
  • Pikeun file unit, operasi kondisional anyar ConditionSecurity = tpm2 na ConditionCPUFeature geus ditambahkeun pikeun mariksa ayana alat TPM2 jeung kamampuhan CPU individu (contona, ConditionCPUFeature = rdrand bisa dipaké pikeun pariksa naha processor ngarojong operasi RDRAND).
  • Pikeun kernels sadia, generasi otomatis tabel panggero sistem pikeun saringan seccom geus dilaksanakeun.
  • Ditambahkeun kamampuan pikeun ngagentoskeun beungkeutan énggal kana rohangan nami gunung anu tos aya, tanpa ngamimitian deui jasa. Substitusi dipigawé ku paréntah 'systemctl bind ...' jeung 'systemctl mount-image …'.
  • Ditambahkeun dukungan pikeun netepkeun jalur dina setélan StandardOutput sareng StandardError dina bentuk "truncate: » pikeun ngabersihkeun sateuacan dianggo.
  • Ditambahkeun kamampuhan pikeun nyieun sambungan kana sési pamaké husus dina wadah lokal pikeun sd-beus. Contona "systemctl -user -M lennart @ ngamimitian quux".
  • Parameter di handap ieu dilaksanakeun dina file systemd.link dina bagian [Link]:
    • Promiscuous - ngamungkinkeun anjeun ngalihkeun alat kana modeu "promiscuous" pikeun ngolah sadaya pakét jaringan, kalebet anu henteu ditujukeun ka sistem ayeuna;
    • TransmitQueues sareng ReceiveQueues pikeun netepkeun jumlah antrian TX sareng RX;
    • TransmitQueueLength pikeun nyetél ukuran antrian TX; GenericSegmentOffloadMaxBytes sareng GenericSegmentOffloadMaxSegment pikeun netepkeun wates pikeun panggunaan téknologi GRO (Generic Receive Offload).
  • Setelan anyar geus ditambahkeun kana file systemd.network:
    • [Jaringan] RouteTable pikeun milih tabel routing;
    • [RoutingPolicyRule] Jenis pikeun tipe routing ("blackhole, "unreachable", "ngalarang");
    • [IPv6AcceptRA] RouteDenyList sareng RouteAllowList pikeun daptar iklan rute anu diidinan sareng ditolak;
    • [DHCPv6] UseAdres pikeun malire alamat anu dikaluarkeun ku DHCP;
    • [DHCPv6PrefixDelegation] ManageTemporaryAddress;
    • ActivationPolicy pikeun nangtukeun kawijakan ngeunaan aktivitas interface (salawasna tetep dina kaayaan UP atawa DOWN atawa ngidinan pamaké pikeun ngarobah kaayaan jeung paréntah "ip link set dev").
  • Ditambahkeun [VLAN] Protokol, IngressQOSMaps, EgressQOSMaps, jeung [MACVLAN] pilihan BroadcastMulticastQueueLength kana file systemd.netdev pikeun ngonpigurasikeun penanganan pakét VLAN.
  • Dieureunkeun masang diréktori / dev / dina modeu noexec sabab ngabalukarkeun konflik nalika ngagunakeun bandéra laksana kalawan file / dev / sgx. Pikeun mulangkeun kabiasaan anu lami, anjeun tiasa nganggo setélan NoExecPaths = / dev.
  • Idin file / dev / vsock parantos dirobih janten 0o666, sareng file / dev / vhost-vsock sareng / dev / vhost-net parantos dipindahkeun ka grup kvm.
  • Database ID hardware parantos dilegaan sareng pamaca sidik USB anu leres ngadukung mode sare.
  • systemd-direngsekeun tambah rojongan pikeun ngaluarkeun respon kana pamundut DNSSEC via rintisan resolver. Klién lokal tiasa ngalaksanakeun validasi DNSSEC sorangan, sedengkeun klien éksternal diproksikeun teu dirobih kana server DNS indungna.
  • Ditambahkeun pilihan CacheFromLocalhost mun resolved.conf, nalika diatur, systemd-direngsekeun bakal ngagunakeun cache malah keur nelepon ka server DNS di 127.0.0.1 (sacara standar, cache tina requests sapertos ditumpurkeun pikeun nyegah cache ganda).
  • systemd-resolved nambihan dukungan pikeun RFC-5001 NSIDs dina solver DNS lokal, ngamungkinkeun para klien ngabédakeun antara interaksi sareng resolver lokal sareng server DNS anu sanés.
  • Utilitas resolvectl ngalaksanakeun kamampuan pikeun nampilkeun inpormasi ngeunaan sumber data (cache lokal, pamundut jaringan, réspon prosésor lokal) sareng pamakean enkripsi nalika ngirimkeun data. Pilihan --cache, --synthesize, --network, --zone, --trust-anchor, sarta --validate disadiakeun pikeun ngadalikeun prosés penentuan ngaran.
  • systemd-nspawn nambihan dukungan pikeun ngonpigurasikeun firewall nganggo nftables salian dukungan iptables anu tos aya. Setélan IPMasquerade dina systemd-networkd parantos nambihan kamampuan ngagunakeun backend dumasar-nftables.
  • systemd-localed nambihan dukungan pikeun nelepon lokal-gen pikeun ngahasilkeun lokal anu leungit.
  • Pilihan --pager/-no-pager/-json= geus ditambahkeun kana sagala rupa utilitas pikeun ngaktipkeun/nganonaktipkeun mode paging jeung kaluaran dina format JSON. Ditambahkeun kamampuan pikeun nyetél jumlah warna anu dianggo dina terminal via variabel lingkungan SYSTEMD_COLORS ("16" atanapi "256").
  • Wangunan sareng hierarki diréktori anu misah (split / sareng / usr) sareng dukungan cgroup v1 parantos dileungitkeun.
  • Cabang master di Git parantos diganti tina 'master' janten 'utama'.

sumber: opennet.ru

Tambahkeun komentar