ProHoster > blogg > internetnyheter > systemd system manager version 246

systemd system manager version 246

Efter fem månaders utveckling presenteras systemhanterarens release systemd 246. Den nya utgåvan inkluderar stöd för att frysa enheter, möjligheten att verifiera rotdiskavbildningen med en digital signatur, stöd för loggkomprimering och kärndumpar med ZSTD-algoritmen, möjligheten att låsa upp bärbara hemkataloger med FIDO2-tokens, stöd för att låsa upp Microsoft BitLocker partitioner via /etc/ crypttab, BlackList har bytt namn till DenyList.

Den huvudsakliga förändringar:

  • Lade till stöd för frysresurskontrollern baserad på cgroups v2, med vilken du kan stoppa processer och tillfälligt frigöra vissa resurser (CPU, I/O och eventuellt även minne) för att utföra andra uppgifter. Frysning och avfrostning av enheter styrs med det nya kommandot "systemctl freeze" eller via D-Bus.
  • Lade till stöd för att verifiera rotdiskavbildningen med en digital signatur. Verifiering utförs med hjälp av nya inställningar i serviceenheter: RootHash (root-hash för att verifiera diskavbildningen som anges genom alternativet RootImage) och RootHashSignature (digital signatur i PKCS#7-format för root-hash).
  • PID 1-hanteraren implementerar möjligheten att automatiskt ladda förkompilerade AppArmor-regler (/etc/apparmor/earlypolicy) vid det inledande uppstartsskedet.
  • Nya enhetsfilinställningar har lagts till: ConditionPathIsEncrypted och AssertPathIsEncrypted för att kontrollera placeringen av den angivna sökvägen på en blockenhet som använder kryptering (dm-crypt/LUKS), ConditionEnvironment och AssertEnvironment för att kontrollera miljövariabler (till exempel de som ställs in av PAM eller vid uppställning av containrar).
  • För *.mount-enheter har ReadWriteOnly-inställningen implementerats, som förbjuder montering av en partition i skrivskyddat läge om det inte var möjligt att montera den för läsning och skrivning. I /etc/fstab konfigureras detta läge med alternativet "x-systemd.rw-only".
  • För *.socket-enheter har inställningen PassPacketInfo lagts till, vilket gör att kärnan kan lägga till ytterligare metadata för varje paket som läses från socket (aktiverar lägena IP_PKTINFO, IPV6_RECVPKTINFO och NETLINK_PKTINFO för socket).
  • För tjänster (*.service-enheter) föreslås CoredumpFilter-inställningar (definierar minnessektioner som ska inkluderas i kärndumpar) och
    TimeoutStartFailureMode/TimeoutStopFailureMode (definierar beteendet (SIGTERM, SIGABRT eller SIGKILL) när en timeout inträffar vid start eller stopp av en tjänst).

  • De flesta alternativen stöder nu hexadecimala värden som anges med prefixet "0x".
  • I olika kommandoradsparametrar och konfigurationsfiler relaterade till inställning av nycklar eller certifikat är det möjligt att ange sökvägen till unix-sockets (AF_UNIX) för överföring av nycklar och certifikat genom anrop till IPC-tjänster när det inte är önskvärt att placera certifikat på okrypterad disk lagring.
  • Tillagt stöd för sex nya specifikationer som kan användas i enheter, tmpfiles.d/, sysusers.d/ och andra konfigurationsfiler: %a för att ersätta den aktuella arkitekturen, %o/%w/%B/%W för att ersätta fält med identifierare från /etc/os-release och %l för kort värdnamnsersättning.
  • Enhetsfiler stöder inte längre ".include"-syntaxen, som fasades ut för 6 år sedan.
  • Inställningarna StandardError och StandardOutput stöder inte längre värdena "syslog" och "syslog-console", som automatiskt konverteras till "journal" och "journal+console".
  • För automatiskt skapade tmpfs-baserade monteringspunkter (/tmp, /run, /dev/shm, etc.) finns gränser för storleken och antalet inoder, motsvarande 50 % av RAM-storleken för /tmp och /dev/ shm och 10 % av RAM-minnet för alla andra.
  • Nya kommandoradsalternativ för kärnan har lagts till: systemd.hostname för att ställa in värdnamnet vid det initiala uppstartsskedet, udev.blockdev_read_only för att begränsa alla blockenheter som är associerade med fysiska enheter till skrivskyddat läge (du kan använda kommandot "blockdev --setrw" för att selektivt avbryt), systemd .swap för att inaktivera automatisk aktivering av swap-partitionen, systemd.clock-usec för att ställa in systemklockan i mikrosekunder, systemd.condition-needs-update och systemd.condition-first-boot för att åsidosätta ConditionNeedsUpdate och ConditionFirstBoot kontroller.
  • Som standard är sysctl fs.suid_dumpable inställt på 2 ("suidsafe"), vilket gör det möjligt att spara kärndumpar för processer med suid-flaggan.
  • Filen /usr/lib/udev/hwdb.d/60-autosuspend.hwdb lånades in i hårdvarudatabasen från ChromiumOS, som innehåller information om PCI- och USB-enheter som stöder automatiskt viloläge.
  • En ManageForeignRoutes-inställning har lagts till networkd.conf, när den är aktiverad kommer systemd-networkd att börja hantera alla rutter som konfigurerats av andra verktyg.
  • En "[SR-IOV]"-sektion har lagts till i .network-filer för att konfigurera nätverksenheter som stöder SR-IOV (Single Root I/O Virtualization).
  • I systemd-networkd har IPv4AcceptLocal-inställningen lagts till i avsnittet "[Nätverk]" för att tillåta att paket som kommer med en lokal källadress tas emot på nätverksgränssnittet.
  • systemd-networkd har lagt till möjligheten att konfigurera HTB-trafikprioriteringsdiscipliner genom [HierarchyTokenBucket] och
    [HierarchyTokenBucketClass], "pfifo" via [PFIFO], "GRED" via [GenericRandomEarlyDetection], "SFB" via [StochasticFairBlue], "cake"
    via [CAKE], "PIE" via [PIE], "DRR" via [DeficitRoundRobinScheduler] och
    [DeficitRoundRobinSchedulerClass], "BFIFO" via [BFIFO],
    "PFIFOHeadDrop" via [PFIFOHeadDrop], "PFIFOFast" via [PFIFOFast], "HHF"
    via [HeavyHitterFilter], "ETS" via [EnhancedTransmissionSelection],
    "QFQ" via [QuickFairQueueing] och [QuickFairQueueingClass].

  • I systemd-networkd har en UseGateway-inställning lagts till i avsnittet [DHCPv4] för att inaktivera användningen av gatewayinformation som erhålls via DHCP.
  • I systemd-networkd, i sektionerna [DHCPv4] och [DHCPServer], har en SendVendorOption-inställning lagts till för installation och bearbetning av ytterligare leverantörsalternativ.
  • systemd-networkd implementerar en ny uppsättning EmitPOP3/POP3-, EmitSMTP/SMTP- och EmitLPR/LPR-alternativ i avsnittet [DHCPServer] för att lägga till information om POP3-, SMTP- och LPR-servrar.
  • I systemd-networkd, i .netdev-filerna i [Bridge]-sektionen, har en VLANProtocol-inställning lagts till för att välja vilket VLAN-protokoll som ska användas.
  • I systemd-networkd, i .network-filer i avsnittet [Länk], implementeras gruppinställningen för att hantera en grupp länkar.
  • BlackList-inställningarna har bytt namn till DenyList (bevarar gamla namnhantering för bakåtkompatibilitet).
  • Systemd-networkd har lagt till en stor del av inställningar relaterade till IPv6 och DHCPv6.
  • Lade till kommandot "forcerenew" till networkctl för att tvinga alla adressbindningar att uppdateras (leasing).
  • I systemd-resolved, i DNS-konfigurationen, blev det möjligt att ange portnummer och värdnamn för DNS-over-TLS-certifikatverifiering. DNS-over-TLS-implementeringen har lagt till stöd för SNI-kontroll.
  • Systemd-resolved har nu möjlighet att konfigurera omdirigering av DNS-namn med en etikett (enkel etikett, från ett värdnamn).
  • systemd-journald ger stöd för att använda zstd-algoritmen för att komprimera stora fält i journaler. Arbete har gjorts för att skydda mot kollisioner i hashtabeller som används i journaler.
  • Klickbara URL:er med länkar till dokumentation har lagts till i journalctl vid visning av loggmeddelanden.
  • Lade till en revisionsinställning till journald.conf för att kontrollera om granskning är aktiverad under systemd-journal-initiering.
  • Systemd-coredump har nu möjlighet att komprimera kärndumpar med hjälp av zstd-algoritmen.
  • Lade till UUID-inställning till systemd-repart för att tilldela ett UUID till den skapade partitionen.
  • Systemd-homed-tjänsten, som tillhandahåller hantering av bärbara hemkataloger, har lagt till möjligheten att låsa upp hemkataloger med FIDO2-tokens. Backend för LUKS-partitionskryptering har lagt till stöd för att automatiskt returnera tomma filsystemblock när en session avslutas. Tillagt skydd mot dubbelkryptering av data om det fastställs att /home-partitionen på systemet redan är krypterad.
  • Lade till inställningar i /etc/crypttab: "keyfile-erase" för att radera en nyckel efter användning och "try-empty-password" för att försöka låsa upp en partition med ett tomt lösenord innan användaren uppmanas att ange ett lösenord (användbart för att installera krypterade bilder med ett lösenord tilldelat efter den första uppstarten, inte under installationen).
  • systemd-cryptsetup lägger till stöd för att låsa upp Microsoft BitLocker-partitioner vid uppstart med /etc/crypttab. Lade även till möjligheten att läsa
    nycklar för att automatiskt låsa upp partitioner från filerna /etc/cryptsetup-keys.d/.key och /run/cryptsetup-keys.d/.key.

  • Lade till systemd-xdg-autostart-generator för att skapa enhetsfiler från .desktop autostart-filer.
  • Lade till kommandot "reboot-to-firmware" till "bootctl".
  • Lade till alternativ för systemd-firstboot: "--image" för att ange diskavbildningen som ska startas, "--kernel-command-line" för att initiera filen /etc/kernel/cmdline, "--root-password-hashed" till ange hash för root-lösenordet och "--delete-root-password" för att ta bort root-lösenordet.

Källa: opennet.ru

Lägg en kommentar