புரோஹோஸ்டர் > Блог > இணைய செய்தி > systemd கணினி மேலாளர் வெளியீடு 243

systemd கணினி மேலாளர் வெளியீடு 243

ஐந்து மாத வளர்ச்சிக்குப் பிறகு வழங்கப்பட்டது கணினி மேலாளர் வெளியீடு systemd 243. கண்டுபிடிப்புகளில், கணினியில் குறைந்த நினைவகத்திற்கான ஹேண்ட்லரின் PID 1 இல் ஒருங்கிணைப்பு, யூனிட் ட்ராஃபிக்கை வடிகட்டுவதற்கு உங்கள் சொந்த BPF நிரல்களை இணைப்பதற்கான ஆதரவு, systemd-networkd க்கான பல புதிய விருப்பங்கள், நெட்வொர்க்கின் அலைவரிசையை கண்காணிப்பதற்கான ஒரு முறை ஆகியவற்றை நாங்கள் கவனிக்கலாம். இடைமுகங்கள், 64-பிட்டிற்குப் பதிலாக 22-பிட் கணினிகளில் 16-பிட் PID எண்களை முன்னிருப்பாக செயல்படுத்துதல், ஒரு ஒருங்கிணைந்த cgroups படிநிலைக்கு மாற்றம், systemd-network-generator இல் சேர்த்தல்.

முக்கிய மாற்றங்கள்:

  • நினைவக நுகர்வு வரம்பை எட்டிய யூனிட்களை சிறப்பு நிலைக்கு மாற்றும் வகையில், நினைவகம் இல்லாதது (அவுட்-ஆஃப்-மெமரி, OOM) பற்றிய கர்னல்-உருவாக்கப்பட்ட சிக்னல்களின் அங்கீகாரம் PID 1 கையாளுதலில் சேர்க்கப்பட்டுள்ளது. அல்லது நிறுத்து;
  • யூனிட் கோப்புகளுக்கு, புதிய அளவுருக்கள் IPIngressFilterPath மற்றும்
    IPEgressFilterPath, இந்த அலகுடன் தொடர்புடைய செயல்முறைகளால் உருவாக்கப்பட்ட உள்வரும் மற்றும் வெளிச்செல்லும் IP பாக்கெட்டுகளை வடிகட்ட, தன்னிச்சையான கையாளுபவர்களுடன் BPF நிரல்களை இணைக்க உங்களை அனுமதிக்கிறது. முன்மொழியப்பட்ட அம்சங்கள் systemd சேவைகளுக்கு ஒரு வகையான ஃபயர்வாலை உருவாக்க உங்களை அனுமதிக்கின்றன. உதாரணம் எழுதுதல் BPF அடிப்படையிலான எளிய பிணைய வடிகட்டி;

  • தற்காலிக சேமிப்பு, இயக்க நேர கோப்புகள், நிலை தகவல் மற்றும் பதிவு கோப்பகங்களை நீக்குவதற்கு systemctl பயன்பாட்டில் "clean" கட்டளை சேர்க்கப்பட்டுள்ளது;
  • systemd-networkd MACsec, nlmon, IPVTAP மற்றும் Xfrm பிணைய இடைமுகங்களுக்கான ஆதரவைச் சேர்க்கிறது;
  • systemd-networkd DHCPv4 மற்றும் DHCPv6 அடுக்குகளின் தனி கட்டமைப்புகளை "[DHCPv4]" மற்றும் "[DHCPv6]" பிரிவுகள் மூலம் கட்டமைப்பு கோப்பில் செயல்படுத்துகிறது. DHCP சேவையகத்திலிருந்து பெறப்பட்ட அளவுருக்களில் குறிப்பிடப்பட்டுள்ள DNS சேவையகத்திற்கு ஒரு தனி வழியைச் சேர்க்க RoutesToDNS விருப்பம் சேர்க்கப்பட்டது (இதனால் DHCP இலிருந்து பெறப்பட்ட முக்கிய பாதையின் அதே இணைப்பு மூலம் DNSக்கான போக்குவரத்து அனுப்பப்படும்). DHCPv4 க்கு புதிய விருப்பங்கள் சேர்க்கப்பட்டுள்ளன: MaxAttempts - முகவரியைப் பெறுவதற்கான அதிகபட்ச கோரிக்கைகள், பிளாக்லிஸ்ட் - DHCP சேவையகங்களின் கருப்புப் பட்டியல், SendRelease - அமர்வு முடியும்போது DHCP வெளியீட்டுச் செய்திகளை அனுப்புவதை இயக்கு;
  • systemd-analyze பயன்பாட்டில் புதிய கட்டளைகள் சேர்க்கப்பட்டுள்ளன:
    • "சிஸ்டம்டு-பகுப்பாய்வு நேர முத்திரை" - நேரத்தை பாகுபடுத்துதல் மற்றும் மாற்றுதல்;
    • "கணினி-பகுப்பாய்வு நேரங்கள்" - பகுப்பாய்வு மற்றும் காலங்களை மாற்றுதல்;
    • “systemd-analyze condition” - ConditionXYZ வெளிப்பாடுகளை பாகுபடுத்துதல் மற்றும் சோதனை செய்தல்;
    • “கணினி-பகுப்பாய்வு வெளியேறும் நிலை” - வெளியேறும் குறியீடுகளை எண்களிலிருந்து பெயர்களாகப் பாகுபடுத்தி மாற்றுதல் மற்றும் நேர்மாறாகவும்;
    • "systemd-analyze unit-files" - அலகுகள் மற்றும் அலகு மாற்றுப்பெயர்களுக்கான அனைத்து கோப்பு பாதைகளையும் பட்டியலிடுகிறது.
  • விருப்பங்கள் SuccessExitStatus, RestartPreventExitStatus மற்றும்
    RestartForceExitStatus இப்போது எண் ரிட்டர்ன் குறியீடுகளை மட்டுமல்ல, அவற்றின் உரை அடையாளங்காட்டிகளையும் ஆதரிக்கிறது (எடுத்துக்காட்டாக, "DATAERR"). "sytemd-analyze exit-status" கட்டளையைப் பயன்படுத்தி அடையாளங்காட்டிகளுக்கு ஒதுக்கப்பட்ட குறியீடுகளின் பட்டியலை நீங்கள் பார்க்கலாம்;

  • மெய்நிகர் பிணைய சாதனங்களை நீக்க “delete” கட்டளை networkctl பயன்பாட்டில் சேர்க்கப்பட்டுள்ளது, அத்துடன் சாதன புள்ளிவிவரங்களைக் காண்பிக்க “—stats” விருப்பமும் சேர்க்கப்பட்டுள்ளது;
  • SpeedMeter மற்றும் SpeedMeterIntervalSec அமைப்புகள் பிணைய இடைமுகங்களின் செயல்திறனை அவ்வப்போது அளவிடுவதற்காக networkd.conf இல் சேர்க்கப்பட்டுள்ளன. அளவீட்டு முடிவுகளிலிருந்து பெறப்பட்ட புள்ளிவிவரங்களை 'networkctl நிலை' கட்டளையின் வெளியீட்டில் பார்க்கலாம்;
  • கோப்புகளை உருவாக்க புதிய பயன்பாட்டு systemd-network-generator சேர்க்கப்பட்டது
    .network, .netdev மற்றும் .link ஐபி அமைப்புகளை அடிப்படையாகக் கொண்டு டிராகட் அமைப்புகளின் வடிவத்தில் லினக்ஸ் கர்னல் கட்டளை வரி வழியாக தொடங்கப்படும் போது அனுப்பப்பட்டது;

  • 64-பிட் கணினிகளில் உள்ள sysctl "kernel.pid_max" மதிப்பு இப்போது 4194304 (22-பிட்களுக்குப் பதிலாக 16-பிட் PIDகள்) என அமைக்கப்பட்டுள்ளது, இது PIDகளை ஒதுக்கும்போது மோதல்களின் வாய்ப்பைக் குறைக்கிறது, ஒரே நேரத்தில் எண்ணிக்கையின் வரம்பை அதிகரிக்கிறது. இயங்கும் செயல்முறைகள் மற்றும் பாதுகாப்பில் சாதகமான தாக்கத்தை ஏற்படுத்துகிறது. இந்த மாற்றம் பொருந்தக்கூடிய சிக்கல்களுக்கு வழிவகுக்கும், ஆனால் நடைமுறையில் இதுபோன்ற சிக்கல்கள் இன்னும் தெரிவிக்கப்படவில்லை;
  • முன்னிருப்பாக, உருவாக்க நிலை ஒருங்கிணைக்கப்பட்ட படிநிலை cgroups-v2 (“-Ddefault-hierarchy=unified”) க்கு மாறுகிறது. முன்பு, இயல்புநிலை கலப்பின பயன்முறையாக இருந்தது (“-Ddefault-hierarchy=hybrid”);
  • கணினி அழைப்பு வடிப்பானின் (SystemCallFilter) நடத்தை மாற்றப்பட்டுள்ளது, இது தடைசெய்யப்பட்ட கணினி அழைப்பின் போது, ​​தனிப்பட்ட தொடரிழைகளுக்குப் பதிலாக முழு செயல்முறையையும் நிறுத்துகிறது, ஏனெனில் தனிப்பட்ட தொடரிழைகளை நிறுத்துவது கணிக்க முடியாத சிக்கல்களுக்கு வழிவகுக்கும். உங்களிடம் லினக்ஸ் கர்னல் 4.14+ மற்றும் libseccomp 2.4.0+ இருந்தால் மட்டுமே மாற்றங்கள் பொருந்தும்;
  • முழு அளவிலான குழுக்களுக்கும் (அனைத்து செயல்முறைகளுக்கும்) sysctl "net.ipv4.ping_group_range" ஐ அமைப்பதன் மூலம் ICMP எக்கோ (பிங்) பாக்கெட்டுகளை அனுப்பும் திறன் அளிக்கப்படாத நிரல்களுக்கு வழங்கப்படுகிறது;
  • உருவாக்க செயல்முறையை விரைவுபடுத்த, கையேடுகளின் உருவாக்கம் இயல்புநிலையாக நிறுத்தப்பட்டது (முழு ஆவணங்களை உருவாக்க, html வடிவத்தில் உள்ள கையேடுகளுக்கு “-Dman=true” அல்லது “-Dhtml=true” விருப்பத்தைப் பயன்படுத்த வேண்டும்). ஆவணங்களைப் பார்ப்பதை எளிதாக்க, இரண்டு ஸ்கிரிப்டுகள் சேர்க்கப்பட்டுள்ளன: ஆர்வமுள்ள கையேடுகளை உருவாக்குவதற்கும் முன்னோட்டமிடுவதற்கும் உருவாக்க/மனிதன்/மனிதன் மற்றும் உருவாக்க/மனிதன்/html;
  • தேசிய எழுத்துக்களில் உள்ள எழுத்துக்களுடன் டொமைன் பெயர்களைச் செயலாக்க, libidn2 நூலகம் இயல்பாகப் பயன்படுத்தப்படுகிறது (libidn ஐத் திரும்பப் பெற, “-Dlibidn=true” விருப்பத்தைப் பயன்படுத்தவும்);
  • விநியோகங்களில் பரவலாக விநியோகிக்கப்படாத செயல்பாட்டை வழங்கிய /usr/sbin/halt.local இயங்கக்கூடிய கோப்புக்கான ஆதரவு நிறுத்தப்பட்டது. பணிநிறுத்தம் செய்யும் போது கட்டளைகளின் துவக்கத்தை ஒழுங்கமைக்க, /usr/lib/systemd/system-shutdown/ இல் ஸ்கிரிப்ட்களைப் பயன்படுத்த பரிந்துரைக்கப்படுகிறது அல்லது final.target சார்ந்து ஒரு புதிய யூனிட்டை வரையறுக்கவும்;
  • பணிநிறுத்தத்தின் கடைசி கட்டத்தில், systemd இப்போது தானாகவே sysctl “kernel.printk” இல் பதிவு அளவை அதிகரிக்கிறது, இது வழக்கமான பதிவு டீமான்கள் ஏற்கனவே முடிந்தவுடன், பணிநிறுத்தத்தின் பிந்தைய கட்டங்களில் ஏற்பட்ட பதிவு நிகழ்வுகளில் காண்பிப்பதில் உள்ள சிக்கலை தீர்க்கிறது. ;
  • பதிவுகளைக் காண்பிக்கும் journalctl மற்றும் பிற பயன்பாடுகளில், எச்சரிக்கைகள் மஞ்சள் நிறத்தில் சிறப்பிக்கப்படுகின்றன, மேலும் தணிக்கைப் பதிவுகள் கூட்டத்திலிருந்து பார்வைக்கு முன்னிலைப்படுத்த நீல நிறத்தில் முன்னிலைப்படுத்தப்படுகின்றன;
  • $PATH சூழல் மாறியில், bin/க்கான பாதை இப்போது sbin/க்கான பாதைக்கு முன் வருகிறது, அதாவது. இரண்டு கோப்பகங்களிலும் இயங்கக்கூடிய கோப்புகளின் ஒரே மாதிரியான பெயர்கள் இருந்தால், bin/ இலிருந்து கோப்பு செயல்படுத்தப்படும்;
  • systemd-logind ஒவ்வொரு அமர்வின் அடிப்படையில் திரையின் பிரகாசத்தை பாதுகாப்பாக மாற்ற SetBrightness() அழைப்பை வழங்குகிறது;
  • சாதனம் தொடங்கும் வரை காத்திருக்க, “udevadm info” கட்டளையில் “--wait-for-initialization” கொடி சேர்க்கப்பட்டது;
  • கணினி துவக்கத்தின் போது, ​​PID 1 ஹேண்ட்லர் இப்போது அலகுகளின் பெயர்களை அவற்றின் விளக்கத்துடன் ஒரு வரிக்கு பதிலாக காண்பிக்கும். கடந்த நடத்தைக்கு மாற்ற, நீங்கள் StatusUnitFormat விருப்பத்தை /etc/systemd/system.conf அல்லது systemd.status_unit_format கர்னல் விருப்பத்தைப் பயன்படுத்தலாம்;
  • watchdog PID 1க்கான KExecWatchdogSec விருப்பம் /etc/systemd/system.conf க்கு சேர்க்கப்பட்டது, இது kexec ஐப் பயன்படுத்தி மறுதொடக்கம் செய்வதற்கான காலக்கெடுவைக் குறிப்பிடுகிறது. பழைய அமைப்பு
    ShutdownWatchdogSec RebootWatchdogSec என மறுபெயரிடப்பட்டது மற்றும் பணிநிறுத்தம் அல்லது சாதாரண மறுதொடக்கத்தின் போது வேலைகளுக்கான காலக்கெடுவை வரையறுக்கிறது;

  • சேவைகளுக்கு புதிய விருப்பம் சேர்க்கப்பட்டுள்ளது Execcondition, இது ExecStartPre க்கு முன் செயல்படுத்தப்படும் கட்டளைகளைக் குறிப்பிட உங்களை அனுமதிக்கிறது. கட்டளையால் வழங்கப்பட்ட பிழைக் குறியீட்டின் அடிப்படையில், யூனிட்டை மேலும் செயல்படுத்துவது குறித்து ஒரு முடிவு எடுக்கப்படுகிறது - குறியீடு 0 திரும்பினால், யூனிட் வெளியீடு தொடர்கிறது, 1 முதல் 254 வரை தோல்விக் கொடி இல்லாமல் அமைதியாக முடிவடைந்தால், 255 உடன் முடிவடைகிறது. ஒரு தோல்வி கொடி;
  • sys/fs/pstore/ இலிருந்து தரவைப் பிரித்தெடுக்க புதிய சேவை systemd-pstore.service சேர்க்கப்பட்டது மற்றும் மேலும் பகுப்பாய்வுக்காக /var/lib/pstore இல் சேமிப்பது;
  • பிணைய இடைமுகங்கள் தொடர்பாக systemd-timesyncd க்கான NTP அளவுருக்களை உள்ளமைக்க timedatectl பயன்பாட்டில் புதிய கட்டளைகள் சேர்க்கப்பட்டுள்ளன;
  • "localectl list-locales" கட்டளையானது UTF-8 தவிர வேறு இடங்களைக் காண்பிக்காது;
  • sysctl.d/ கோப்புகளில் மாறிப் பெயர் "-" என்ற எழுத்தில் தொடங்கும் பட்சத்தில், அதில் உள்ள மாறி ஒதுக்கீடு பிழைகள் புறக்கணிக்கப்படுவதை உறுதி செய்கிறது;
  • சேவை systemd-random-seed.service லினக்ஸ் கர்னல் சூடோராண்டம் எண் ஜெனரேட்டரின் என்ட்ரோபி பூலை துவக்குவதற்கு இப்போது முழுப் பொறுப்பாகும். சரியாக துவக்கப்பட்ட /dev/urandom தேவைப்படும் சேவைகள் systemd-random-seed.serviceக்குப் பிறகு தொடங்கப்பட வேண்டும்;
  • systemd-boot boot loader ஆனது ஆதரிக்கும் விருப்ப திறனை வழங்குகிறது விதை கோப்பு EFI கணினி பகிர்வில் (ESP) சீரற்ற வரிசையுடன்;
  • bootctl பயன்பாட்டில் புதிய கட்டளைகள் சேர்க்கப்பட்டுள்ளன: ESP இல் விதைக் கோப்பை உருவாக்க “bootctl random-seed” மற்றும் systemd-boot boot loader இன் நிறுவலைச் சரிபார்க்க “bootctl is-installed”. bootctl ஆனது துவக்க உள்ளீடுகளின் தவறான உள்ளமைவு பற்றிய எச்சரிக்கைகளைக் காண்பிக்கும் வகையில் சரிசெய்யப்பட்டது (உதாரணமாக, கர்னல் படம் நீக்கப்படும்போது, ​​ஆனால் அதை ஏற்றுவதற்கான உள்ளீடு மீதமுள்ளது);
  • கணினி ஸ்லீப் பயன்முறையில் செல்லும்போது ஸ்வாப் பகிர்வின் தானியங்கி தேர்வை வழங்குகிறது. பகிர்வு, அது கட்டமைக்கப்பட்ட முன்னுரிமை மற்றும் ஒரே மாதிரியான முன்னுரிமைகள் விஷயத்தில், இலவச இடத்தின் அளவைப் பொறுத்து தேர்ந்தெடுக்கப்பட்டது;
  • மறைகுறியாக்கப்பட்ட பகிர்வை அணுக கடவுச்சொல்லை கேட்கும் முன், குறியாக்க விசையுடன் கூடிய சாதனம் எவ்வளவு நேரம் காத்திருக்கும் என்பதை அமைக்க /etc/crypttab க்கு விசைக்கோப்பு-நேரமுடிவு விருப்பம் சேர்க்கப்பட்டது;
  • BFQ திட்டமிடலுக்கான I/O எடையை அமைக்க IOWeight விருப்பம் சேர்க்கப்பட்டது;
  • systemd-ஆல் டிஎன்எஸ்-ஓவர்-டிஎல்எஸ்-க்கு 'ஸ்டிரிக்ட்' பயன்முறையைச் சேர்த்தது மற்றும் நேர்மறை டிஎன்எஸ் பதில்களை மட்டுமே தேக்ககப்படுத்தும் திறனை செயல்படுத்தியது ("கேச் நோ-நெகட்டிவ்" இன் தீர்வளிக்கப்பட்டது;
  • VXLAN க்கு, systemd-networkd ஆனது VXLAN நெறிமுறை நீட்டிப்புகளை இயக்க, GenericProtocolExtension விருப்பத்தைச் சேர்த்தது. VXLAN மற்றும் GENEVE க்கு, IPDoNotFragment விருப்பம் சேர்க்கப்பட்டுள்ளது.
  • systemd-networkd இல், “[Route]” பிரிவில், தனிப்பட்ட வழிகள் மற்றும் TTLPropagate விருப்பத்துடன் தொடர்புடைய TCP இணைப்புகளை (TFO - TCP Fast Open, RFC 7413) விரைவாக திறப்பதற்கான பொறிமுறையை செயல்படுத்த FastOpenNoCookie விருப்பம் தோன்றியது. TTL LSP ஐ கட்டமைக்க (லேபிள் மாறிய பாதை ). "வகை" விருப்பம் உள்ளூர், ஒளிபரப்பு, ஏதேனும்காஸ்ட், மல்டிகாஸ்ட், ஏதேனும் மற்றும் xresolve ரூட்டிங் முறைகளுக்கு ஆதரவை வழங்குகிறது;
  • கொடுக்கப்பட்ட பிணைய சாதனத்திற்கான இயல்புநிலை வழியை தானாக உள்ளமைக்க “[நெட்வொர்க்]” பிரிவில் Systemd-networkd DefaultRouteOnDevice விருப்பத்தை வழங்குகிறது;
  • Systemd-networkd ஆனது ProxyARP மற்றும்
    ப்ராக்ஸி ARP நடத்தையை அமைப்பதற்கான ProxyARPWifi, மல்டிகாஸ்ட் பயன்முறையில் ரூட்டிங் அளவுருக்களை அமைப்பதற்கான MulticastRouter, மல்டிகாஸ்ட்க்கான IGMP (இன்டர்நெட் குரூப் மேனேஜ்மென்ட் புரோட்டோகால்) பதிப்பை மாற்றுவதற்கான MulticastIGMPVersion;

  • Systemd-networkd ஆனது உள்ளூர் மற்றும் தொலைநிலை ஐபி முகவரிகள் மற்றும் நெட்வொர்க் போர்ட் எண்ணை உள்ளமைக்க FooOverUDP டன்னல்களுக்கான Local, Peer மற்றும் PeerPort விருப்பங்களைச் சேர்த்துள்ளது. TUN டன்னல்களுக்கு, GSO (Generic Segment Offload) ஆதரவை உள்ளமைக்க VnetHeader விருப்பம் சேர்க்கப்பட்டுள்ளது;
  • systemd-networkd இல், [Match] பிரிவில் உள்ள .network மற்றும் .link கோப்புகளில், ஒரு Property விருப்பம் தோன்றியுள்ளது, இது udev இல் உள்ள குறிப்பிட்ட பண்புகளின் மூலம் சாதனங்களை அடையாளம் காண உங்களை அனுமதிக்கிறது;
  • systemd-networkd இல், சுரங்கங்களுக்கு ஒரு AssignToLoopback விருப்பம் சேர்க்கப்பட்டுள்ளது, இது சுரங்கப்பாதையின் முடிவு loopback சாதனமான “lo”க்கு ஒதுக்கப்பட்டுள்ளதா என்பதைக் கட்டுப்படுத்துகிறது;
  • systemd-networkd ஆனது sysctl disable_ipv6 வழியாக IPv6 ஸ்டேக்கைத் தடுக்கும் பட்சத்தில் தானாகவே செயல்படுத்துகிறது - IPv6 அமைப்புகள் (நிலையான அல்லது DHCPv6) பிணைய இடைமுகத்திற்கு வரையறுக்கப்பட்டால், IPv6 செயல்படுத்தப்படும், இல்லையெனில் ஏற்கனவே அமைக்கப்பட்ட sysctl மதிப்பு மாறாது;
  • .network கோப்புகளில், CriticalConnection அமைப்பு KeepConfiguration விருப்பத்தால் மாற்றப்பட்டது, இது systemd-networkd செய்ய வேண்டிய சூழ்நிலைகளை ("yes", "static", "dhcp-on-stop", "dhcp") வரையறுப்பதற்கான கூடுதல் வழிகளை வழங்குகிறது. தொடங்கும் போது இருக்கும் இணைப்புகளைத் தொடாதே;
  • பாதிப்பு சரி செய்யப்பட்டது CVE-2019-15718, டி-பஸ் இடைமுகத்திற்கான அணுகல் கட்டுப்பாடு இல்லாததால் systemd-தீர்க்கப்பட்டது. டிஎன்எஸ் அமைப்புகளை மாற்றுவது மற்றும் டிஎன்எஸ் வினவல்களை முரட்டு சேவையகத்திற்கு இயக்குவது போன்ற நிர்வாகிகளுக்கு மட்டுமே கிடைக்கக்கூடிய செயல்பாடுகளைச் செய்ய இந்தச் சிக்கல் உரிமையற்ற பயனரை அனுமதிக்கிறது;
  • பாதிப்பு சரி செய்யப்பட்டது CVE-2019-9619செயலில் உள்ள அமர்வை ஏமாற்ற அனுமதிக்கும் ஊடாடுதல் அல்லாத அமர்வுகளுக்கு pam_systemd ஐ இயக்காதது தொடர்பானது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்