ProHoster > Blog > ахбори интернет > Варақаи менеҷери системаи systemd 243

Варақаи менеҷери системаи systemd 243

Пас аз панҷ моҳи рушд пешниҳод карда мешавад озод кардани мудири система 243. Дар байни навовариҳо мо метавонем ҳамгироӣ ба PID 1 коркардкунанда барои хотираи кам дар система, дастгирии замима кардани барномаҳои BPF-и худ барои филтр кардани трафики воҳидҳо, имконоти сершумори нави systemd-networkd, режими мониторинги фарохмаҷрои шабакаро қайд кунем. интерфейсҳо, ки ба таври нобаёнӣ дар системаҳои 64-бит ба ҷои 22-бит рақамҳои 16-битии PID-ро фаъол мекунанд, гузариш ба иерархияи ягонаи гурӯҳҳо, дохилшавӣ ба системаҳои шабакавӣ-генератор.

Тағйироти асосӣ:

  • Шинохти сигналҳои тавлидшудаи ядро ​​​​дар бораи аз хотира (Out-Of-Memory, OOM) ба коркарди PID 1 барои интиқоли воҳидҳое, ки ба маҳдудияти истеъмоли хотира расидаанд, ба ҳолати махсус бо қобилияти ихтиёрии маҷбур кардани қатъ кардани онҳо илова карда шудааст. ё қатъ;
  • Барои файлҳои воҳид, параметрҳои нави IPIngressFilterPath ва
    IPEgressFilterPath, ки ба шумо имкон медиҳад, ки барномаҳои BPF-ро бо коркардкунандагони худсарона пайваст кунед, то бастаҳои IP-и воридотӣ ва содиротиро, ки бо равандҳои марбут ба ин воҳид тавлид мешаванд, филтр кунед. Хусусиятҳои пешниҳодшуда ба шумо имкон медиҳанд, ки барои хидматҳои системавӣ як навъ девори деворӣ эҷод кунед. Намунаи навиштан филтри шабакаи оддии дар асоси BPF;

  • Фармони "тоза" ба утилитаи systemctl барои нест кардани кэш, файлҳои вақти корӣ, иттилооти вазъ ва феҳристҳои гузориш илова карда шудааст;
  • systemd-networkd барои интерфейсҳои шабакавии MACsec, nlmon, IPVTAP ва Xfrm дастгирӣ илова мекунад;
  • systemd-networkd конфигуратсияи алоҳидаи стекҳои DHCPv4 ва DHCPv6-ро тавассути бахшҳои "[DHCPv4]" ва "[DHCPv6]" дар файли конфигуратсия амалӣ мекунад. Опсияи RoutesToDNS барои илова кардани масири алоҳида ба сервери DNS, ки дар параметрҳои аз сервери DHCP гирифташуда нишон дода шудааст, илова карда шуд (то ин ки трафик ба DNS тавассути ҳамон пайванде, ки масири асосии аз DHCP гирифташуда фиристода мешавад). Барои DHCPv4 имконоти нав илова карда шуданд: MaxAttempts - шумораи максималии дархостҳо барои гирифтани суроға, Рӯйхати сиёҳ - рӯйхати сиёҳи серверҳои DHCP, SendRelease - имкон медиҳад, ки ҳангоми ба охир расидани сессия фиристодани паёмҳои DHCP RELEASE;
  • Ба утилитаи systemd-analyze фармонҳои нав илова карда шуданд:
    • “systemd-analyze timetamp” - таҳлил ва табдили вақт;
    • "система-таҳлили вақт" - таҳлил ва табдили давраҳои вақт;
    • "шарти система-таҳлил" - таҳлил ва санҷиши ифодаҳои ConditionXYZ;
    • “systemd-analyze exit-status” - таҳлил ва табдил додани кодҳои баромад аз рақамҳо ба номҳо ва баръакс;
    • "systemd-analyze unit-files" - Рӯйхати ҳамаи роҳҳои файл барои воҳидҳо ва тахаллуси воҳидҳо.
  • Имконот SuccessExitStatus, RestartPreventExitStatus ва
    RestartForceExitStatus ҳоло на танҳо рамзҳои бозгашти рақамӣ, балки идентификаторҳои матнии онҳоро низ дастгирӣ мекунад (масалан, "DATAERR"). Шумо метавонед бо истифода аз фармони "sytemd-analyze exit-status" рӯйхати рамзҳои ба идентификаторҳо таъиншударо бинед;

  • Фармони "нест" ба утилитаи networkctl барои нест кардани дастгоҳҳои шабакаи виртуалӣ ва инчунин имконоти "—stats" барои намоиш додани омори дастгоҳ илова карда шудааст;
  • Танзимоти SpeedMeter ва SpeedMeterIntervalSec ба networkd.conf барои давра ба давра чен кардани қобилияти интиқоли интерфейсҳои шабака илова карда шуданд. Омори аз натиҷаҳои андозагирӣ гирифташударо дар баромади фармони 'networkctl status' дидан мумкин аст;
  • Иловаи нави утилитаи systemd-network-generator барои тавлиди файлҳо
    .network, .netdev ва .link дар асоси танзимоти IP, ки ҳангоми ба кор даровардани хати фармони ядрои Linux дар формати танзимоти Dracut гузаронида мешаванд;

  • Арзиши sysctl "kernel.pid_max" дар системаҳои 64-битӣ ҳоло ба таври нобаёнӣ ба 4194304 муқаррар шудааст (PID-ҳои 22-бит ба ҷои 16-бит), ки эҳтимолияти бархӯрдҳоро ҳангоми таъини PIDҳо коҳиш медиҳад ва маҳдудияти шумораи ҳамзамон зиёд мешавад. равандҳои иҷрошаванда, ва ба амният таъсири мусбат мерасонад. Тағйирот метавонад ба мушкилоти мутобиқат оварда расонад, аммо ин гуна масъалаҳо то ҳол дар амал гузориш нашудаанд;
  • Ба таври нобаёнӣ, марҳилаи сохтмон ба иерархияи ягонаи cgroups-v2 мегузарад (“-Ddefault-hierarchy=unified”). Пештар, пешфарз ҳолати гибридӣ буд (“-Ddefault-hierarchy=hybrid”);
  • Рафтори филтри зангҳои системавӣ (SystemCallFilter) тағир дода шуд, ки он дар ҳолати занги системавӣ, акнун на риштаҳои инфиродӣ, балки тамоми равандро қатъ мекунад, зеро қатъ кардани риштаҳои инфиродӣ метавонад ба мушкилоти пешгӯинашаванда оварда расонад. Тағирот танҳо агар шумо ядрои Linux 4.14+ ва libseccomp 2.4.0+ дошта бошед, татбиқ мешаванд;
  • Ба барномаҳои беимтиёз имкони фиристодани бастаҳои ICMP Echo (ping) бо гузоштани sysctl "net.ipv4.ping_group_range" барои тамоми диапазони гурӯҳҳо (барои ҳама равандҳо) дода мешавад;
  • Барои суръат бахшидан ба раванди сохтан, тавлиди дастурҳои одамӣ ба таври нобаёнӣ қатъ карда шудааст (барои сохтани ҳуҷҷатҳои пурра, шумо бояд варианти “-Dman=true” ё “-Dhtml=true” -ро барои дастурҳо дар формати html истифода баред). Барои осон кардани дидани ҳуҷҷатҳо, ду скрипт дохил карда шудаанд: build/man/man ва build/man/html барои тавлид ва пешнамоиши дастурҳои мавриди таваҷҷӯҳ;
  • Барои коркарди номҳои домейнҳо бо аломатҳои алифбои миллӣ, китобхонаи libidn2 ба таври нобаёнӣ истифода мешавад (барои баргардонидани libidn, опсияи “-Dlibidn=true” -ро истифода баред);
  • Дастгирии файли иҷрошавандаи /usr/sbin/halt.local, ки функсияҳоеро таъмин мекард, ки дар тақсимот ба таври васеъ паҳн нашуда буд, қатъ карда шуд. Барои ташкили оғози фармонҳо ҳангоми хомӯшӣ тавсия дода мешавад, ки скриптҳоро дар /usr/lib/systemd/system-shutdown/ истифода баред ё воҳиди наверо муайян кунед, ки аз final.target;
  • Дар марҳилаи охирини қатъкунӣ, systemd ҳоло сатҳи сабтро дар sysctl "kernel.printk" ба таври худкор афзоиш медиҳад, ки ин мушкилотро дар намоиши рӯйдодҳои гузориш, ки дар марҳилаҳои охири қатъшавӣ рух додаанд, вақте ки демонҳои сабти муқаррарӣ аллакай ба анҷом расидаанд, ҳал мекунад. ;
  • Дар journalctl ва дигар утилитаҳое, ки гузоришҳоро нишон медиҳанд, огоҳиҳо бо ранги зард ва сабтҳои аудит бо ранги кабуд таъкид карда мешаванд, то онҳоро аз издиҳоми мардум равшан кунанд;
  • Дар тағирёбандаи муҳити $PATH, роҳи bin/ ҳоло пеш аз роҳи sbin/ меояд, яъне. агар дар ҳарду директория номҳои якхелаи файлҳои иҷрошаванда мавҷуд бошанд, файл аз bin/ иҷро карда мешавад;
  • systemd-logind занги SetBrightness()-ро барои бехатар тағир додани равшании экран дар асоси ҳар як сессия таъмин мекунад;
  • Парчами "--wait-for-initialization" ба фармони "udevadm info" илова карда шуд, то ин ки дастгоҳ оғоз шавад;
  • Ҳангоми пурборкунии система, коркарди PID 1 ҳоло ба ҷои сатр бо тавсифи онҳо номи воҳидҳоро нишон медиҳад. Барои баргаштан ба рафтори қаблӣ, шумо метавонед хосияти StatusUnitFormat-ро дар /etc/systemd/system.conf ё опсияи ядрои systemd.status_unit_format истифода баред;
  • Иловаи KExecWatchdogSec ба /etc/systemd/system.conf барои watchdog PID 1, ки мӯҳлатро барои бозоғозӣ бо истифодаи kexec муайян мекунад. Танзимоти кӯҳна
    ShutdownWatchdogSec ба RebootWatchdogSec тағйир номида шуд ва вақти тамомшавии корҳоро ҳангоми хомӯшӣ ё бозоғозии муқаррарӣ муайян мекунад;

  • Барои хидматҳо имконоти нав илова карда шуд Ҳолати иҷро, ки ба шумо имкон медиҳад, ки фармонҳоеро, ки пеш аз ExecStartPre иҷро мешаванд, муайян кунед. Дар асоси рамзи хатогие, ки бо фармон баргардонида шудааст, дар бораи иҷрои минбаъдаи агрегат қарор қабул карда мешавад - агар рамзи 0 баргардонида шавад, оғози агрегат идома меёбад, агар аз 1 то 254 бе парчами нокомӣ хомӯшона ба охир мерасад, агар 255 бо парчами нокомӣ;
  • Хизматрасонии нави systemd-pstore.service барои истихроҷи маълумот аз sys/fs/pstore/ ва аз захиракунӣ ба /var/lib/pstore барои таҳлили минбаъда илова карда шуд;
  • Фармонҳои нав ба утилитаи timedatectl барои танзими параметрҳои NTP барои systemd-timesyncd дар робита бо интерфейсҳои шабакавӣ илова карда шуданд;
  • Фармони "localectl list-locales" дигар забонҳои маҳаллиро ғайр аз UTF-8 намоиш намедиҳад;
  • Кафолат медиҳад, ки хатогиҳои таъини тағирёбанда дар файлҳои sysctl.d/ нодида гирифта мешаванд, агар номи тағирёбанда бо аломати “-“ оғоз шавад;
  • хизматрасонӣ systemd-random-seed.service Ҳоло барои оғоз кардани ҳавзи энтропии генератори рақамҳои псевдорории ядрои Linux комилан масъул аст. Хидматҳое, ки /dev/urandom дуруст оғозшударо талаб мекунанд, бояд пас аз systemd-random-seed.service оғоз шаванд;
  • Боркунаки пурборкунандаи systemd-боркунӣ қобилияти ихтиёрии дастгирӣро фароҳам меорад файли тухмӣ бо пайдарпаии тасодуфӣ дар қисмати системаи EFI (ESP);
  • Фармонҳои нав ба утилитаи bootctl илова карда шуданд: "bootctl random-seed" барои тавлиди файли тухмӣ дар ESP ва "bootctl is-installed" барои тафтиши насби боркунаки пурборкунандаи systemd. bootctl инчунин барои намоиш додани огоҳиҳо дар бораи конфигуратсияи нодурусти сабтҳои пурборкунӣ танзим карда шудааст (масалан, вақте ки тасвири ядро ​​​​кӯза карда мешавад, аммо вуруд барои боркунии он боқӣ мемонад);
  • Ҳангоми ба ҳолати хоб рафтани система интихоби автоматии қисмати свопро таъмин мекунад. Қисм вобаста ба афзалияти барои он танзимшуда интихоб карда мешавад ва дар сурати афзалиятҳои якхела, ҳаҷми фазои холӣ;
  • Ба /etc/crypttab имкони вақт-файли калидӣ илова карда шуд, то ки дастгоҳ бо калиди рамзгузорӣ то дархости парол барои дастрасӣ ба қисмати рамзшуда то чӣ андоза интизор шавад;
  • Опсияи IOWeight илова карда шуд, то вазни I/O-ро барои нақшаи BFQ муқаррар кунад;
  • systemd-resolved ҳолати иловашудаи "қатъӣ" барои DNS-over-TLS ва қобилияти кэш кардани посухҳои мусбати DNS-ро амалӣ кард ("Кэш нест-манфӣ" дар резолюция.conf);
  • Барои VXLAN, systemd-networkd як варианти GenericProtocolExtension-ро барои фаъол кардани васеъшавии протоколи VXLAN илова кардааст. Барои VXLAN ва GENEVE, опсияи IPDoNotFragment барои гузоштани парчами манъи фрагментатсия барои бастаҳои содиротӣ илова карда шудааст;
  • Дар systemd-networkd, дар бахши "[Маршрут]" имконоти FastOpenNoCookie пайдо шуд, ки механизми кушодани пайвастҳои TCP (TFO - TCP Fast Open, RFC 7413) дар робита ба хатсайрҳои инфиродӣ ва инчунин имконоти TTLPropagate -ро фаъол созад. ба танзим дароред TTL LSP (Label Switched Path ). Опсияи "Намуд" дастгирии шеваҳои масирсозии маҳаллӣ, пахш, ҳамакаст, мултипастаст, ҳама ва xresolveро таъмин мекунад;
  • Systemd-networkd имкони DefaultRouteOnDevice -ро дар бахши "[Шабака]" пешниҳод мекунад, то масири пешфарзро барои дастгоҳи шабакавӣ ба таври худкор танзим кунад;
  • Systemd-networkd ProxyARP ва
    ProxyARPWifi барои танзими рафтори прокси ARP, MulticastRouter барои танзими параметрҳои масир дар реҷаи мултиcast, MulticastIGMPVersion барои тағир додани версияи IGMP (Internet Group Management Protocol) барои мултипастаст;

  • Systemd-networkd имконоти Local, Peer ва PeerPort-ро барои нақбҳои FooOverUDP барои танзими суроғаҳои IP маҳаллӣ ва дурдаст, инчунин рақами порти шабака илова кардааст. Барои нақбҳои TUN, варианти VnetHeader барои танзими дастгирии GSO (Generic Segment Offload) илова карда шудааст;
  • Дар systemd-networkd, дар файлҳои .network ва .link дар қисмати [Мувофиқӣ] варианти Property пайдо шуд, ки ба шумо имкон медиҳад дастгоҳҳоро аз рӯи хосиятҳои хоси онҳо дар udev муайян кунед;
  • Дар systemd-networkd, варианти AssignToLoopback барои нақбҳо илова карда шудааст, ки назорат мекунад, ки оё охири нақб ба дастгоҳи бозгашти "lo" таъин шудааст ё не;
  • systemd-networkd стеки IPv6-ро ба таври худкор фаъол мекунад, агар он тавассути sysctl disable_ipv6 баста шавад - IPv6 фаъол мешавад, агар танзимоти IPv6 (статикӣ ё DHCPv6) барои интерфейси шабака муайян карда шаванд, вагарна арзиши sysctl аллакай муқарраршуда тағир намеёбад;
  • Дар файлҳои .network, танзимоти CriticalConnection бо имконоти KeepConfiguration иваз карда шудааст, ки барои муайян кардани вазъиятҳо (“ҳа”, “статикӣ”, “dhcp-on-stop”, “dhcp”), ки дар он systemd-networkd бояд воситаҳои бештареро фароҳам меорад. ҳангоми оғозёбӣ ба пайвастҳои мавҷуда даст нарасонед;
  • осебпазирӣ собит CVE-2019-15718, ки аз сабаби набудани назорати дастрасӣ ба интерфейси D-Bus systemd-ҳал шудааст. Масъала ба корбари беимтиёз имкон медиҳад, ки амалиётҳоеро, ки танҳо ба маъмурон дастрасанд, ба мисли тағир додани танзимоти DNS ва равона кардани дархостҳои DNS ба сервери фиребгарона иҷро кунад;
  • осебпазирӣ собит CVE-2019-9619вобаста ба фаъол накардани pam_systemd барои сессияҳои ғайри интерактивӣ, ки имкон медиҳад қаллобии ҷаласаи фаъол.

Манбаъ: opennet.ru

Илова Эзоҳ