ProHoster > Blog > balita sa internet > systemd system manager release 250

systemd system manager release 250

Pagkatapos ng limang buwan ng pag-unlad, ipinakita ang pagpapalabas ng system manager systemd 250 Ang bagong release ay nagpakilala ng kakayahang mag-imbak ng mga kredensyal sa naka-encrypt na form, ipinatupad ang pag-verify ng mga awtomatikong natukoy na partisyon ng GPT gamit ang isang digital na lagda, pinahusay na impormasyon tungkol sa mga sanhi ng mga pagkaantala kapag. pagsisimula ng mga serbisyo, at mga karagdagang opsyon para sa paglilimita sa pag-access ng serbisyo sa ilang mga file system at mga interface ng network, suporta para sa pagsubaybay sa integridad ng partition gamit ang dm-integrity module ay ibinibigay, at suporta para sa sd-boot auto-update ay idinagdag.

Pangunahing pagbabago:

  • Nagdagdag ng suporta para sa mga naka-encrypt at napatotohanan na mga kredensyal, na maaaring maging kapaki-pakinabang para sa ligtas na pag-iimbak ng mga sensitibong materyales gaya ng mga SSL key at mga password sa pag-access. Ang pag-decryption ng mga kredensyal ay ginagawa lamang kapag kinakailangan at may kaugnayan sa lokal na pag-install o kagamitan. Awtomatikong naka-encrypt ang data gamit ang simetriko na mga algorithm ng pag-encrypt, ang susi kung saan matatagpuan sa file system, sa TPM2 chip, o gamit ang kumbinasyong scheme. Kapag nagsimula ang serbisyo, awtomatikong nade-decrypt ang mga kredensyal at magiging available sa serbisyo sa normal nitong anyo. Upang gumana sa mga naka-encrypt na kredensyal, ang 'systemd-creds' na utility ay naidagdag, at ang LoadCredentialEncrypted at SetCredentialEncrypted na mga setting ay iminungkahi para sa mga serbisyo.
  • sd-stub, ang EFI executable na nagpapahintulot sa EFI firmware na i-load ang Linux kernel, ngayon ay sumusuporta sa pag-boot ng kernel gamit ang LINUX_EFI_INITRD_MEDIA_GUID EFI protocol. Idinagdag din sa sd-stub ang kakayahang mag-package ng mga kredensyal at sysext na mga file sa isang cpio archive at ilipat ang archive na ito sa kernel kasama ang initrd (mga karagdagang file ay inilalagay sa /.extra/ direktoryo). Binibigyang-daan ka ng feature na ito na gumamit ng nabe-verify na hindi nababagong initrd na kapaligiran, na kinukumpleto ng mga sysext at naka-encrypt na data ng pagpapatotoo.
  • Ang pagtutukoy ng Discoverable Partitions ay makabuluhang pinalawak, na nagbibigay ng mga tool para sa pagtukoy, pag-mount at pag-activate ng mga partition ng system gamit ang GPT (GUID Partition Tables). Kung ikukumpara sa mga nakaraang release, sinusuportahan na ngayon ng detalye ang root partition at /usr partition para sa karamihan ng mga arkitektura, kabilang ang mga platform na hindi gumagamit ng UEFI.

    Ang Discoverable Partitions ay nagdaragdag din ng suporta para sa mga partisyon na ang integridad ay na-verify ng dm-verity module gamit ang PKCS#7 digital signatures, na ginagawang mas madali ang paggawa ng ganap na napatotohanan na mga imahe sa disk. Ang suporta sa pag-verify ay isinama sa iba't ibang mga utility na nagmamanipula ng mga imahe sa disk, kabilang ang systemd-nspawn, systemd-sysext, systemd-dissect, mga serbisyo ng RootImage, systemd-tmpfiles, at systemd-sysusers.

  • Para sa mga unit na matagal magsimula o huminto, bilang karagdagan sa pagpapakita ng animated na progress bar, posibleng magpakita ng impormasyon sa katayuan na nagbibigay-daan sa iyong maunawaan kung ano ang eksaktong nangyayari sa serbisyo sa ngayon at kung aling serbisyo ang system manager. kasalukuyang naghihintay na makumpleto.
  • Idinagdag ang DefaultOOMScoreAdjust na parameter sa /etc/systemd/system.conf at /etc/systemd/user.conf, na nagbibigay-daan sa iyong isaayos ang OOM-killer threshold para sa mababang memory, na naaangkop sa mga prosesong sinisimulan ng systemd para sa system at mga user. Bilang default, ang bigat ng mga serbisyo ng system ay mas mataas kaysa sa mga serbisyo ng user, i.e. Kapag walang sapat na memorya, ang posibilidad ng pagwawakas ng mga serbisyo ng gumagamit ay mas mataas kaysa sa mga serbisyo ng system.
  • Idinagdag ang setting ng RestrictFileSystems, na nagbibigay-daan sa iyong paghigpitan ang pag-access ng mga serbisyo sa ilang uri ng mga file system. Upang tingnan ang mga available na uri ng file system, maaari mong gamitin ang command na "systemd-analyze filesystems". Sa pamamagitan ng pagkakatulad, ang opsyon na RestrictNetworkInterfaces ay ipinatupad, na nagbibigay-daan sa iyong paghigpitan ang pag-access sa ilang mga interface ng network. Ang pagpapatupad ay batay sa BPF LSM module, na naghihigpit sa pag-access ng isang pangkat ng mga proseso sa mga kernel object.
  • Nagdagdag ng bagong /etc/integritytab configuration file at systemd-integritysetup utility na nagko-configure sa dm-integrity module para kontrolin ang integridad ng data sa antas ng sektor, halimbawa, para magarantiya ang immutability ng naka-encrypt na data (Authenticated Encryption, tinitiyak na ang isang data block ay may hindi binago sa paikot-ikot na paraan) . Ang format ng /etc/integritytab file ay katulad ng /etc/crypttab at /etc/veritytab file, maliban na dm-integrity ang ginagamit sa halip na dm-crypt at dm-verity.
  • May naidagdag na bagong unit file systemd-boot-update.service, kapag na-activate at na-install ang sd-boot bootloader, awtomatikong ia-update ng systemd ang bersyon ng sd-boot bootloader, na pinapanatili ang code ng bootloader na laging napapanahon. Ang sd-boot mismo ay binuo na ngayon bilang default na may suporta para sa mekanismo ng SBAT (UEFI Secure Boot Advanced Targeting), na nilulutas ang mga problema sa pagbawi ng certificate para sa UEFI Secure Boot. Bilang karagdagan, ang sd-boot ay nagbibigay ng kakayahang i-parse ang mga setting ng boot ng Microsoft Windows upang wastong mabuo ang mga pangalan ng mga partisyon ng boot sa Windows at ipakita ang bersyon ng Windows.

    Ang sd-boot ay nagbibigay din ng kakayahang tukuyin ang isang scheme ng kulay sa oras ng pagbuo. Sa panahon ng proseso ng boot, nagdagdag ng suporta para sa pagbabago ng resolution ng screen sa pamamagitan ng pagpindot sa "r" key. Idinagdag ang hotkey na "f" upang pumunta sa interface ng pagsasaayos ng firmware. Nagdagdag ng mode para awtomatikong i-boot ang system na naaayon sa menu item na napili noong huling boot. Idinagdag ang kakayahang awtomatikong i-load ang mga driver ng EFI na matatagpuan sa direktoryo ng /EFI/systemd/drivers/ sa seksyong ESP (EFI System Partition).

  • May kasamang bagong file ng unit na factory-reset.target, na pinoproseso sa systemd-logind sa katulad na paraan sa pag-reboot, poweroff, pagsususpinde at hibernate na mga operasyon, at ginagamit upang lumikha ng mga handler para sa pagsasagawa ng factory reset.
  • Ang systemd-resolved na proseso ay lumilikha na ngayon ng karagdagang socket sa pakikinig sa 127.0.0.54 bilang karagdagan sa 127.0.0.53. Ang mga kahilingang dumarating sa 127.0.0.54 ay palaging nire-redirect sa isang upstream DNS server at hindi lokal na pinoproseso.
  • Ibinigay ang kakayahang bumuo ng systemd-importd at systemd-resolved gamit ang OpenSSL library sa halip na libgcrypt.
  • Nagdagdag ng paunang suporta para sa arkitektura ng LoongArch na ginagamit sa mga processor ng Loongson.
  • Ang systemd-gpt-auto-generator ay nagbibigay ng kakayahang awtomatikong i-configure ang mga partisyon ng swap na tinukoy ng system na naka-encrypt ng subsystem ng LUKS2.
  • Ang GPT image parsing code na ginagamit sa systemd-nspawn, systemd-dissect, at katulad na mga utility ay nagpapatupad ng kakayahang mag-decode ng mga larawan para sa iba pang mga arkitektura, na nagpapahintulot sa systemd-nspawn na magamit upang magpatakbo ng mga larawan sa mga emulator ng iba pang mga arkitektura.
  • Kapag nag-inspeksyon ng mga imahe sa disk, ipinapakita na ngayon ng systemd-dissect ang impormasyon tungkol sa layunin ng partition, tulad ng pagiging angkop para sa pag-boot sa pamamagitan ng UEFI o pagtakbo sa isang lalagyan.
  • Ang field na “SYSEXT_SCOPE” ay naidagdag sa system-extension.d/ file, na nagbibigay-daan sa iyong isaad ang saklaw ng system image - “initrd”, “system” o “portable”.
  • Ang field na “PORTABLE_PREFIXES” ay idinagdag sa os-release file, na magagamit sa mga portable na larawan upang matukoy ang mga sinusuportahang unit file prefix.
  • systemd-logind ay nagpapakilala ng mga bagong setting na HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress at HandleHibernateKeyLongPress, na magagamit upang matukoy kung ano ang mangyayari kapag pinipigilan ang ilang mga key nang higit sa 5 segundo (halimbawa, ang pagpindot sa Suspend key upang mabilis na ma-standby , at kapag pinigil, matutulog ito) .
  • Para sa mga unit, ipinapatupad ang mga setting ng StartupAllowedCPUs at StartupAllowedMemoryNodes, na naiiba sa mga katulad na setting na walang prefix ng Startup dahil inilapat lamang ang mga ito sa yugto ng boot at shutdown, na nagbibigay-daan sa iyong magtakda ng iba pang mga paghihigpit sa mapagkukunan sa panahon ng boot.
  • Idinagdag ang [Kondisyon|Assert][Memory|CPU|IO]Pressure checks na nagpapahintulot sa unit activation na laktawan o mabigo kung ang mekanismo ng PSI ay nakakita ng mabigat na pagkarga sa memory, CPU, at I/O sa system.
  • Ang default na maximum na limitasyon ng inode ay nadagdagan para sa /dev partition mula 64k hanggang 1M, at para sa /tmp partition mula 400k hanggang 1M.
  • Ang isang setting ng ExecSearchPath ay iminungkahi para sa mga serbisyo, na ginagawang posible na baguhin ang landas para sa paghahanap ng mga executable na file na inilunsad sa pamamagitan ng mga setting tulad ng ExecStart.
  • Idinagdag ang setting ng RuntimeRandomizedExtraSec, na nagbibigay-daan sa iyong ipasok ang mga random na paglihis sa timeout ng RuntimeMaxSec, na naglilimita sa oras ng pagpapatupad ng isang unit.
  • Ang syntax ng RuntimeDirectory, StateDirectory, CacheDirectory at LogsDirectory na mga setting ay pinalawak, kung saan sa pamamagitan ng pagtukoy ng karagdagang halaga na pinaghihiwalay ng isang colon, maaari mo na ngayong ayusin ang paglikha ng isang simbolikong link sa isang ibinigay na direktoryo para sa pag-aayos ng access kasama ang ilang mga landas.
  • Para sa mga serbisyo, ang mga setting ng TTYRows at TTYColumns ay inaalok upang itakda ang bilang ng mga row at column sa TTY device.
  • Idinagdag ang setting ng ExitType, na nagbibigay-daan sa iyong baguhin ang lohika para sa pagtukoy sa pagtatapos ng isang serbisyo. Bilang default, sinusubaybayan lang ng systemd ang pagkamatay ng pangunahing proseso, ngunit kung nakatakda ang ExitType=cgroup, maghihintay ang system manager para makumpleto ang huling proseso sa cgroup.
  • Ang pagpapatupad ng systemd-cryptsetup ng suporta sa TPM2/FIDO2/PKCS11 ay binuo na rin bilang isang cryptsetup plugin, na nagpapahintulot sa normal na cryptsetup command na gamitin upang i-unlock ang isang naka-encrypt na partition.
  • Ang TPM2 handler sa systemd-cryptsetup/systemd-cryptsetup ay nagdaragdag ng suporta para sa mga pangunahing key ng RSA bilang karagdagan sa mga ECC key upang mapabuti ang pagiging tugma sa mga non-ECC chips.
  • Ang opsyon na token-timeout ay idinagdag sa /etc/crypttab, na nagbibigay-daan sa iyong tukuyin ang maximum na oras upang maghintay para sa koneksyon ng token ng PKCS#11/FIDO2, pagkatapos nito ay sasabihan kang magpasok ng password o recovery key.
  • ipinapatupad ng systemd-timesyncd ang setting ng SaveIntervalSec, na nagbibigay-daan sa iyong pana-panahong i-save ang kasalukuyang oras ng system sa disk, halimbawa, upang ipatupad ang isang monotonikong orasan sa mga system na walang RTC.
  • Ang mga opsyon ay idinagdag sa systemd-analyze utility: "--image" at "--root" para sa pagsuri sa mga file ng unit sa loob ng isang partikular na imahe o root directory, "--recursive-errors" para sa pagsasaalang-alang sa mga umaasa na unit kapag may error. ay nakita, "--offline" para sa pagsuri nang magkahiwalay na mga file ng unit na naka-save sa disk, "—json" para sa output sa JSON na format, "—tahimik" upang hindi paganahin ang mga hindi mahalagang mensahe, "—profile" upang i-bind sa isang portable na profile. Idinagdag din ang inspect-elf command para sa pag-parse ng mga pangunahing file sa ELF format at ang kakayahang suriin ang mga file ng unit na may ibinigay na pangalan ng unit, hindi alintana kung ang pangalang ito ay tumutugma sa pangalan ng file.
  • Ang systemd-networkd ay nagpalawak ng suporta para sa Controller Area Network (CAN) bus. Nagdagdag ng mga setting para kontrolin ang mga CAN mode: Loopback, OneShot, PresumeAck at ClassicDataLengthCode. Idinagdag ang TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 at DataSyncJumpWidth na mga opsyon sa [CAN synchronization] na mga file ng interface ng CAN.
  • Nagdagdag ang Systemd-networkd ng opsyon sa Label para sa DHCPv4 client, na nagbibigay-daan sa iyong i-configure ang address label na ginagamit kapag nag-configure ng mga IPv4 address.
  • Ang systemd-udevd para sa "ethtool" ay nagpapatupad ng suporta para sa mga espesyal na "max" na halaga na nagtatakda ng laki ng buffer sa maximum na halaga na sinusuportahan ng hardware.
  • Sa mga .link na file para sa systemd-udevd maaari mo na ngayong i-configure ang iba't ibang mga parameter para sa pagsasama-sama ng mga adapter ng network at pagkonekta ng mga humahawak ng hardware (offload).
  • Nag-aalok ang systemd-networkd ng mga bagong .network na file bilang default: 80-container-vb.network upang tukuyin ang mga network bridge na ginawa kapag nagpapatakbo ng systemd-nspawn gamit ang mga opsyon na "--network-bridge" o "--network-zone"; 80-6rd-tunnel.network upang tukuyin ang mga tunnel na awtomatikong nalilikha kapag tumatanggap ng tugon ng DHCP gamit ang 6RD na opsyon.
  • Ang Systemd-networkd at systemd-udevd ay nagdagdag ng suporta para sa IP forwarding sa mga interface ng InfiniBand, kung saan ang seksyong “[IPoIB]” ay idinagdag sa systemd.netdev file, at ang pagpoproseso ng “ipoib” na halaga ay ipinatupad sa Kind setting.
  • Nagbibigay ang systemd-networkd ng awtomatikong configuration ng ruta para sa mga address na tinukoy sa AllowedIPs parameter, na maaaring i-configure sa pamamagitan ng mga parameter ng RouteTable at RouteMetric sa mga seksyong [WireGuard] at [WireGuardPeer].
  • Nagbibigay ang systemd-networkd ng awtomatikong pagbuo ng mga hindi nagbabagong MAC address para sa mga interface ng batadv at tulay. Upang hindi paganahin ang gawi na ito, maaari mong tukuyin ang MACAddress=wala sa mga .netdev na file.
  • Ang isang setting ng WakeOnLanPassword ay idinagdag sa mga .link na file sa seksyong "[Link]" upang matukoy ang password kapag tumatakbo ang WoL sa mode na "SecureOn".
  • Idinagdag ang mga setting ng AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO at UseRawPacketSize sa seksyong "[CAKE]" ng .network file upang tukuyin ang mga parameter ng network ng CAKE (Common Applications Kept queue Enhanced) network .
  • Nagdagdag ng setting ng IgnoreCarrierLoss sa seksyong "[Network]" ng mga .network na file, na nagbibigay-daan sa iyong matukoy kung gaano katagal maghihintay bago tumugon sa pagkawala ng signal ng carrier.
  • Pinalawak ng Systemd-nspawn, homectl, machinectl at systemd-run ang syntax ng parameter na "--setenv" - kung tinukoy lamang ang pangalan ng variable (nang walang "="), kukunin ang halaga mula sa kaukulang variable ng kapaligiran (para sa halimbawa, kapag tinukoy ang "--setenv=FOO" ang value ay kukunin mula sa $FOO environment variable at gagamitin sa environment variable ng parehong pangalan na nakatakda sa container).
  • Nagdagdag ang systemd-nspawn ng opsyong "--suppress-sync" upang huwag paganahin ang sync()/fsync()/fdatasync() system call kapag gumagawa ng container (kapaki-pakinabang kapag priority ang bilis at ang pagpepreserba ng mga artifact ng build kung sakaling hindi mabigo. mahalaga, dahil maaari silang muling likhain anumang oras).
  • Ang isang bagong database ng hwdb ay naidagdag, na kinabibilangan ng iba't ibang uri ng mga signal analyzer (multimeters, protocol analyzers, oscilloscopes, atbp.). Ang impormasyon tungkol sa mga camera sa hwdb ay pinalawak na may isang field na may impormasyon tungkol sa uri ng camera (regular o infrared) at paglalagay ng lens (harap o likuran).
  • Pinagana ang pagbuo ng hindi nagbabagong mga pangalan ng interface ng network para sa mga netfront device na ginagamit sa Xen.
  • Ang pagsusuri ng mga pangunahing file ng systemd-coredump utility batay sa libdw/libelf library ay ginagawa na ngayon sa isang hiwalay na proseso, na nakahiwalay sa isang sandbox na kapaligiran.
  • Ang systemd-importd ay nagdagdag ng suporta para sa mga variable ng kapaligiran na $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, kung saan maaari mong hindi paganahin ang pagbuo ng mga subpartition ng Btrfs, pati na rin ang pag-configure ng mga quota at disk synchronization.
  • Sa systemd-journald, sa mga file system na sumusuporta sa copy-on-write mode, ang COW mode ay muling pinagana para sa mga naka-archive na journal, na nagpapahintulot sa kanila na ma-compress gamit ang Btrfs.
  • Ang systemd-journald ay nagpapatupad ng deduplikasyon ng magkaparehong mga field sa isang mensahe, na ginagawa sa yugto bago ilagay ang mensahe sa journal.
  • Idinagdag ang "--show" na opsyon sa shutdown command upang ipakita ang naka-iskedyul na shutdown.

Pinagmulan: opennet.ru

Magdagdag ng komento