ProHoster > Blog > balita sa internet > systemd system manager release 250

systemd system manager release 250

Pagkatapos ng limang buwan ng pag-unlad, ang system manager systemd 250 ay inilabas. Ang bagong release ay nagdaragdag ng kakayahang mag-imbak ng mga naka-encrypt na kredensyal, nagpapatupad ng digital signature na pag-verify ng mga awtomatikong natukoy na partisyon ng GPT, pinapahusay ang pag-uulat ng mga pagkaantala sa pagsisimula ng serbisyo, nagdaragdag ng mga opsyon para sa paghihigpit sa pag-access sa serbisyo sa mga partikular na file system at mga interface ng network, sumusuporta sa pagsubaybay sa integridad ng partition gamit ang dm-integrity module, at nagdaragdag ng suporta para sa mga awtomatikong pag-update ng sd-boot.

Pangunahing pagbabago:

  • Nagdagdag ng suporta para sa mga naka-encrypt at napatotohanang kredensyal, na maaaring maging kapaki-pakinabang para sa ligtas na pag-iimbak ng mga sensitibong materyales tulad ng SSL- mga access key at password. Ang pag-decrypt ng kredensyal ay isinasagawa lamang kung kinakailangan at partikular sa lokal na instalasyon o hardware. Awtomatikong ini-encrypt ang data gamit ang mga symmetric encryption algorithm, kung saan ang key ay maaaring matagpuan sa file system, sa TPM2 chip, o gamit ang isang pinagsamang scheme. Kapag nagsimula ang serbisyo, awtomatikong ide-decrypt ang mga kredensyal at ginagawang available sa serbisyo sa plain text. Ang utility na 'systemd-creds' ay naidagdag para sa pagtatrabaho sa mga naka-encrypt na kredensyal, at ang mga setting ng LoadCredentialEncrypted at SetCredentialEncrypted ay available para sa mga serbisyo.
  • Sa sd-stub, isang executable file para sa EFI, kung saan nilo-load ng EFI firmware ang kernel LinuxIdinagdag ang suporta para sa pag-boot ng kernel gamit ang LINUX_EFI_INITRD_MEDIA_GUID EFI protocol. Idinagdag din sa sd-stub ang kakayahang mag-empake ng mga kredensyal at sysext file sa isang cpio archive at ipasa ang archive na ito sa kernel kasama ang initrd (may mga karagdagang file na inilalagay sa direktoryo ng /.extra/). Ang feature na ito ay nagbibigay-daan sa paggamit ng isang napapatunayan at hindi nababagong initrd environment, na pinalalawak ng mga sysext at naka-encrypt na authentication data.
  • Ang pagtutukoy ng Discoverable Partitions ay makabuluhang pinalawak, na nagbibigay ng mga tool para sa pagtukoy, pag-mount, at pag-activate ng mga partition ng system gamit ang GPT (GUID Partition Tables). Kung ikukumpara sa mga nakaraang release, sinusuportahan na ngayon ng detalye ang root partition at ang /usr partition para sa karamihan ng mga arkitektura, kabilang ang mga platform na hindi gumagamit ng UEFI.

    Ang Discoverable Partitions ay nagdaragdag din ng suporta para sa mga partisyon na ang integridad ay na-verify ng dm-verity module gamit ang PKCS#7 digital signatures, na nagpapasimple sa paglikha ng ganap na napatotohanan na mga imahe ng disk. Ang suporta sa pag-verify ay isinama sa iba't ibang mga utility na nagmamanipula ng mga imahe sa disk, kabilang ang systemd-nspawn, systemd-sysext, systemd-dissect, mga serbisyong may RootImage, systemd-tmpfiles, at systemd-sysusers.

  • Para sa mga unit na matagal magsimula o huminto, bilang karagdagan sa pagpapakita ng animated na progress bar, ibinibigay ang kakayahang magpakita ng impormasyon sa katayuan, na nagbibigay-daan sa iyong maunawaan kung ano ang eksaktong nangyayari sa serbisyo sa ngayon at kung aling serbisyo ang kasalukuyang hinihintay ng system manager na makumpleto.
  • Ang DefaultOOMScoreAdjust na parameter ay naidagdag sa /etc/systemd/system.conf at /etc/systemd/user.conf . Inaayos ng parameter na ito ang OOM-killer threshold para sa mga sitwasyong mababa ang memorya, na naaangkop sa mga prosesong sinimulan ng systemd para sa system at mga user. Bilang default, ang mga serbisyo ng system ay may mas mataas na timbang kaysa sa mga serbisyo ng user, ibig sabihin, ang mga serbisyo ng user ay mas malamang na magwakas sa ilalim ng mga kondisyong mababa ang memorya kaysa sa mga serbisyo ng system.
  • Ang setting ng RestrictFileSystems ay naidagdag, na nagbibigay-daan sa iyong paghigpitan ang pag-access ng serbisyo sa mga partikular na uri ng file system. Maaari mong gamitin ang command na "systemd-analyze filesystems" upang tingnan ang mga available na uri ng file system. Katulad nito, ang opsyon na RestrictNetworkInterfaces ay ipinatupad, na nagbibigay-daan sa iyong paghigpitan ang pag-access sa mga partikular na interface ng network. Ang pagpapatupad na ito ay batay sa LSM BPF module, na naghihigpit sa pag-access sa mga kernel object para sa isang pangkat ng mga proseso.
  • Isang bagong configuration file, /etc/integritytab, at ang systemd-integritysetup utility ay naidagdag. Kino-configure ng mga ito ang module ng dm-integrity para sa pagsubaybay sa integridad ng data sa antas ng sektor, tulad ng pagtiyak sa immutability ng naka-encrypt na data (Tinitiyak ng Authenticated Encryption na ang isang data block ay hindi nabago sa paraang tamper-proof). Ang format ng /etc/integritytab file ay katulad ng /etc/crypttab at /etc/veritytab, maliban sa dm-integrity ang ginagamit sa halip na dm-crypt at dm-verity.
  • Isang bagong unit file, ang systemd-boot-update.service, ang naidagdag. Kapag pinagana at na-install na ang sd-boot bootloader, awtomatikong ia-update ng systemd ang bersyon ng sd-boot bootloader, na pinapanatiling laging updated ang bootloader code. Ang sd-boot mismo ay binuo na ngayon bilang default na may suporta para sa mekanismo ng SBAT (UEFI Secure Boot Advanced Targeting), na lumulutas sa mga isyu sa pagbawi ng sertipiko para sa UEFI Secure Boot. Bukod pa rito, sinusuportahan na ngayon ng sd-boot ang pag-parse ng mga setting ng boot ng Microsoft. Windows para sa tamang pagbuo ng mga pangalan ng mga boot partition na may Windows at bersyon ng pagpapakita Windows.

    Ang sd-boot ay nagbibigay din ng kakayahang tumukoy ng scheme ng kulay sa panahon ng proseso ng pagbuo. Available na ang suporta para sa pagbabago ng resolution ng screen sa pamamagitan ng pagpindot sa "r" key habang nag-boot. Ang isang hotkey, "f," ay idinagdag para sa pagpasok sa interface ng pag-setup ng firmware. Ang isang awtomatikong system boot mode ay naidagdag, na naaayon sa menu item na pinili noong nakaraang boot. Ang kakayahang awtomatikong i-load ang mga driver ng EFI na matatagpuan sa direktoryo ng /EFI/systemd/drivers/ sa ESP (EFI System Partition) ay naidagdag.

  • May kasamang bagong unit file, factory-reset.target, na pinoproseso ng systemd-logind sa katulad na paraan sa mga operasyon ng pag-reboot, poweroff, pagsususpinde, at hibernate, at ginagamit upang lumikha ng mga handler para sa pagsasagawa ng factory reset.
  • Ang systemd-resolved na proseso ay lumilikha na ngayon ng karagdagang socket sa pakikinig sa 127.0.0.54 bilang karagdagan sa 127.0.0.53. Ang mga kahilingan sa 127.0.0.54 ay palaging ipinapasa sa isang upstream na DNS server at hindi lokal na pinoproseso.
  • Ang kakayahang bumuo ng systemd-importd at systemd-resolved gamit ang OpenSSL library sa halip na libgcrypt ay ipinakilala.
  • Nagdagdag ng paunang suporta para sa arkitektura ng LoongArch na ginagamit sa mga processor ng Loongson.
  • Ang systemd-gpt-auto-generator ay nagpapatupad ng kakayahang awtomatikong i-configure ang mga partisyon ng swap na tinukoy ng system na naka-encrypt gamit ang LUKS2 subsystem.
  • Ang GPT image parsing code na ginagamit sa systemd-nspawn, systemd-dissect, at katulad na mga utility ay nagpapatupad ng kakayahang mag-decode ng mga larawan para sa iba pang mga arkitektura, na nagpapahintulot sa systemd-nspawn na magamit upang magpatakbo ng mga larawan sa mga emulator para sa iba pang mga arkitektura.
  • Kapag sinusuri ang mga imahe ng disk sa systemd-dissect, nagpapakita na ito ngayon ng impormasyon tungkol sa layunin ng partition, tulad ng kung ito ay angkop para sa UEFI boot o tumatakbo sa isang lalagyan.
  • Ang field na "SYSEXT_SCOPE" ay naidagdag sa system-extension.d/ file, na nagbibigay-daan sa iyong tukuyin ang saklaw ng system image - "initrd", "system", o "portable".
  • Ang field na "PORTABLE_PREFIXES" ay idinagdag sa os-release na file, na maaaring magamit sa mga portable na larawan upang tukuyin ang mga sinusuportahang unit file prefix.
  • Ang systemd-logind ay nagpapatupad ng mga bagong setting na HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress, at HandleHibernateKeyLongPress, na magagamit upang tukuyin ang mga aksyon kapag ang ilang mga key ay pinipigilan nang higit sa 5 segundo (halimbawa, ang mabilis na pagpindot sa Suspend at pagkakatigil ng key ay maaaring ihinto ang system. na-configure upang hibernate ang system).
  • Para sa mga unit, ang mga setting ng StartupAllowedCPUs at StartupAllowedMemoryNodes ay ipinatupad. Ang mga ito ay naiiba sa mga katulad na setting na walang Startup prefix dahil ang mga ito ay inilalapat lamang sa mga yugto ng boot at shutdown, na nagbibigay-daan sa iyong magtakda ng iba't ibang mga paghihigpit sa mapagkukunan sa panahon ng boot.
  • Idinagdag ang [Kondisyon|Assert][Memory|CPU|IO]Pressure checks na nagpapahintulot sa unit activation na laktawan o makumpleto nang may error kung ang isang mataas na load sa memory, CPU, at I/O sa system ay nakita sa pamamagitan ng mekanismo ng PSI.
  • Ang default na maximum na limitasyon ng inode ay nadagdagan para sa /dev partition mula 64k hanggang 1M, at para sa /tmp mula 400k hanggang 1M.
  • Para sa mga serbisyo, ipinakilala ang setting ng ExecSearchPath, na nagbibigay-daan sa iyong baguhin ang landas para sa paghahanap ng mga executable na file na inilunsad sa pamamagitan ng mga setting na katulad ng ExecStart.
  • Idinagdag ang setting ng RuntimeRandomizedExtraSec, na nagbibigay-daan sa iyong magpakilala ng mga random na variation sa RuntimeMaxSec timeout, na naglilimita sa oras ng pagpapatupad ng isang unit.
  • Ang syntax ng mga setting ng RuntimeDirectory, StateDirectory, CacheDirectory, at LogsDirectory ay pinalawak. Sa pamamagitan ng pagtukoy ng karagdagang halaga na pinaghihiwalay ng isang tutuldok, maaari ka na ngayong lumikha ng isang simbolikong link sa isang tinukoy na direktoryo upang magbigay ng access sa pamamagitan ng maraming mga landas.
  • Para sa mga serbisyo, ibinibigay ang mga setting ng TTYRows at TTYColumns upang tukuyin ang bilang ng mga row at column sa isang TTY device.
  • Nagdagdag ng setting ng ExitType na nagpapahintulot sa iyo na baguhin ang lohika para sa pagtukoy ng pagwawakas ng serbisyo. Bilang default, sinusubaybayan lang ng systemd ang pagwawakas ng pangunahing proseso, ngunit kapag nakatakda ang ExitType=cgroup, maghihintay ang system manager para sa huling proseso sa cgroup na magwakas.
  • Ang pagpapatupad ng suporta sa TPM2/FIDO2/PKCS11 sa systemd-cryptsetup ay binuo na rin ngayon bilang isang plugin para sa cryptsetup, na nagpapahintulot sa regular na cryptsetup command na gamitin upang i-unlock ang isang naka-encrypt na partition.
  • Ang TPM2 handler sa systemd-cryptsetup/systemd-cryptsetup ay na-update upang suportahan ang mga pangunahing key ng RSA bilang karagdagan sa mga ECC key upang mapabuti ang pagiging tugma sa mga chip na hindi sumusuporta sa ECC.
  • Ang opsyon na token-timeout ay naidagdag sa /etc/crypttab, na nagbibigay-daan sa iyong tukuyin ang maximum na oras upang maghintay para sa isang PKCS#11/FIDO2 token na kumonekta, pagkatapos nito ay sasabihan kang magpasok ng password o recovery key.
  • Ang systemd-timesyncd ay nagpapatupad ng SaveIntervalSec setting, na nagbibigay-daan sa pana-panahong pag-save ng kasalukuyang oras ng system sa disk, halimbawa, upang ipatupad ang isang monotonikong orasan sa mga system na walang RTC.
  • Ang systemd-analyze utility ay na-update gamit ang mga sumusunod na opsyon: "--image" at "--root" para sa pag-inspeksyon ng mga file ng unit sa loob ng isang partikular na imahe o root directory, "--recursive-errors" para sa pagsasaalang-alang sa mga unit na umaasa kapag may nakitang error, "--offline" para sa pag-inspeksyon ng hiwalay na naka-save na mga file ng unit, "--json", para sa "pag-disable sa format ng JSONant at hindi pag-import ng output," "--profile" para sa pag-binding sa isang portable na profile. Ang inspect-elf command ay idinagdag din para sa pag-parse ng ELF core file at ang kakayahang suriin ang mga file ng unit na may ibinigay na pangalan ng unit, hindi alintana kung ang pangalan ay tumutugma sa filename.
  • Sinusuportahan na ngayon ng Systemd-networkd ang Controller Area Network (CAN) bus. Naidagdag ang mga opsyon sa configuration para sa pamamahala ng mga CAN mode: Loopback, OneShot, PresumeAck, at ClassicDataLengthCode. Ang mga sumusunod na opsyon ay idinagdag sa [CAN] na seksyon ng .network na mga file: TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment1, DataPhaseBufferSegment2, at CAN interface para sa kontrol ng BitSegment2. pag-synchronize.
  • Ang systemd-networkd DHCPv4 client ay mayroon na ngayong isang Label na opsyon na nagbibigay-daan sa iyong i-configure ang address label na ginamit sa pag-configure ng mga IPv4 address.
  • Ang systemd-udevd ay nagpapatupad ng suporta para sa mga espesyal na "max" na halaga para sa "ethtool" na nagtatakda ng laki ng buffer sa maximum na halaga na sinusuportahan ng hardware.
  • Sa mga .link na file para sa systemd-udevd, maaari mo na ngayong i-configure ang iba't ibang mga parameter para sa pagsasama-sama ng mga network adapter at pagkonekta ng mga humahawak ng hardware (offload).
  • Ang systemd-networkd ay nagbibigay ng mga bagong .network file bilang default: 80-container-vb.network upang tukuyin ang mga network bridge na ginawa kapag ang systemd-nspawn ay nagsimula sa mga opsyon na "--network-bridge" o "--network-zone"; 80-6rd-tunnel.network upang tukuyin ang mga tunnel na awtomatikong ginawa kapag natanggap ang isang tugon ng DHCP na may opsyon na 6RD.
  • Ang suporta para sa pagpapasa ng IP sa mga interface ng InfiniBand ay idinagdag sa systemd-networkd at systemd-udevd, kung saan ang seksyong "[IPoIB]" ay idinagdag sa mga systemd.netdev file, at ang halaga ng "ipoib" ay naproseso sa setting ng Kind.
  • Ang systemd-networkd ay nagbibigay ng awtomatikong pag-configure ng mga ruta para sa mga address na tinukoy sa parameter na AllowedIPs, na maaaring i-configure sa pamamagitan ng mga parameter na RouteTable at RouteMetric sa [WireGuard] At [WireGuardKapantay].
  • Ang systemd-networkd ay awtomatikong bumubuo ng mga nakapirming MAC address para sa mga interface ng batadv at tulay. Upang huwag paganahin ang pag-uugaling ito, tukuyin ang MACAddress=wala sa mga .netdev na file.
  • Ang setting ng WakeOnLanPassword ay idinagdag sa seksyong "[Link]" ng mga .link na file upang tukuyin ang isang password kapag gumagana ang WoL sa mode na "SecureOn".
  • Ang seksyong "[CAKE]" ng mga .network na file ay na-update gamit ang mga setting ng AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO, at UseRawPacketSize upang tukuyin ang mga parameter ng CAKE (Common Applications na mekanismo ng pamamahala ng quept Enhanced na network.
  • Ang setting ng IgnoreCarrierLoss ay naidagdag sa seksyong "[Network]" ng mga .network na file, na nagbibigay-daan sa iyong tukuyin kung gaano katagal maghihintay bago tumugon sa pagkawala ng signal ng carrier.
  • Sa systemd-nspawn, homectl, machinectl, at systemd-run, ang syntax ng parameter na "--setenv" ay pinalawig: kung ang pangalan ng variable lang ang tinukoy (nang walang "="), kukunin ang value mula sa kaukulang environment variable (halimbawa, kung tinukoy mo ang "--setenv=FOO", kukunin ang value mula sa ginamit na variable na pangalan sa environment na variable at ng container na $FOO).
  • Idinagdag ang opsyong "--suppress-sync" sa systemd-nspawn upang hindi paganahin ang pagsasagawa ng sync()/fsync()/fdatasync() mga tawag sa system kapag gumagawa ng container (kapaki-pakinabang kapag priority ang bilis at hindi mahalaga ang pagpepreserba ng mga artifact sa pagbuo kung sakaling mabigo, dahil maaari silang muling likhain anumang oras).
  • Ang isang bagong database ng hwdb ay naidagdag, na kinabibilangan ng iba't ibang uri ng mga signal analyzer (multimeters, protocol analyzers, oscilloscopes, atbp.). Ang impormasyon ng camera sa hwdb ay pinalawak upang isama ang isang field para sa uri ng camera (regular o infrared) at paglalagay ng lens (harap o likuran).
  • Bumubuo ng mga paulit-ulit na pangalan ng interface ng network para sa mga netfront device na ginagamit sa Xen.
  • Ang pagsusuri ng mga pangunahing file ng systemd-coredump utility batay sa libdw/libelf library ay ginagawa na ngayon sa isang hiwalay na proseso na nakahiwalay sa isang sandbox na kapaligiran.
  • Sinusuportahan na ngayon ng systemd-importd ang mga variable ng kapaligiran na $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, at $SYSTEMD_IMPORT_SYNC, na maaaring magamit upang hindi paganahin ang pagbuo ng mga Btrfs subkey at i-configure ang mga quota at disk synchronization.
  • Sa systemd-journald, sa mga file system na sumusuporta sa copy-on-write mode, ang COW mode ay muling pinagana para sa mga naka-archive na journal, na nagpapahintulot sa kanila na ma-compress ng Btrfs.
  • Ang systemd-journald ay nagpapatupad ng deduplikasyon ng magkatulad na mga patlang sa isang mensahe, na ginagawa bago ilagay ang mensahe sa journal.
  • Ang shutdown command ay mayroon na ngayong "--show" na opsyon para ipakita ang mga naka-iskedyul na shutdown.

Pinagmulan: opennet.ru

Bumili ng maaasahang pagho-host para sa mga site na may proteksyon ng DDoS, mga server ng VPS VDS 🔥 Bumili ng maaasahang website hosting na may proteksyon ng DDoS, VPS VDS servers | ProHoster