ProHoster > Blog > internet haberleri > systemd sistem yöneticisi sürüm 250

systemd sistem yöneticisi sürüm 250

Beş aylık geliştirme sürecinin ardından, sistem yöneticisi systemd 250'nin sürümü sunuldu. Yeni sürüm, kimlik bilgilerini şifrelenmiş biçimde saklama yeteneğini tanıttı, dijital imza kullanılarak otomatik olarak algılanan GPT bölümlerinin doğrulanmasını sağladı ve gecikmelerin nedenleri hakkında iyileştirilmiş bilgiler sağladı. hizmetleri başlatma ve belirli dosya sistemlerine ve ağ arayüzlerine hizmet erişimini sınırlamak için eklenen seçenekler, dm-integrity modülünü kullanarak bölüm bütünlüğü izleme desteği sağlanır ve sd-boot otomatik güncelleme desteği eklenir.

Ana değişiklikler:

  • SSL anahtarları ve erişim parolaları gibi hassas materyallerin güvenli bir şekilde saklanması için yararlı olabilecek, şifrelenmiş ve kimliği doğrulanmış kimlik bilgileri için destek eklendi. Kimlik bilgilerinin şifresinin çözülmesi yalnızca gerektiğinde ve yerel kurulum veya ekipmanla bağlantılı olarak gerçekleştirilir. Veriler, anahtarı dosya sisteminde, TPM2 yongasında bulunabilen simetrik şifreleme algoritmaları veya bir kombinasyon şeması kullanılarak otomatik olarak şifrelenir. Hizmet başlatıldığında, kimlik bilgilerinin şifresi otomatik olarak çözülür ve hizmet tarafından normal biçimde kullanılabilir hale gelir. Şifrelenmiş kimlik bilgileriyle çalışmak için 'systemd-creds' yardımcı programı eklendi ve hizmetler için LoadCredentialEncrypted ve SetCredentialEncrypted ayarları önerildi.
  • EFI belleniminin Linux çekirdeğini yüklemesine olanak tanıyan EFI çalıştırılabilir dosyası sd-stub, artık çekirdeğin LINUX_EFI_INITRD_MEDIA_GUID EFI protokolünü kullanarak başlatılmasını destekliyor. Ayrıca sd-stub'a, kimlik bilgilerini ve sysext dosyalarını bir cpio arşivinde paketleme ve bu arşivi initrd ile birlikte çekirdeğe aktarma yeteneği de eklenmiştir (ek dosyalar /.extra/ dizinine yerleştirilir). Bu özellik, sysexts ve şifrelenmiş kimlik doğrulama verileriyle tamamlanan, doğrulanabilir, değişmez bir initrd ortamı kullanmanıza olanak tanır.
  • Keşfedilebilir Bölümler özelliği, GPT (GUID Bölüm Tabloları) kullanılarak sistem bölümlerini tanımlamaya, bağlamaya ve etkinleştirmeye yönelik araçlar sağlayacak şekilde önemli ölçüde genişletildi. Önceki sürümlerle karşılaştırıldığında, spesifikasyon artık UEFI kullanmayan platformlar da dahil olmak üzere çoğu mimari için kök bölümü ve /usr bölümünü desteklemektedir.

    Keşfedilebilir Bölümler ayrıca bütünlüğü PKCS#7 dijital imzaları kullanılarak dm-verity modülü tarafından doğrulanan bölümler için destek ekleyerek tamamen kimliği doğrulanmış disk görüntüleri oluşturmayı kolaylaştırır. Doğrulama desteği, systemd-nspawn, systemd-sysext, systemd-dissect, RootImage hizmetleri, systemd-tmpfiles ve systemd-sysers dahil olmak üzere disk görüntülerini işleyen çeşitli yardımcı programlara entegre edilmiştir.

  • Başlatılması veya durdurulması uzun süren üniteler için, animasyonlu bir ilerleme çubuğu görüntülemenin yanı sıra, hizmette o anda tam olarak ne olduğunu ve sistem yöneticisinin hangi hizmette olduğunu anlamanıza olanak tanıyan durum bilgilerinin görüntülenmesi de mümkündür. şu anda tamamlanması bekleniyor.
  • /etc/systemd/system.conf ve /etc/systemd/user.conf dosyasına DefaultOOMScoreAdjust parametresi eklendi; bu, sistem ve kullanıcılar için systemd'nin başlattığı işlemler için geçerli olan düşük bellek için OOM-killer eşiğini ayarlamanıza olanak tanır. Varsayılan olarak sistem hizmetlerinin ağırlığı kullanıcı hizmetlerinden daha yüksektir; Bellek yetersiz olduğunda, kullanıcı hizmetlerinin sonlandırılma olasılığı sistem hizmetlerinden daha yüksektir.
  • Hizmetlerin belirli dosya sistemi türlerine erişimini kısıtlamanıza olanak tanıyan RestrictFileSystems ayarı eklendi. Mevcut dosya sistemi türlerini görüntülemek için “systemd-analyze filesystems” komutunu kullanabilirsiniz. Benzer şekilde, belirli ağ arayüzlerine erişimi kısıtlamanıza olanak tanıyan RestrictNetworkInterfaces seçeneği uygulanmıştır. Uygulama, bir grup işlemin çekirdek nesnelerine erişimini kısıtlayan BPF LSM modülünü temel alır.
  • Yeni bir /etc/integritytab yapılandırma dosyası ve systemd-integritysetup yardımcı programı eklendi; bu yardımcı program, dm-integrity modülünü, örneğin şifrelenmiş verilerin değişmezliğini garanti etmek için sektör düzeyinde veri bütünlüğünü kontrol edecek şekilde yapılandırır (Kimlik Doğrulamalı Şifreleme, bir veri bloğunun dolambaçlı bir şekilde değiştirilmemiştir). /etc/integritytab dosyasının formatı, /etc/crypttab ve /etc/veritytab dosyalarına benzer, ancak dm-crypt ve dm-verity yerine dm-integrity kullanılır.
  • Yeni bir birim dosyası systemd-boot-update.service eklendi, etkinleştirildiğinde ve sd-boot önyükleyici kurulduğunda, systemd otomatik olarak sd-boot önyükleyicinin sürümünü güncelleyerek önyükleyici kodunu her zaman güncel tutacaktır. sd-boot'un kendisi artık varsayılan olarak UEFI Güvenli Önyükleme için sertifika iptaliyle ilgili sorunları çözen SBAT (UEFI Güvenli Önyükleme Gelişmiş Hedefleme) mekanizması desteğiyle oluşturulmuştur. Ayrıca sd-boot, Windows ile önyükleme bölümlerinin adlarını doğru bir şekilde oluşturmak ve Windows sürümünü görüntülemek için Microsoft Windows önyükleme ayarlarını ayrıştırma yeteneği sağlar.

    sd-boot ayrıca derleme sırasında bir renk şeması tanımlama olanağı da sağlar. Önyükleme işlemi sırasında “r” tuşuna basılarak ekran çözünürlüğünün değiştirilmesi desteği eklendi. Ürün yazılımı yapılandırma arayüzüne gitmek için "f" kısayol tuşu eklendi. Son önyükleme sırasında seçilen menü öğesine karşılık gelen sistemi otomatik olarak önyüklemek için bir mod eklendi. ESP (EFI Sistem Bölümü) bölümünde /EFI/systemd/drivers/ dizininde bulunan EFI sürücülerini otomatik olarak yükleme özelliği eklendi.

  • Systemd-logind'de yeniden başlatma, kapatma, askıya alma ve hazırda bekletme işlemlerine benzer şekilde işlenen ve fabrika ayarlarına sıfırlama gerçekleştirmek için işleyiciler oluşturmak için kullanılan yeni bir fabrika-reset.target birim dosyası bulunur.
  • Systemd tarafından çözümlenen süreç artık 127.0.0.54'e ek olarak 127.0.0.53'te ek bir dinleme soketi oluşturuyor. 127.0.0.54 adresine gelen istekler her zaman bir yukarı akış DNS sunucusuna yönlendirilir ve yerel olarak işlenmez.
  • Libgcrypt yerine OpenSSL kitaplığıyla systemd-importd ve systemd-resolved oluşturma yeteneği sağlandı.
  • Loongson işlemcilerinde kullanılan LoongArch mimarisi için başlangıç ​​desteği eklendi.
  • systemd-gpt-auto-generator, LUKS2 alt sistemi tarafından şifrelenen sistem tanımlı takas bölümlerini otomatik olarak yapılandırma yeteneği sağlar.
  • Systemd-nspawn, systemd-dissect ve benzeri yardımcı programlarda kullanılan GPT görüntü ayrıştırma kodu, diğer mimariler için görüntülerin kodunu çözme yeteneğini uygulayarak systemd-nspawn'ın görüntüleri diğer mimarilerin emülatörlerinde çalıştırmak için kullanılmasına olanak tanır.
  • Disk görüntülerini incelerken, systemd-dissect artık UEFI aracılığıyla önyükleme yapmaya veya bir kapta çalıştırmaya uygunluk gibi bölümün amacı hakkındaki bilgileri görüntülüyor.
  • system-extension.d/ dosyalarına "SYSEXT_SCOPE" alanı eklendi ve sistem görüntüsünün kapsamını "initrd", "system" veya "portable" olarak belirtmenize olanak tanıdı.
  • Desteklenen birim dosya öneklerini belirlemek için taşınabilir görüntülerde kullanılabilecek os-release dosyasına bir "PORTABLE_PREFIXES" alanı eklenmiştir.
  • systemd-logind, belirli tuşlar 5 saniyeden uzun süre basılı tutulduğunda ne olacağını belirlemek için kullanılabilen yeni HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress ve HandleHibernateKeyLongPress ayarlarını sunar (örneğin, Askıya Al tuşuna hızlı bir şekilde basmak, bekleme moduna girecek şekilde yapılandırılabilir) ve basılı tutulduğunda uykuya geçecektir).
  • Birimler için, Startup öneki olmayan benzer ayarlardan farklı olan StartupAllowedCPUs ve StartupAllowedMemoryNodes ayarları uygulanır, çünkü bunlar yalnızca önyükleme ve kapatma aşamasında uygulanır ve bu, önyükleme sırasında diğer kaynak kısıtlamalarını ayarlamanıza olanak tanır.
  • PSI mekanizmasının sistemdeki bellek, CPU ve G/Ç üzerinde ağır bir yük tespit etmesi durumunda ünite aktivasyonunun atlanmasına veya başarısız olmasına izin veren [Koşul|Onay|Bellek|CPU|IO]Basınç kontrolleri eklendi.
  • Varsayılan maksimum inode sınırı, /dev bölümü için 64k'den 1M'ye ve /tmp bölümü için 400k'den 1M'ye yükseltildi.
  • Hizmetler için bir ExecSearchPath ayarı önerilmiştir; bu, ExecStart gibi ayarlar aracılığıyla başlatılan yürütülebilir dosyaların aranma yolunun değiştirilmesini mümkün kılar.
  • Bir birimin yürütme süresini sınırlayan RuntimeMaxSec zaman aşımına rastgele sapmalar eklemenizi sağlayan RuntimeRandomizedExtraSec ayarı eklendi.
  • RuntimeDirectory, StateDirectory, CacheDirectory ve LogsDirectory ayarlarının sözdizimi genişletildi; burada iki nokta üst üste işaretiyle ayrılmış ek bir değer belirterek, artık çeşitli yollar boyunca erişimi düzenlemek için belirli bir dizine sembolik bir bağlantı oluşturulmasını düzenleyebilirsiniz.
  • Servisler için, TTY cihazındaki satır ve sütun sayısını ayarlamak için TTYRows ve TTYColumns ayarları sunulmaktadır.
  • Bir hizmetin sonunu belirleme mantığını değiştirmenize olanak tanıyan ExitType ayarı eklendi. Varsayılan olarak, systemd yalnızca ana işlemin ölümünü izler, ancak ExitType=cgroup ayarlandıysa sistem yöneticisi cgroup'taki son işlemin tamamlanmasını bekleyecektir.
  • systemd-cryptsetup'ın TPM2/FIDO2/PKCS11 desteği uygulaması artık bir cryptsetup eklentisi olarak oluşturuldu ve şifrelenmiş bir bölümün kilidini açmak için normal cryptsetup komutunun kullanılmasına olanak tanıyor.
  • systemd-cryptsetup/systemd-cryptsetup'taki TPM2 işleyicisi, ECC olmayan yongalarla uyumluluğu geliştirmek için ECC anahtarlarına ek olarak RSA birincil anahtarları için destek ekler.
  • /etc/crypttab dosyasına token-timeout seçeneği eklendi; bu, PKCS#11/FIDO2 token bağlantısı için beklenecek maksimum süreyi tanımlamanıza olanak tanır, ardından bir şifre veya kurtarma anahtarı girmeniz istenecektir.
  • systemd-timesyncd, örneğin RTC'si olmayan sistemlerde monoton bir saat uygulamak için geçerli sistem saatini periyodik olarak diske kaydetmenize olanak tanıyan SaveIntervalSec ayarını uygular.
  • Systemd-analyze yardımcı programına seçenekler eklendi: belirli bir görüntü veya kök dizin içindeki birim dosyalarını kontrol etmek için “--image” ve “--root”, bir hata oluştuğunda bağımlı birimleri hesaba katmak için “--recursive-errors” algılandığında, diske kaydedilen ayrı birim dosyalarını kontrol etmek için "--offline", JSON biçiminde çıktı için "—json", önemsiz mesajları devre dışı bırakmak için "-quiet", taşınabilir bir profile bağlanmak için "-profile". Ayrıca, ELF formatındaki çekirdek dosyaları ayrıştırmak için inspect-elf komutu ve bu adın dosya adıyla eşleşip eşleşmediğine bakılmaksızın, belirli bir birim adına sahip birim dosyalarını kontrol etme yeteneği de eklendi.
  • systemd-networkd, Denetleyici Alan Ağı (CAN) veri yolu desteğini genişletti. CAN modlarını kontrol etmek için ayarlar eklendi: Loopback, OneShot, PresumeAck ve ClassicDataLengthCode. CAN arayüzünün bit senkronizasyonunu kontrol etmek için .network dosyalarının [CAN] bölümüne TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 ve DataSyncJumpWidth seçenekleri eklendi.
  • Systemd-networkd, DHCPv4 istemcisi için IPv4 adreslerini yapılandırırken kullanılan adres etiketini yapılandırmanıza olanak tanıyan bir Etiket seçeneği ekledi.
  • "Ethtool" için systemd-udevd, arabellek boyutunu donanım tarafından desteklenen maksimum değere ayarlayan özel "max" değerleri için destek uygular.
  • systemd-udevd için .link dosyalarında artık ağ bağdaştırıcılarını birleştirmek ve donanım işleyicilerini bağlamak (boşaltma) için çeşitli parametreleri yapılandırabilirsiniz.
  • systemd-networkd, varsayılan olarak yeni .network dosyaları sunar: systemd-nspawn'ı “--network-bridge” veya “--network-zone” seçenekleriyle çalıştırırken oluşturulan ağ köprülerini tanımlamak için 80-container-vb.network; 80-6rd-tunnel.network, 6RD seçeneğiyle bir DHCP yanıtı alındığında otomatik olarak oluşturulan tünelleri tanımlamak için kullanılır.
  • Systemd-networkd ve systemd-udevd, InfiniBand arayüzleri üzerinden IP iletme desteği ekledi; bunun için systemd.netdev dosyalarına "[IPoIB]" bölümü eklendi ve Kind'te "ipoib" değerinin işlenmesi uygulandı. ayar.
  • systemd-networkd, [WireGuard] ve [WireGuardPeer] bölümlerindeki RouteTable ve RouteMetric parametreleri aracılığıyla yapılandırılabilen AllowedIPs parametresinde belirtilen adresler için otomatik rota yapılandırması sağlar.
  • systemd-networkd, batadv ve köprü arayüzleri için değişmeyen MAC adreslerinin otomatik olarak oluşturulmasını sağlar. Bu davranışı devre dışı bırakmak için .netdev dosyalarında MACAddress=none seçeneğini belirleyebilirsiniz.
  • WoL “SecureOn” modunda çalışırken şifreyi belirlemek için “[Link]” bölümündeki .link dosyalarına WakeOnLanPassword ayarı eklendi.
  • CAKE (Ortak Uygulamalar Kept Geliştirilmiş) ağ kuyruğu yönetim mekanizmasının parametrelerini tanımlamak için .network dosyalarının "[CAKE]" bölümüne AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO ve UseRawPacketSize ayarları eklendi .
  • .network dosyalarının "[Ağ]" bölümüne bir IgnoreCarrierLoss ayarı eklendi; böylece taşıyıcı sinyal kaybına tepki vermeden önce ne kadar süre bekleyeceğinizi belirlemenize olanak sağlandı.
  • Systemd-nspawn, homectl, machinectl ve systemd-run "--setenv" parametresinin sözdizimini genişletmiştir - yalnızca değişken adı belirtilirse ("=" olmadan), değer karşılık gelen ortam değişkeninden alınacaktır (için) örneğin, "--setenv=FOO" belirtilirken değer $FOO ortam değişkeninden alınacak ve kapta ayarlanan aynı adı taşıyan ortam değişkeninde kullanılacaktır).
  • systemd-nspawn, bir kapsayıcı oluştururken senkronizasyon()/fsync()/fdatasync() sistem çağrılarını devre dışı bırakmak için bir "--suppress-sync" seçeneği ekledi (hız bir öncelik olduğunda ve arıza durumunda derleme yapıtlarının korunması önemli olmadığında kullanışlıdır) istenildiği zaman yeniden oluşturulabilecekleri için önemlidir).
  • Çeşitli sinyal analizörlerini (multimetreler, protokol analizörleri, osiloskoplar vb.) içeren yeni bir hwdb veritabanı eklendi. Hwdb'deki kameralarla ilgili bilgiler, kamera türü (normal veya kızılötesi) ve lens yerleşimi (ön veya arka) hakkında bilgilerin yer aldığı bir alanla genişletildi.
  • Xen'de kullanılan netfront cihazları için değişmeyen ağ arayüzü adlarının oluşturulması etkinleştirildi.
  • Çekirdek dosyaların libdw/libelf kitaplıklarına dayalı systemd-coredump yardımcı programı tarafından analizi artık korumalı alan ortamında izole edilmiş ayrı bir işlemde gerçekleştiriliyor.
  • systemd-importd, Btrfs alt bölümlerinin oluşturulmasını devre dışı bırakmanın yanı sıra kotaları ve disk senkronizasyonunu yapılandırabileceğiniz $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC ortam değişkenleri için destek ekledi.
  • Systemd-journald'da, yazarken kopyala modunu destekleyen dosya sistemlerinde, arşivlenen dergiler için COW modu yeniden etkinleştirilerek bunların Btrfs kullanılarak sıkıştırılmasına olanak sağlanır.
  • systemd-journald, mesajın günlüğe yerleştirilmesinden önceki aşamada gerçekleştirilen, tek bir mesajdaki aynı alanların tekilleştirilmesini gerçekleştirir.
  • Zamanlanmış kapatmayı görüntülemek için kapatma komutuna "--show" seçeneği eklendi.

Kaynak: opennet.ru

Yorum ekle