ProHoster > Blog > internet yangiliklari > systemd tizim menejeri versiyasi 250

systemd tizim menejeri versiyasi 250

Besh oylik ishlab chiqishdan so'ng, tizim menejerining 250 versiyasi taqdim etildi. Yangi versiyada hisob ma'lumotlarini shifrlangan shaklda saqlash, raqamli imzo yordamida avtomatik ravishda aniqlangan GPT bo'limlarini tekshirish amalga oshirildi, kechikishlar sabablari to'g'risidagi ma'lumotlar yaxshilandi. xizmatlarni ishga tushirish va ma'lum fayl tizimlari va tarmoq interfeyslariga xizmat ko'rsatishni cheklash uchun qo'shilgan variantlar, dm-integrity moduli yordamida bo'limlar yaxlitligini monitoringini qo'llab-quvvatlash ta'minlanadi va sd-yuklashning avtomatik yangilanishi qo'shiladi.

Asosiy o'zgarishlar:

  • SSL kalitlari va kirish parollari kabi nozik materiallarni xavfsiz saqlash uchun foydali bo'lishi mumkin bo'lgan shifrlangan va autentifikatsiya qilingan hisob ma'lumotlarini qo'llab-quvvatlash qo'shildi. Hisob ma'lumotlarini dekodlash faqat kerak bo'lganda va mahalliy o'rnatish yoki uskunalar bilan bog'liq holda amalga oshiriladi. Ma'lumotlar nosimmetrik shifrlash algoritmlari yordamida avtomatik ravishda shifrlanadi, ularning kaliti fayl tizimida, TPM2 chipida yoki kombinatsiyalangan sxemada joylashgan bo'lishi mumkin. Xizmat ishga tushganda, hisob ma'lumotlari avtomatik ravishda shifrdan chiqariladi va xizmat uchun odatiy shaklda mavjud bo'ladi. Shifrlangan hisob ma'lumotlari bilan ishlash uchun "systemd-creds" yordam dasturi qo'shildi va xizmatlar uchun LoadCredentialEncrypted va SetCredentialEncrypted sozlamalari taklif qilindi.
  • sd-stub, EFI mikrodasturiga Linux yadrosini yuklash imkonini beruvchi EFI bajariladigan fayl, endi LINUX_EFI_INITRD_MEDIA_GUID EFI protokoli yordamida yadroni yuklashni qo'llab-quvvatlaydi. Shuningdek, sd-stub-ga hisob ma'lumotlari va tizimli fayllarni cpio arxiviga to'plash va bu arxivni initrd bilan birga yadroga o'tkazish imkoniyati ham qo'shilgan (qo'shimcha fayllar /.extra/ katalogiga joylashtirilgan). Bu xususiyat tizim matnlari va shifrlangan autentifikatsiya ma'lumotlari bilan to'ldirilgan tekshiriladigan o'zgarmas initrd muhitidan foydalanish imkonini beradi.
  • Discoverable Partitions spetsifikatsiyasi sezilarli darajada kengaytirildi, bu GPT (GUID Partition Tables) yordamida tizim bo'limlarini aniqlash, o'rnatish va faollashtirish vositalarini taqdim etdi. Oldingi versiyalar bilan solishtirganda, spetsifikatsiya endi ko'pgina arxitekturalar, shu jumladan UEFI-dan foydalanmaydigan platformalar uchun ildiz bo'limi va /usr bo'limini qo'llab-quvvatlaydi.

    Discoverable Partitions, shuningdek, PKCS#7 raqamli imzolari yordamida yaxlitligi dm-verity moduli tomonidan tekshiriladigan bo'limlarni qo'llab-quvvatlaydi, bu esa to'liq autentifikatsiya qilingan disk tasvirlarini yaratishni osonlashtiradi. Tekshiruvni qo'llab-quvvatlash tizimid-nspawn, systemd-sysext, systemd-dissect, RootImage xizmatlari, systemd-tmpfiles va systemd-sysusers kabi diskdagi tasvirlarni boshqaradigan turli yordamchi dasturlarga birlashtirilgan.

  • Ishga tushirish yoki to'xtatish uchun uzoq vaqt talab qilinadigan birliklar uchun animatsion harakat panelini ko'rsatishdan tashqari, hozirgi vaqtda xizmat bilan nima sodir bo'layotganini va tizim menejeri qaysi xizmat ekanligini tushunishga imkon beruvchi holat ma'lumotlarini ko'rsatish mumkin. hozir tugashini kutmoqda.
  • /etc/systemd/system.conf va /etc/systemd/user.conf ga DefaultOOMScoreAdjust parametri qo'shildi, bu sizga tizim va foydalanuvchilar uchun tizim ishga tushiradigan jarayonlarga tegishli bo'lgan kam xotira uchun OOM qotil chegarasini sozlash imkonini beradi. Odatiy bo'lib, tizim xizmatlarining og'irligi foydalanuvchi xizmatlaridan yuqori, ya'ni. Xotira etarli bo'lmaganda, foydalanuvchi xizmatlarini tugatish ehtimoli tizim xizmatlaridan yuqori bo'ladi.
  • Xizmatlarning ma'lum turdagi fayl tizimlariga kirishini cheklash imkonini beruvchi RestrictFileSystems sozlamasi qo'shildi. Mavjud fayl tizimlari turlarini ko'rish uchun siz "Systemd-analyze file system" buyrug'idan foydalanishingiz mumkin. Analogiya bo'yicha RestrictNetworkInterfaces opsiyasi amalga oshirildi, bu sizga ma'lum tarmoq interfeyslariga kirishni cheklash imkonini beradi. Amalga oshirish BPF LSM moduliga asoslangan bo'lib, u jarayonlar guruhining yadro ob'ektlariga kirishini cheklaydi.
  • Yangi /etc/integritytab konfiguratsiya fayli va systemd-integritysetup yordam dasturi qo'shildi, ular sektor darajasida ma'lumotlar yaxlitligini nazorat qilish uchun dm-integrity modulini sozlaydi, masalan, shifrlangan ma'lumotlarning o'zgarmasligini kafolatlaydi (Authenticated Encryption, ma'lumotlar blokining mavjudligini ta'minlaydi). aylanma tarzda o'zgartirilmagan). /etc/integritytab faylining formati /etc/crypttab va /etc/veritytab fayllariga o'xshaydi, bundan tashqari dm-crypt va dm-verity o'rniga dm-integrity ishlatiladi.
  • Yangi birlik fayl systemd-boot-update.service qo'shildi, faollashtirilganda va sd-boot bootloader o'rnatilganda, systemd avtomatik ravishda SD-boot yuklash moslamasining versiyasini yangilaydi va bootloader kodini doimo yangilab turadi. sd-bootning o'zi endi sukut bo'yicha SBAT (UEFI Secure Boot Advanced Targeting) mexanizmini qo'llab-quvvatlash bilan qurilgan bo'lib, u UEFI Secure Boot uchun sertifikatni bekor qilish bilan bog'liq muammolarni hal qiladi. Bundan tashqari, sd-boot Windows bilan yuklash bo'limlarining nomlarini to'g'ri yaratish va Windows versiyasini ko'rsatish uchun Microsoft Windows yuklash sozlamalarini tahlil qilish imkoniyatini beradi.

    sd-boot, shuningdek, qurish vaqtida rang sxemasini aniqlash imkoniyatini beradi. Yuklash jarayonida "r" tugmachasini bosib ekran o'lchamlarini o'zgartirish uchun qo'shimcha yordam qo'shildi. Mikrodastur konfiguratsiya interfeysiga o'tish uchun "f" tezkor tugmasi qo'shildi. Oxirgi yuklash paytida tanlangan menyu bandiga mos keladigan tizimni avtomatik ravishda yuklash rejimi qo'shildi. ESP (EFI System Partition) bo'limidagi /EFI/systemd/drivers/ katalogida joylashgan EFI drayverlarini avtomatik ravishda yuklash imkoniyati qo'shildi.

  • Factory-reset.target yangi birlik fayli kiritilgan bo'lib, u systemd-logind da qayta yuklash, o'chirish, to'xtatib turish va kutish operatsiyalariga o'xshash tarzda qayta ishlanadi va zavod sozlamalarini tiklash uchun ishlov beruvchilarni yaratish uchun ishlatiladi.
  • Systemd tomonidan hal qilingan jarayon endi 127.0.0.54 ga qo'shimcha ravishda 127.0.0.53 da qo'shimcha tinglash rozetkasini yaratadi. 127.0.0.54 raqamiga kelgan so'rovlar har doim yuqori oqim DNS serveriga yo'naltiriladi va mahalliy sifatida qayta ishlanmaydi.
  • Libgcrypt o'rniga OpenSSL kutubxonasi bilan systemd-importd va systemd-resolved yaratish imkoniyati taqdim etilgan.
  • Loongson protsessorlarida ishlatiladigan LoongArch arxitekturasi uchun dastlabki yordam qo'shildi.
  • systemd-gpt-auto-generator LUKS2 quyi tizimi tomonidan shifrlangan tizim tomonidan belgilangan almashtirish bo'limlarini avtomatik ravishda sozlash imkoniyatini beradi.
  • Systemd-nspawn, systemd-dissect va shunga o'xshash yordamchi dasturlarda qo'llaniladigan GPT tasvirni tahlil qilish kodi boshqa arxitekturalar uchun tasvirlarni dekodlash qobiliyatini amalga oshiradi, bu esa systemd-nspawn-dan boshqa arxitektura emulyatorlarida tasvirlarni ishlatish uchun foydalanish imkonini beradi.
  • Disk tasvirlarini tekshirganda, systemd-dissect endi bo'limning maqsadi haqidagi ma'lumotlarni ko'rsatadi, masalan, UEFI orqali yuklash yoki konteynerda ishlash uchun mosligi.
  • "SYSEXT_SCOPE" maydoni system-extension.d/ fayllariga qo'shildi, bu sizga tizim tasvirining ko'lamini - "initrd", "tizim" yoki "portativ" ko'rsatish imkonini beradi.
  • Os-release fayliga "PORTABLE_PREFIXES" maydoni qo'shildi, u portativ tasvirlarda qo'llab-quvvatlanadigan birlik fayli prefikslarini aniqlash uchun ishlatilishi mumkin.
  • systemd-logind yangi sozlamalarni taqdim etadi: HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress va HandleHibernateKeyLongPress, ulardan ba'zi tugmalar 5 soniyadan ko'proq ushlab turilganda nima sodir bo'lishini aniqlash uchun foydalanish mumkin (masalan, kutish rejimiga tezda o'tish uchun to'xtatib turish tugmachasini bosish mumkin). , va bosib ushlab turilsa, u uyquga ketadi).
  • Birliklar uchun StartupAllowedCPUs va StartupAllowedMemoryNodes sozlamalari amalga oshirildi, ular ishga tushirish prefiksisiz shunga o'xshash sozlamalardan farq qiladi, chunki ular faqat yuklash va o'chirish bosqichida qo'llaniladi, bu yuklash paytida boshqa manba cheklovlarini o'rnatish imkonini beradi.
  • [Condition|Assert][Memory|CPU|IO]PSI mexanizmi tizimdagi xotira, protsessor va I/U ga og‘ir yuklanishni aniqlasa, blokni faollashtirishni o‘tkazib yuborish yoki muvaffaqiyatsizlikka uchratish imkonini beruvchi bosim tekshiruvlari qo‘shildi.
  • Standart maksimal inode chegarasi /dev bo'limi uchun 64k dan 1M gacha va /tmp bo'limi uchun 400k dan 1M gacha oshirildi.
  • Xizmatlar uchun ExecSearchPath sozlamasi taklif qilingan, bu ExecStart kabi sozlamalar orqali ishga tushiriladigan bajariladigan fayllarni qidirish yo'lini o'zgartirish imkonini beradi.
  • RuntimeRandomizedExtraSec sozlamasi qo'shildi, bu sizga RuntimeMaxSec kutish vaqtiga tasodifiy og'ishlarni kiritish imkonini beradi, bu birlikning ishlash vaqtini cheklaydi.
  • RuntimeDirectory, StateDirectory, CacheDirectory va LogsDirectory sozlamalarining sintaksisi kengaytirildi, unda ikki nuqta bilan ajratilgan qo'shimcha qiymatni belgilash orqali siz bir nechta yo'llar bo'ylab kirishni tashkil qilish uchun berilgan katalogga ramziy havola yaratishni tashkil qilishingiz mumkin.
  • Xizmatlar uchun TTY qurilmasidagi qatorlar va ustunlar sonini belgilash uchun TTYRows va TTYColumns sozlamalari taklif etiladi.
  • Xizmatning tugashini aniqlash mantig'ini o'zgartirish imkonini beruvchi ExitType sozlamasi qo'shildi. Odatiy bo'lib, systemd faqat asosiy jarayonning o'limini kuzatadi, lekin ExitType=cgroup o'rnatilgan bo'lsa, tizim menejeri guruhdagi oxirgi jarayon tugashini kutadi.
  • systemd-cryptsetup-ning TPM2/FIDO2/PKCS11-ni qo'llab-quvvatlashi endi shifrlangan bo'limni qulfdan chiqarish uchun oddiy kriptosetup buyrug'idan foydalanishga imkon beruvchi kriptosetup plagini sifatida yaratilgan.
  • Systemd-cryptsetup/systemd-cryptsetup-dagi TPM2 ishlov beruvchisi ECC bo'lmagan chiplar bilan moslikni yaxshilash uchun ECC kalitlariga qo'shimcha ravishda RSA asosiy kalitlarini qo'llab-quvvatlaydi.
  • PKCS#11/FIDO2 token ulanishini kutish uchun maksimal vaqtni belgilash imkonini beruvchi /etc/crypttab-ga token-timeout opsiyasi qo'shildi, shundan so'ng sizdan parol yoki tiklash kalitini kiritish so'raladi.
  • systemd-timesyncd SaveIntervalSec sozlamasini amalga oshiradi, bu sizga joriy tizim vaqtini vaqti-vaqti bilan diskka saqlashga imkon beradi, masalan, RTCsiz tizimlarda monotonik soatni amalga oshirish.
  • Systemd-analyze yordam dasturiga opsiyalar qo'shildi: berilgan rasm yoki ildiz katalogidagi birlik fayllarini tekshirish uchun "--image" va "--root", xatolik yuz berganda bog'liq birliklarni hisobga olish uchun "--recursive-errors". aniqlangan, diskda saqlangan alohida birlik fayllarini tekshirish uchun “--oflayn”, JSON formatida chiqarish uchun “-json”, ahamiyatsiz xabarlarni o‘chirish uchun “-sokin”, portativ profilga bog‘lash uchun “-profil”. Shuningdek, ELF formatidagi asosiy fayllarni tahlil qilish uchun inspect-elf buyrug'i va ushbu nom fayl nomiga mos kelishidan qat'i nazar, berilgan birlik nomi bilan birlik fayllarini tekshirish imkoniyati qo'shilgan.
  • systemd-networkd Controller Area Network (CAN) avtobusini qo'llab-quvvatlashni kengaytirdi. JON rejimlarini boshqarish uchun qo'shilgan sozlamalar: Loopback, OneShot, PresumeAck va ClassicDataLengthCode. Sinxronizatsiya bo'limiga TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 va DataSyncJump.Sinxronizatsiya bo'limiga [W.C.N CAN interfeysi.
  • Systemd-networkd DHCPv4 mijozi uchun Yorliq parametrini qo'shdi, bu sizga IPv4 manzillarini sozlashda foydalaniladigan manzil yorlig'ini sozlash imkonini beradi.
  • "ethtool" uchun systemd-udevd bufer hajmini apparat tomonidan qo'llab-quvvatlanadigan maksimal qiymatga o'rnatadigan maxsus "maksimal" qiymatlarni qo'llab-quvvatlaydi.
  • Systemd-udevd uchun .link fayllarida endi tarmoq adapterlarini birlashtirish va apparat ishlov beruvchilarini ulash (tushirish) uchun turli parametrlarni sozlashingiz mumkin.
  • systemd-networkd sukut bo'yicha yangi .tarmoq fayllarini taklif qiladi: 80-container-vb.network "--network-bridge" yoki "--network-zone" opsiyalari bilan systemd-nspawn ishga tushganda yaratilgan tarmoq ko'priklarini aniqlash; 80-6rd-tunnel.network 6RD opsiyasi bilan DHCP javobini qabul qilishda avtomatik ravishda yaratiladigan tunnellarni aniqlash uchun.
  • Systemd-networkd va systemd-udevd InfiniBand interfeyslari orqali IP-ni yo'naltirish uchun qo'shimcha qo'llab-quvvatladi, buning uchun "[IPoIB]" bo'limi systemd.netdev fayllariga qo'shildi va "ipoib" qiymatini qayta ishlash Kindda amalga oshirildi. sozlash.
  • systemd-networkd AllowedIPs parametrida ko'rsatilgan manzillar uchun avtomatik marshrut konfiguratsiyasini ta'minlaydi, uni [WireGuard] va [WireGuardPeer] bo'limlaridagi RouteTable va RouteMetric parametrlari orqali sozlash mumkin.
  • systemd-networkd batadv va ko'prik interfeyslari uchun o'zgarmas MAC manzillarini avtomatik yaratishni ta'minlaydi. Ushbu xatti-harakatni o'chirish uchun .netdev fayllarida MACAddress=none ni belgilashingiz mumkin.
  • WoL “SecureOn” rejimida ishlayotganida parolni aniqlash uchun “[Link]” bo‘limidagi .link fayllariga WakeOnLanPassword sozlamasi qo‘shildi.
  • CAKE (Umumiy ilovalarni boshqarish mexanizmi) parametrlarini aniqlash uchun .tarmoq fayllarining “[CAKE]” boʻlimiga AutoRateIngress, CompensationMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO va UseRawPacketSize sozlamalari qoʻshildi. .
  • .tarmoq fayllarining “[Tarmoq]” boʻlimiga IgnoreCarrierLoss sozlamasi qoʻshildi, bu sizga operator signalining yoʻqolishiga reaksiyaga kirishishdan oldin qancha vaqt kutish kerakligini aniqlash imkonini beradi.
  • Systemd-nspawn, homectl, machinectl va systemd-run "--setenv" parametrining sintaksisini kengaytirdi - agar faqat o'zgaruvchi nomi ko'rsatilgan bo'lsa ("="siz), qiymat mos keladigan muhit o'zgaruvchisidan olinadi (uchun). Masalan, "--setenv=FOO" ni belgilashda qiymat $FOO muhit o'zgaruvchisidan olinadi va konteynerda o'rnatilgan bir xil nomdagi muhit o'zgaruvchisida ishlatiladi).
  • systemd-nspawn konteyner yaratishda sync()/fsync()/fdatasync() tizim qoʻngʻiroqlarini oʻchirish uchun “--suppress-sync” opsiyasini qoʻshdi (tezlik ustuvor boʻlganida va ishlamay qolganda qurilish artefaktlarini saqlab qolishda foydalidir) muhim, chunki ular istalgan vaqtda qayta yaratilishi mumkin).
  • Har xil turdagi signal analizatorlarini (multimetrlar, protokol analizatorlari, osiloskoplar va boshqalar) o'z ichiga olgan yangi hwdb ma'lumotlar bazasi qo'shildi. Hwdb-dagi kameralar haqidagi ma'lumotlar kamera turi (oddiy yoki infraqizil) va ob'ektiv joylashuvi (old yoki orqa) haqidagi ma'lumotlarga ega bo'lgan maydon bilan kengaytirildi.
  • Xen’da ishlatiladigan netfront qurilmalari uchun o‘zgarmas tarmoq interfeysi nomlarini yaratish yoqilgan.
  • Libdw/libelf kutubxonalariga asoslangan systemd-coredump yordam dasturi tomonidan yadro fayllarini tahlil qilish endi sinov muhitida izolyatsiya qilingan alohida jarayonda amalga oshiriladi.
  • systemd-importd $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC muhit o'zgaruvchilari uchun qo'shimcha qo'llab-quvvatladi, ular yordamida siz Btrfs bo'limlarini yaratishni o'chirib qo'yishingiz, shuningdek, kvotalar va disk sinxronizatsiyasini sozlashingiz mumkin.
  • Systemd-journald-da, yozishda nusxa ko'chirish rejimini qo'llab-quvvatlaydigan fayl tizimlarida arxivlangan jurnallar uchun COW rejimi qayta yoqiladi, bu ularni Btrfs yordamida siqish imkonini beradi.
  • systemd-journald bitta xabarda bir xil maydonlarni deuplikatsiya qilishni amalga oshiradi, bu xabarni jurnalga joylashtirishdan oldingi bosqichda amalga oshiriladi.
  • Rejalashtirilgan o'chirishni ko'rsatish uchun o'chirish buyrug'iga "--show" opsiyasi qo'shildi.

Manba: opennet.ru

a Izoh qo'shish