ProHoster > Blog > internet yangiliklari > systemd tizim menejeri versiyasi 246

systemd tizim menejeri versiyasi 246

Besh oylik rivojlanishdan keyin taqdim etildi tizim menejeri versiyasi 246. Yangi versiya muzlatish birliklarini qo'llab-quvvatlashni, raqamli imzo yordamida ildiz disk tasvirini tekshirish qobiliyatini, ZSTD algoritmidan foydalangan holda jurnalni siqish va yadro dumplarini qo'llab-quvvatlashni, FIDO2 tokenlari yordamida portativ uy kataloglarini ochish qobiliyatini, Microsoft BitLocker-ni blokdan chiqarishni qo'llab-quvvatlashni o'z ichiga oladi. /etc/ crypttab orqali bo'limlar o'zgartirilsa, Qora ro'yxat DenyList deb o'zgartirildi.

asosiy o'zgartirish:

  • V2 guruhlari asosida muzlatish kamerasi resurs boshqaruvchisi uchun qoʻshimcha qoʻllab-quvvatlash qoʻshildi, uning yordamida siz jarayonlarni toʻxtatishingiz va boshqa vazifalarni bajarish uchun baʼzi resurslarni (CPU, kiritish/chiqarish va hatto potentsial xotira) vaqtincha boʻshatishingiz mumkin. Birliklarni muzlatish va muzdan tushirish yangi "systemctl freeze" buyrug'i yoki D-Bus orqali boshqariladi.
  • Raqamli imzo yordamida ildiz disk tasvirini tekshirish uchun qo'shimcha yordam. Tekshirish xizmat birliklarida yangi sozlamalar yordamida amalga oshiriladi: RootHash (RootImage opsiyasi orqali ko'rsatilgan disk tasvirini tekshirish uchun ildiz hash) va RootHashSignature (ildiz xesh uchun PKCS#7 formatidagi raqamli imzo).
  • PID 1 ishlov beruvchisi dastlabki yuklash bosqichida oldindan kompilyatsiya qilingan AppArmor qoidalarini (/etc/apparmor/earlypolicy) avtomatik yuklash qobiliyatini amalga oshiradi.
  • Yangi birlik fayli sozlamalari qo'shildi: ConditionPathIsEncrypted va AssertPathIsEncrypted shifrlashdan (dm-crypt/LUKS) foydalanadigan blok qurilmada belgilangan yo'lning joylashishini tekshirish uchun, ConditionEnvironment va AssertEnvironment muhit o'zgaruvchilarini (masalan, PAM yoki tomonidan o'rnatilganlar) tekshirish uchun. konteynerlarni o'rnatishda).
  • *.mount birliklari uchun ReadWriteOnly sozlamasi amalga oshirildi, agar bo'limni o'qish va yozish uchun o'rnatish imkoni bo'lmasa, faqat o'qish rejimiga o'rnatishni taqiqlaydi. /etc/fstab-da bu rejim “x-systemd.rw-only” opsiyasi yordamida sozlangan.
  • *.socket birliklari uchun yadroga rozetkadan o'qilgan har bir paket uchun qo'shimcha metadata qo'shish imkonini beruvchi PassPacketInfo sozlamasi qo'shildi (rozetka uchun IP_PKTINFO, IPV6_RECVPKTINFO va NETLINK_PKTINFO rejimlarini yoqadi).
  • Xizmatlar uchun (*.xizmat birliklari) CoredumpFilter sozlamalari taklif etiladi (asosiy dumplarga kiritilishi kerak bo'lgan xotira bo'limlarini belgilaydi) va
    TimeoutStartFailureMode/TimeoutStopFailureMode (xizmatni ishga tushirish yoki to'xtatganda vaqt tugashi sodir bo'lganda harakatni (SIGTERM, SIGABRT yoki SIGKILL) belgilaydi).

  • Aksariyat variantlar endi "0x" prefiksi yordamida belgilangan o'n oltilik qiymatlarni qo'llab-quvvatlaydi.
  • Kalitlar yoki sertifikatlarni sozlash bilan bog'liq turli xil buyruq qatori parametrlari va konfiguratsiya fayllarida, agar shifrlanmagan diskda sertifikatlarni joylashtirish istalmagan bo'lsa, IPC xizmatlariga qo'ng'iroqlar orqali kalitlar va sertifikatlarni o'tkazish uchun unix soketlariga (AF_UNIX) yo'lni belgilash mumkin. saqlash.
  • Birliklar, tmpfiles.d/, sysusers.d/ va boshqa konfiguratsiya fayllarida ishlatilishi mumkin bo'lgan oltita yangi spetsifikatsiya uchun qo'shimcha qo'llab-quvvatlash: joriy arxitekturani almashtirish uchun %a, maydonlarni quyidagi bilan almashtirish uchun %o/%w/%B/%W /etc/os-release identifikatorlari va qisqa xost nomini almashtirish uchun %l.
  • Birlik fayllari endi 6 yil oldin eskirgan ".include" sintaksisini qo'llab-quvvatlamaydi.
  • StandardError va StandardOutput sozlamalari endi "syslog" va "syslog-console" qiymatlarini qo'llab-quvvatlamaydi, ular avtomatik ravishda "jurnal" va "jurnal + konsol" ga aylantiriladi.
  • Avtomatik ravishda yaratilgan tmpfs-ga asoslangan ulanish nuqtalari (/tmp, /run, /dev/shm va boshqalar) uchun /tmp va /dev/ uchun operativ xotira hajmining 50% ga to'g'ri keladigan inode o'lchami va soni bo'yicha cheklovlar taqdim etiladi. shm va boshqalar uchun 10% RAM.
  • Yangi yadro buyruq qatori opsiyalari qo‘shildi: boshlang‘ich yuklash bosqichida xost nomini o‘rnatish uchun systemd.hostname, udev.blockdev_read_only jismoniy drayvlar bilan bog‘langan barcha bloklangan qurilmalarni faqat o‘qish rejimiga cheklash uchun (siz “blockdev --setrw” buyrug‘idan foydalanishingiz mumkin. tanlab bekor qilish), almashtirish bo'limining avtomatik faollashuvini o'chirish uchun systemd .swap, tizim soatini mikrosekundlarda o'rnatish uchun systemd.clock-usec, ConditionNeedsUpdate va ConditionFirstBootni bekor qilish uchun systemd.condition-needs-update va systemd.condition-first-boot. tekshiruvlar.
  • Odatiy bo'lib, sysctl fs.suid_dumpable 2 ga o'rnatiladi ("suidsafe"), bu suid bayrog'i bilan jarayonlar uchun asosiy dumplarni saqlash imkonini beradi.
  • /usr/lib/udev/hwdb.d/60-autosuspend.hwdb fayli avtomatik uyqu rejimini qo'llab-quvvatlaydigan PCI va USB qurilmalari haqidagi ma'lumotlarni o'z ichiga olgan ChromiumOS'dan apparat ma'lumotlar bazasiga olingan.
  • ManageForeignRoutes sozlamasi networkd.conf-ga qo'shildi, yoqilganda systemd-networkd boshqa yordamchi dasturlar tomonidan sozlangan barcha marshrutlarni boshqarishni boshlaydi.
  • SR-IOV (Single Root I/O Virtualization) ni qo‘llab-quvvatlaydigan tarmoq qurilmalarini sozlash uchun .tarmoq fayllariga “[SR-IOV]” bo‘limi qo‘shildi.
  • Systemd-networkd da IPv4AcceptLocal sozlamasi “[Tarmoq]” bo‘limiga mahalliy manba manzili bilan kelgan paketlarni tarmoq interfeysida qabul qilish imkonini berish uchun qo‘shilgan.
  • systemd-networkd [HierarchyTokenBucket] orqali HTB trafik ustuvorligi intizomlarini sozlash qobiliyatini qo'shdi va
    [HierarchyTokenBucketClass], [PFIFO] orqali "pfifo", [GenericRandomEarlyDetection] orqali "GRED", [StochasticFairBlue] orqali "SFB", "cake"
    [CAKE] orqali, "PIE" [PIE] orqali, "DRR" orqali [DeficitRoundRobinScheduler] va
    [DeficitRoundRobinSchedulerClass], [BFIFO] orqali "BFIFO",
    [PFIFOHeadDrop] orqali "PFIFOHeadDrop", [PFIFOFast] orqali "PFIFOFast", "HHF"
    [HeavyHitterFilter] orqali, [EnhancedTransmissionSelection] orqali "ETS",
    [QuickFairQueueing] va [QuickFairQueueingClass] orqali "QFQ".

  • Systemd-networkd da DHCP orqali olingan shlyuz ma'lumotlaridan foydalanishni o'chirish uchun [DHCPv4] bo'limiga UseGateway sozlamasi qo'shilgan.
  • Systemd-networkd, [DHCPv4] va [DHCPServer] bo'limlarida qo'shimcha sotuvchi opsiyalarini o'rnatish va qayta ishlash uchun SendVendorOption sozlamasi qo'shilgan.
  • systemd-networkd POP3, SMTP va LPR serverlari haqida ma'lumot qo'shish uchun [DHCPServer] bo'limida EmitPOP3/POP3, EmitSMTP/SMTP va EmitLPR/LPR opsiyalarining yangi to'plamini amalga oshiradi.
  • Systemd-networkd da, [Ko'prik] bo'limidagi .netdev fayllarida foydalanish uchun VLAN protokolini tanlash uchun VLANProtocol sozlamalari qo'shilgan.
  • systemd-networkd da, [Link] bo'limidagi .tarmoq fayllarida Guruh sozlamalari havolalar guruhini boshqarish uchun amalga oshiriladi.
  • Qora roʻyxat sozlamalari DenyList ga oʻzgartirildi (orqaga mos kelishi uchun eski nom bilan ishlash saqlanib qolgan).
  • Systemd-networkd IPv6 va DHCPv6 bilan bog'liq sozlamalarning katta qismini qo'shdi.
  • Barcha manzil ulanishlarini yangilashga majburlash uchun networkctl-ga "forcerenew" buyrug'i qo'shildi (lizing).
  • Systemd-resolved-da, DNS konfiguratsiyasida DNS-over-TLS sertifikatini tekshirish uchun port raqami va xost nomini belgilash mumkin bo'ldi. DNS-over-TLS ilovasi SNI tekshiruvini qo'llab-quvvatladi.
  • Systemd-resolved endi bitta yorliqli DNS nomlarini (bitta yorliqli, bitta xost nomidan) qayta yo'naltirishni sozlash imkoniyatiga ega.
  • systemd-journald jurnallardagi katta maydonlarni siqish uchun zstd algoritmidan foydalanishni qo'llab-quvvatlaydi. Jurnallarda qo'llaniladigan hash-jadvallarda to'qnashuvlardan himoya qilish bo'yicha ishlar olib borildi.
  • Jurnal xabarlarini ko'rsatishda hujjatlarga havolalar bilan bosiladigan URL manzillar jurnalga qo'shildi.
  • Systemd-journald ishga tushirish vaqtida audit yoqilganligini nazorat qilish uchun journald.conf ga Audit sozlamasi qo‘shildi.
  • Systemd-coredump endi zstd algoritmidan foydalangan holda yadro dumplarini siqish qobiliyatiga ega.
  • Yaratilgan bo'limga UUID belgilash uchun systemd-repart ga UUID sozlamasi qo'shildi.
  • Portativ uy kataloglarini boshqarishni ta'minlovchi systemd-homed xizmati FIDO2 tokenlari yordamida uy kataloglarini ochish imkoniyatini qo'shdi. LUKS bo'limini shifrlash backend seans tugashi bilan bo'sh fayl tizimi bloklarini avtomatik ravishda qaytarish uchun qo'shimcha qo'llab-quvvatladi. Tizimdagi /home bo'limi allaqachon shifrlanganligi aniqlansa, ma'lumotlarni ikki marta shifrlashdan qo'shimcha himoya.
  • /etc/crypttab-ga sozlamalar qo'shildi: kalitni ishlatganingizdan keyin o'chirish uchun "kalit faylini o'chirish" va foydalanuvchidan parol so'rashdan oldin bo'limni bo'sh parol bilan qulfdan chiqarishga urinish uchun "parolni bo'shatish" (shifrlangan tasvirlarni o'rnatish uchun foydalidir) birinchi yuklashdan keyin tayinlangan parol bilan , o'rnatish vaqtida emas).
  • systemd-cryptsetup /etc/crypttab-dan foydalanib yuklash vaqtida Microsoft BitLocker bo'limlarini qulfdan chiqarishni qo'llab-quvvatlaydi. Shuningdek, o'qish qobiliyati ham qo'shildi
    /etc/cryptsetup-keys.d/ fayllardan bo'limlarni avtomatik ravishda ochish uchun kalitlar .key va /run/cryptsetup-keys.d/ .key.

  • .desktop autostart fayllaridan birlik fayllarini yaratish uchun systemd-xdg-autostart-generator qo'shildi.
  • "Bootctl" ga "reboot-to-firmware" buyrug'i qo'shildi.
  • Systemd-firstboot-ga qo'shilgan variantlar: yuklash uchun disk tasvirini belgilash uchun "--image", /etc/kernel/cmdline faylini ishga tushirish uchun "--kernel-command-line", "--root-password-heshed" uchun ildiz parol xeshini belgilang va ildiz parolini o'chirish uchun "--delete-root-password".

Manba: opennet.ru

a Izoh qo'shish