Prohoster > Blog > tin tức mạng > phát hành trình quản lý hệ thống systemd 250

phát hành trình quản lý hệ thống systemd 250

Sau năm tháng phát triển, bản phát hành trình quản lý hệ thống systemd 250 đã được giới thiệu. Bản phát hành mới giới thiệu khả năng lưu trữ thông tin đăng nhập ở dạng mã hóa, triển khai xác minh các phân vùng GPT được phát hiện tự động bằng chữ ký số, cải thiện thông tin về nguyên nhân gây ra sự chậm trễ khi bắt đầu dịch vụ và các tùy chọn bổ sung để hạn chế quyền truy cập dịch vụ vào một số hệ thống tệp và giao diện mạng nhất định, hỗ trợ giám sát tính toàn vẹn phân vùng bằng mô-đun dm-integrity và hỗ trợ tự động cập nhật sd-boot được thêm vào.

Sự thay đổi chính:

  • Đã thêm hỗ trợ cho thông tin xác thực được mã hóa và xác thực, có thể hữu ích để lưu trữ an toàn các tài liệu nhạy cảm như khóa SSL và mật khẩu truy cập. Việc giải mã thông tin xác thực chỉ được thực hiện khi cần thiết và liên quan đến cài đặt hoặc thiết bị cục bộ. Dữ liệu được mã hóa tự động bằng thuật toán mã hóa đối xứng, khóa có thể được đặt trong hệ thống tệp, trong chip TPM2 hoặc sử dụng sơ đồ kết hợp. Khi dịch vụ khởi động, thông tin đăng nhập sẽ tự động được giải mã và có sẵn cho dịch vụ ở dạng bình thường. Để hoạt động với thông tin xác thực được mã hóa, tiện ích 'systemd-creds' đã được thêm vào và cài đặt LoadCredentialEncrypted và SetCredentialEncrypted đã được đề xuất cho các dịch vụ.
  • sd-stub, tệp thực thi EFI cho phép chương trình cơ sở EFI tải nhân Linux, hiện hỗ trợ khởi động kernel bằng giao thức LINUX_EFI_INITRD_MEDIA_GUID EFI. Ngoài ra, sd-stub còn có khả năng đóng gói thông tin xác thực và tệp sysext vào kho lưu trữ cpio và chuyển kho lưu trữ này vào kernel cùng với initrd (các tệp bổ sung được đặt trong thư mục /.extra/). Tính năng này cho phép bạn sử dụng môi trường initrd bất biến có thể kiểm chứng, được bổ sung bởi các hệ thống và dữ liệu xác thực được mã hóa.
  • Đặc tả Phân vùng có thể khám phá đã được mở rộng đáng kể, cung cấp các công cụ để xác định, gắn kết và kích hoạt các phân vùng hệ thống bằng GPT (Bảng phân vùng GUID). So với các bản phát hành trước, thông số kỹ thuật hiện hỗ trợ phân vùng gốc và phân vùng /usr cho hầu hết các kiến ​​trúc, bao gồm cả nền tảng không sử dụng UEFI.

    Phân vùng có thể khám phá cũng bổ sung hỗ trợ cho các phân vùng có tính toàn vẹn được xác minh bởi mô-đun dm-verity bằng chữ ký số PKCS#7, giúp tạo hình ảnh đĩa được xác thực hoàn toàn dễ dàng hơn. Hỗ trợ xác minh được tích hợp vào nhiều tiện ích khác nhau để thao tác ảnh đĩa, bao gồm systemd-nspawn, systemd-sysext, systemd-dissect, dịch vụ RootImage, systemd-tmpfiles và systemd-sysusers.

  • Đối với các đơn vị mất nhiều thời gian để bắt đầu hoặc dừng, ngoài việc hiển thị thanh tiến trình hoạt hình, có thể hiển thị thông tin trạng thái cho phép bạn hiểu chính xác những gì đang xảy ra với dịch vụ tại thời điểm này và người quản lý hệ thống đang sử dụng dịch vụ nào hiện đang chờ hoàn thiện.
  • Đã thêm tham số DefaultOOMScoreAdjust vào /etc/systemd/system.conf và /etc/systemd/user.conf, cho phép bạn điều chỉnh ngưỡng OOM-killer đối với bộ nhớ thấp, áp dụng cho các quy trình mà systemd khởi động cho hệ thống và người dùng. Theo mặc định, trọng số của dịch vụ hệ thống cao hơn trọng lượng của dịch vụ người dùng, tức là. Khi không đủ bộ nhớ, khả năng chấm dứt dịch vụ của người dùng sẽ cao hơn khả năng chấm dứt dịch vụ của hệ thống.
  • Đã thêm cài đặt Hạn chếFileSystems, cho phép bạn hạn chế quyền truy cập của dịch vụ vào một số loại hệ thống tệp nhất định. Để xem các loại hệ thống tệp có sẵn, bạn có thể sử dụng lệnh “systemd-analyze filesystems”. Bằng cách tương tự, tùy chọn Hạn chếNetworkInterfaces đã được triển khai, cho phép bạn hạn chế quyền truy cập vào một số giao diện mạng nhất định. Việc triển khai dựa trên mô-đun BPF LSM, mô-đun này hạn chế quyền truy cập của một nhóm quy trình vào các đối tượng hạt nhân.
  • Đã thêm tệp cấu hình /etc/integritytab mới và tiện ích systemd-integritysetup giúp định cấu hình mô-đun dm-integrity để kiểm soát tính toàn vẹn dữ liệu ở cấp ngành, chẳng hạn như để đảm bảo tính bất biến của dữ liệu được mã hóa (Mã hóa xác thực, đảm bảo rằng khối dữ liệu có không được sửa đổi theo cách vòng vo). Định dạng của tệp /etc/integritytab tương tự như các tệp /etc/crypttab và /etc/veritytab, ngoại trừ dm-integrity được sử dụng thay vì dm-crypt và dm-verity.
  • Một tệp đơn vị mới systemd-boot-update.service đã được thêm vào, khi được kích hoạt và bộ nạp khởi động sd-boot được cài đặt, systemd sẽ tự động cập nhật phiên bản của bộ nạp khởi động sd-boot, giữ cho mã bộ nạp khởi động luôn được cập nhật. Bản thân sd-boot hiện được xây dựng theo mặc định với sự hỗ trợ cho cơ chế SBAT (Nhắm mục tiêu nâng cao khởi động an toàn UEFI), giúp giải quyết các vấn đề thu hồi chứng chỉ cho UEFI Secure Boot. Ngoài ra, sd-boot còn cung cấp khả năng phân tích cài đặt khởi động Microsoft Windows để tạo chính xác tên của các phân vùng khởi động với Windows và hiển thị phiên bản Windows.

    sd-boot cũng cung cấp khả năng xác định bảng màu tại thời điểm xây dựng. Trong quá trình khởi động, có thêm hỗ trợ thay đổi độ phân giải màn hình bằng cách nhấn phím “r”. Đã thêm phím nóng “f” để chuyển đến giao diện cấu hình chương trình cơ sở. Đã thêm chế độ tự động khởi động hệ thống tương ứng với mục menu đã chọn trong lần khởi động gần nhất. Đã thêm khả năng tự động tải trình điều khiển EFI nằm trong thư mục /EFI/systemd/drivers/ trong phần ESP (Phân vùng hệ thống EFI).

  • Một tệp đơn vị mới Factory-reset.target được bao gồm, được xử lý trong systemd-logind theo cách tương tự như các hoạt động khởi động lại, tắt nguồn, tạm dừng và ngủ đông, đồng thời được sử dụng để tạo các trình xử lý để thực hiện khôi phục cài đặt gốc.
  • Quá trình được giải quyết bằng systemd hiện tạo ra một ổ cắm nghe bổ sung tại 127.0.0.54 ngoài 127.0.0.53. Các yêu cầu đến 127.0.0.54 luôn được chuyển hướng đến máy chủ DNS ngược dòng và không được xử lý cục bộ.
  • Cung cấp khả năng xây dựng systemd-importd và systemd-resolved bằng thư viện OpenSSL thay vì libgcrypt.
  • Đã thêm hỗ trợ ban đầu cho kiến ​​trúc LoongArch được sử dụng trong bộ xử lý Loongson.
  • systemd-gpt-auto-generator cung cấp khả năng tự động định cấu hình các phân vùng trao đổi do hệ thống xác định được mã hóa bởi hệ thống con LUKS2.
  • Mã phân tích hình ảnh GPT được sử dụng trong systemd-nspawn, systemd-dissect và các tiện ích tương tự triển khai khả năng giải mã hình ảnh cho các kiến ​​trúc khác, cho phép sử dụng systemd-nspawn để chạy hình ảnh trên trình mô phỏng của các kiến ​​trúc khác.
  • Khi kiểm tra ảnh đĩa, systemd-dissect hiện hiển thị thông tin về mục đích của phân vùng, chẳng hạn như khả năng khởi động qua UEFI hoặc chạy trong vùng chứa.
  • Trường “SYSEXT_SCOPE” đã được thêm vào tệp system-extension.d/, cho phép bạn chỉ ra phạm vi của hình ảnh hệ thống - “initrd”, “system” hoặc “portable”.
  • Trường “PORTABLE_PREFIXES” đã được thêm vào tệp phát hành os, trường này có thể được sử dụng trong hình ảnh di động để xác định tiền tố tệp đơn vị được hỗ trợ.
  • systemd-logind giới thiệu các cài đặt mới HandlePowerKeyLongPress, HandleRebootKeyLongPress, HandleSuspendKeyLongPress và HandleHibernateKeyLongPress, có thể được sử dụng để xác định điều gì xảy ra khi một số phím nhất định được giữ trong hơn 5 giây (ví dụ: có thể định cấu hình nhấn nhanh phím Tạm dừng để chuyển sang chế độ chờ và khi nhấn giữ, nó sẽ chuyển sang chế độ ngủ).
  • Đối với các thiết bị, cài đặt StartupAllowedCPU và StartupAllowedMemoryNodes được triển khai, khác với các cài đặt tương tự không có tiền tố Khởi động ở chỗ chúng chỉ được áp dụng ở giai đoạn khởi động và tắt máy, cho phép bạn đặt các hạn chế tài nguyên khác trong khi khởi động.
  • Đã thêm [Điều kiện|Khẳng định|Bộ nhớ|CPU|IO]Kiểm tra áp suất cho phép bỏ qua hoặc kích hoạt thiết bị không thành công nếu cơ chế PSI phát hiện thấy tải nặng lên bộ nhớ, CPU và I/O trong hệ thống.
  • Giới hạn inode tối đa mặc định đã được tăng lên cho phân vùng /dev từ 64k lên 1M và cho phân vùng /tmp từ 400k lên 1M.
  • Cài đặt ExecSearchPath đã được đề xuất cho các dịch vụ, giúp thay đổi đường dẫn tìm kiếm tệp thực thi được khởi chạy thông qua cài đặt như ExecStart.
  • Đã thêm cài đặt RuntimeRandomizedExtraSec, cho phép bạn đưa ra các sai lệch ngẫu nhiên vào thời gian chờ RuntimeMaxSec, giúp giới hạn thời gian thực hiện của một đơn vị.
  • Cú pháp của cài đặt RuntimeDirectory, StateDirectory, CacheDirectory và LogsDirectory đã được mở rộng, trong đó bằng cách chỉ định một giá trị bổ sung được phân tách bằng dấu hai chấm, giờ đây bạn có thể tổ chức việc tạo liên kết tượng trưng đến một thư mục nhất định để tổ chức quyền truy cập dọc theo một số đường dẫn.
  • Đối với các dịch vụ, cài đặt TTYRows và TTYColumns được cung cấp để đặt số lượng hàng và cột trong thiết bị TTY.
  • Đã thêm cài đặt ExitType, cho phép bạn thay đổi logic để xác định kết thúc dịch vụ. Theo mặc định, systemd chỉ giám sát quá trình chết của tiến trình chính, nhưng nếu ExitType=cgroup được đặt, người quản lý hệ thống sẽ đợi quá trình cuối cùng trong cgroup hoàn tất.
  • Việc triển khai hỗ trợ TPM2/FIDO2/PKCS11 của systemd-cryptsetup hiện cũng được xây dựng dưới dạng plugin cryptsetup, cho phép sử dụng lệnh cryptsetup thông thường để mở khóa phân vùng được mã hóa.
  • Trình xử lý TPM2 trong systemd-cryptsetup/systemd-cryptsetup bổ sung hỗ trợ cho khóa chính RSA ngoài khóa ECC để cải thiện khả năng tương thích với các chip không phải ECC.
  • Tùy chọn hết thời gian chờ mã thông báo đã được thêm vào /etc/crypttab, cho phép bạn xác định thời gian tối đa để chờ kết nối mã thông báo PKCS#11/FIDO2, sau đó bạn sẽ được nhắc nhập mật khẩu hoặc khóa khôi phục.
  • systemd-timesyncd triển khai cài đặt SaveIntervalSec, cho phép bạn lưu định kỳ thời gian hệ thống hiện tại vào đĩa, chẳng hạn như để triển khai đồng hồ đơn điệu trên các hệ thống không có RTC.
  • Các tùy chọn đã được thêm vào tiện ích phân tích hệ thống: “--image” và “--root” để kiểm tra các tệp đơn vị bên trong một hình ảnh hoặc thư mục gốc nhất định, “--recursive-errors” để tính đến các đơn vị phụ thuộc khi có lỗi được phát hiện, “--offline” để kiểm tra các tệp đơn vị riêng biệt được lưu vào đĩa, “—json” để xuất ra ở định dạng JSON, “—quiet” để tắt các tin nhắn không quan trọng, “—profile” để liên kết với một cấu hình di động. Ngoài ra còn có lệnh kiểm tra elf để phân tích các tệp lõi ở định dạng ELF và khả năng kiểm tra các tệp đơn vị bằng tên đơn vị nhất định, bất kể tên này có khớp với tên tệp hay không.
  • systemd-networkd đã mở rộng hỗ trợ cho bus Mạng khu vực điều khiển (CAN). Đã thêm cài đặt để kiểm soát các chế độ CAN: Loopback, OneShot, PresumeAck và ClassicDataLengthCode. Đã thêm các tùy chọn TimeQuantaNSec, PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2, SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment, DataPhaseBufferSegment1, DataPhaseBufferSegment2 và DataSyncJumpWidth vào phần [CAN] của tệp .network để kiểm soát đồng bộ hóa bit của giao diện CAN.
  • Systemd-networkd đã thêm tùy chọn Nhãn cho máy khách DHCPv4, cho phép bạn định cấu hình nhãn địa chỉ được sử dụng khi định cấu hình địa chỉ IPv4.
  • systemd-udevd cho "ethtool" triển khai hỗ trợ cho các giá trị "tối đa" đặc biệt đặt kích thước bộ đệm thành giá trị tối đa được phần cứng hỗ trợ.
  • Trong các tệp .link cho systemd-udevd, giờ đây bạn có thể định cấu hình các tham số khác nhau để kết hợp bộ điều hợp mạng và kết nối trình xử lý phần cứng (giảm tải).
  • systemd-networkd cung cấp các tệp .network mới theo mặc định: 80-container-vb.network để xác định các cầu nối mạng được tạo khi chạy systemd-nspawn với các tùy chọn “--network-bridge” hoặc “--network-zone”; 80-6rd-tunnel.network để xác định các đường hầm được tạo tự động khi nhận được phản hồi DHCP với tùy chọn 6RD.
  • Systemd-networkd và systemd-udevd đã thêm hỗ trợ chuyển tiếp IP qua giao diện InfiniBand, trong đó phần “[IPoIB]” đã được thêm vào tệp systemd.netdev và việc xử lý giá trị “ipoib” đã được triển khai trong Loại cài đặt.
  • systemd-networkd cung cấp cấu hình tuyến đường tự động cho các địa chỉ được chỉ định trong tham số AllowedIPs, có thể được định cấu hình thông qua các tham số RouteTable và RouteMetric trong phần [WireGuard] và [WireGuardPeer].
  • systemd-networkd cung cấp khả năng tự động tạo địa chỉ MAC không thay đổi cho giao diện batadv và bridge. Để tắt hành vi này, bạn có thể chỉ định MACAddress=none trong tệp .netdev.
  • Cài đặt WakeOnLanPassword đã được thêm vào các tệp .link trong phần “[Link]” để xác định mật khẩu khi WoL đang chạy ở chế độ “SecureOn”.
  • Đã thêm cài đặt AutoRateIngress, Bồi thườngMode, FlowIsolationMode, NAT, MPUBytes, PriorityQueueingPreset, Tường lửaMark, Wash, SplitGSO và UseRawPacketSize vào phần “[CAKE]” của tệp .network để xác định các tham số của cơ chế quản lý hàng đợi mạng CAKE (Ứng dụng chung được nâng cao). .
  • Đã thêm cài đặt IgnoreCarrierLoss vào phần "[Mạng]" của tệp .network, cho phép bạn xác định khoảng thời gian chờ đợi trước khi phản ứng với việc mất tín hiệu sóng mang.
  • Systemd-nspawn, homectl, machinectl và systemd-run đã mở rộng cú pháp của tham số "--setenv" - nếu chỉ xác định tên biến (không có "="), giá trị sẽ được lấy từ biến môi trường tương ứng (đối với ví dụ: khi chỉ định "--setenv=FOO", giá trị sẽ được lấy từ biến môi trường $FOO và được sử dụng trong biến môi trường có cùng tên được đặt trong vùng chứa).
  • systemd-nspawn đã thêm tùy chọn "--suppress-sync" để tắt các lệnh gọi hệ thống sync()/fsync()/fdatasync() khi tạo vùng chứa (hữu ích khi tốc độ là ưu tiên và không bảo toàn các tạo phẩm của bản dựng trong trường hợp không thành công quan trọng vì chúng có thể được tạo lại bất cứ lúc nào).
  • Một cơ sở dữ liệu hwdb mới đã được thêm vào, bao gồm nhiều loại máy phân tích tín hiệu khác nhau (đồng hồ vạn năng, máy phân tích giao thức, máy hiện sóng, v.v.). Thông tin về camera trong hwdb đã được mở rộng với một trường có thông tin về loại camera (thông thường hoặc hồng ngoại) và vị trí ống kính (phía trước hoặc phía sau).
  • Cho phép tạo tên giao diện mạng không thay đổi cho các thiết bị netfront được sử dụng trong Xen.
  • Việc phân tích các tệp lõi bằng tiện ích systemd-coredump dựa trên thư viện libdw/libelf hiện được thực hiện trong một quy trình riêng biệt, tách biệt trong môi trường hộp cát.
  • systemd-importd đã thêm hỗ trợ cho các biến môi trường $SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA, $SYSTEMD_IMPORT_SYNC, nhờ đó bạn có thể vô hiệu hóa việc tạo phân vùng phụ Btrfs, cũng như định cấu hình hạn ngạch và đồng bộ hóa đĩa.
  • Trong systemd-journald, trên các hệ thống tệp hỗ trợ chế độ sao chép khi ghi, chế độ COW được kích hoạt lại cho các tạp chí đã lưu trữ, cho phép chúng được nén bằng Btrfs.
  • systemd-journald thực hiện sao chép các trường giống hệt nhau trong một tin nhắn duy nhất, được thực hiện ở giai đoạn trước khi đặt tin nhắn vào nhật ký.
  • Đã thêm tùy chọn "--show" vào lệnh tắt máy để hiển thị tắt máy theo lịch trình.

Nguồn: opennet.ru

Thêm một lời nhận xét