Prohoster > Blog > tin tức mạng > phát hành trình quản lý hệ thống systemd 253

phát hành trình quản lý hệ thống systemd 253

Sau ba tháng rưỡi phát triển, việc phát hành trình quản lý hệ thống systemd 253 đã được trình làng.

Trong số những thay đổi trong bản phát hành mới:

  • Gói này bao gồm tiện ích 'ukify', được thiết kế để xây dựng, xác minh và tạo chữ ký cho hình ảnh hạt nhân hợp nhất (UKI, Hình ảnh hạt nhân hợp nhất), kết hợp trình xử lý để tải hạt nhân từ UEFI (sơ khai khởi động UEFI), hình ảnh hạt nhân Linux và một môi trường hệ thống được tải vào bộ nhớ initrd, được sử dụng để khởi tạo ban đầu ở giai đoạn trước khi gắn hệ thống tệp gốc. Tiện ích này thay thế chức năng được cung cấp trước đây bởi lệnh 'dracut -uefi' và bổ sung cho nó các khả năng tự động tính toán độ lệch trong tệp PE, hợp nhất initrds, ký các hình ảnh hạt nhân nhúng, tạo hình ảnh kết hợp với sbsign, chẩn đoán để xác định tên hạt nhân, kiểm tra hình ảnh với màn hình giật gân và thêm các chính sách PCR đã ký được tạo bởi tiện ích đo lường hệ thống.
  • Đã thêm hỗ trợ cho môi trường initrd không bị giới hạn bởi vị trí bộ nhớ, trong đó lớp phủ được sử dụng thay vì tmpfs. Đối với những môi trường như vậy, systemd không xóa tất cả các tệp trong initrd sau khi chuyển đổi hệ thống tệp gốc.
  • Tham số “OpenFile” đã được thêm vào các dịch vụ để mở các tệp tùy ý trong hệ thống tệp (hoặc kết nối với ổ cắm Unix) và chuyển các bộ mô tả tệp liên quan đến quy trình đã khởi chạy (ví dụ: khi bạn cần tổ chức quyền truy cập vào tệp cho một dịch vụ không có đặc quyền mà không thay đổi quyền truy cập vào tệp).
  • Trong systemd-cryptenroll, khi đăng ký khóa mới, có thể mở khóa các phân vùng được mã hóa bằng mã thông báo FIDO2 (--unlock-fido2-device) mà không cần mật khẩu. Mã PIN do người dùng chỉ định được lưu trữ bằng muối để làm phức tạp việc phát hiện hành vi bạo lực.
  • Đã thêm cài đặt ReloadLimitIntervalSec và ReloadLimitBurst, cũng như các tùy chọn dòng lệnh kernel (systemd.reload_limit_interval_sec và /systemd.reload_limit_burst) để hạn chế cường độ khởi động lại quá trình nền.
  • Đối với các đơn vị, tùy chọn “MemoryZSwapMax” đã được triển khai để định cấu hình thuộc tính Memory.zswap.max, xác định kích thước zswap tối đa.
  • Đối với các đơn vị, tùy chọn “LogFilterPatterns” đã được triển khai, cho phép bạn đặt các biểu thức thông thường để lọc thông tin đầu ra vào nhật ký (có thể được sử dụng để loại trừ một số đầu ra nhất định hoặc chỉ lưu một số dữ liệu nhất định).
  • Các đơn vị phạm vi hiện hỗ trợ cài đặt “OOMPolicy” để thiết lập hành vi khi cố gắng chiếm trước khi bộ nhớ sắp hết (các phiên đăng nhập được đặt thành OOMPolicy=continue để kẻ sát nhân OOM không buộc phải chấm dứt chúng).
  • Một loại dịch vụ mới đã được xác định - “Type=notify-reload”, mở rộng loại “Type=notify” với khả năng đợi tín hiệu khởi động lại hoàn tất quá trình xử lý (SIGHUP). Các dịch vụ systemd-networkd.service, systemd-udevd.service và systemd-logind đã được chuyển sang loại mới.
  • udev sử dụng sơ đồ đặt tên mới cho các thiết bị mạng, điểm khác biệt là đối với các thiết bị USB không gắn với bus PCI, ID_NET_NAME_PATH hiện được đặt để đảm bảo các tên dễ đoán hơn. Toán tử '-=' đã được triển khai cho các biến SYMLINK, không định cấu hình các liên kết tượng trưng nếu quy tắc thêm chúng đã được xác định trước đó.
  • Trong systemd-boot, quá trình truyền hạt giống cho các trình tạo số giả ngẫu nhiên trong kernel và cho phần phụ trợ của đĩa đã được làm lại. Đã thêm hỗ trợ tải kernel không chỉ từ ESP (Phân vùng hệ thống EFI), chẳng hạn như từ phần sụn hoặc trực tiếp cho QEMU. Phân tích cú pháp các tham số SMBIOS được cung cấp để xác định khởi động trong môi trường ảo hóa. Chế độ 'if-safe' mới đã được triển khai trong đó chứng chỉ cho Khởi động an toàn UEFI chỉ được tải từ ESP nếu nó được coi là an toàn (chạy trong máy ảo).
  • Tiện ích bootctl triển khai việc tạo mã thông báo hệ thống trên tất cả các hệ thống EFI, ngoại trừ môi trường ảo hóa. Đã thêm các lệnh 'kernel-identify' và 'kernel-inspect' để hiển thị loại hình ảnh kernel và thông tin về các tùy chọn dòng lệnh và phiên bản kernel, 'unlink' để xóa tệp được liên kết với loại bản ghi khởi động đầu tiên, 'dọn dẹp' để xóa tất cả các tệp từ thư mục "entry-token" trong ESP và XBOOTLDR, không được liên kết với loại bản ghi khởi động đầu tiên. Việc xử lý biến KERNEL_INSTALL_CONF_ROOT đã được cung cấp.
  • Lệnh 'systemctl list-dependency' hiện hỗ trợ xử lý các tùy chọn '--type' và '--state', đồng thời lệnh 'systemctl kexec' bổ sung hỗ trợ cho các môi trường dựa trên trình ảo hóa Xen.
  • Trong các tệp .network trong phần [DHCPv4], hiện đã thêm hỗ trợ cho các tùy chọn SocketPriority và QuickAck, RouteMetric=high|medium|low.
  • Systemd-repart đã thêm các tùy chọn “--include-partitions”, “--exclude-partitions” và “--defer-partitions” để lọc các phân vùng theo loại UUID, ví dụ: cho phép bạn xây dựng hình ảnh trong đó một phân vùng được được xây dựng dựa trên nội dung của phân vùng khác. Đồng thời thêm tùy chọn "--sector-size" để chỉ định kích thước của cung được sử dụng khi tạo phân vùng. Đã thêm hỗ trợ cho việc tạo tập tin erofs. Cài đặt Thu nhỏ thực hiện xử lý giá trị “tốt nhất” để chọn kích thước hình ảnh tối thiểu có thể.
  • systemd-journal-remote cho phép sử dụng các cài đặt MaxUse, KeepFree, MaxFileSize và MaxFiles để hạn chế mức tiêu thụ dung lượng ổ đĩa.
  • systemd-cryptsetup bổ sung hỗ trợ gửi yêu cầu chủ động tới mã thông báo FIDO2 để xác định sự hiện diện của chúng trước khi xác thực.
  • Các tham số mới tpm2-measure-bank và tpm2-measure-pcr đã được thêm vào crypttab.
  • systemd-gpt-auto-generator triển khai gắn các phân vùng ESP và XBOOTLDR ở chế độ “noexec,nosuid,nodev”, đồng thời bổ sung tính năng tính toán cho các tham số rootfstype và rootflags được truyền qua dòng lệnh kernel.
  • systemd-resolved cung cấp khả năng định cấu hình các tham số của trình phân giải bằng cách chỉ định các tùy chọn máy chủ tên, miền, network.dns và network.search_domains trên dòng lệnh kernel.
  • Lệnh “phân tích hệ thống” hiện có khả năng xuất ra ở định dạng JSON khi chỉ định cờ “-json”. Các tùy chọn mới "--table" và "-no-legend" cũng đã được thêm vào đầu ra điều khiển.
  • Vào năm 2023, chúng tôi dự định sẽ ngừng hỗ trợ cgroups v1 và phân cấp thư mục phân tách (trong đó /usr được gắn riêng biệt với thư mục gốc hoặc /bin và /usr/bin, /lib và /usr/lib được tách riêng).

Nguồn: opennet.ru

Thêm một lời nhận xét