ProHoster > Blog > tin tức mạng > phát hành trình quản lý hệ thống systemd 257

phát hành trình quản lý hệ thống systemd 257

Sau sáu tháng phát triển, việc phát hành trình quản lý hệ thống systemd 257 đã được trình bày. Những thay đổi chính: tiện ích mới systemd-sbsign và systemd-keyutil, hỗ trợ MPTCP khi được kích hoạt qua ổ cắm, hỗ trợ ban đầu để xây dựng với thư viện Musl C, tiện ích updatectl để quản lý việc cài đặt các bản cập nhật thông qua systemd-sysupdate, khả năng khởi chạy các dịch vụ trong các không gian tên PID riêng biệt, bảo vệ khỏi việc vô tình xóa các tệp khi sử dụng “systemd-tmpfiles —purge”.

Trong số những thay đổi trong bản phát hành mới:

  • Добавлена новая утилита systemd-sbsign для заверения цифровой подписью исполняемых файлов в формате PE (Portable Executable), предназначенных для использования при загрузке в режиме EFI Secure Boot. Для формирования подписи могут использоваться движки и провайдеры, предоставляемые библиотекой OpenSSL. Systemd-sbsign может применяться в качестве альтернативы приложениям sbsigntool и pesign в утилите ukify при формировании универсальных образов ядра UKI (Unified Kernel Image), объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd.
  • Một tiện ích mới, systemd-keyutil, đã được thêm vào để thực hiện nhiều hoạt động khác nhau trên khóa riêng và chứng chỉ X.509. Ví dụ: systemd-keyutil có thể được sử dụng để kiểm tra khả năng tải khóa riêng và chứng chỉ cũng như trích xuất khóa chung từ chúng ở định dạng PEM.
  • Trong các đơn vị ".socket" được sử dụng để đảm bảo hoạt động của cơ chế kích hoạt socket (khởi động các tiến trình khi cố gắng thiết lập kết nối mạng), hỗ trợ được triển khai cho MPTCP (Multipath TCP), một phần mở rộng của giao thức TCP để tổ chức hoạt động của kết nối TCP với việc truyền các gói đồng thời dọc theo nhiều tuyến đường thông qua các giao diện mạng khác nhau được liên kết với các thiết bị khác nhau. Địa chỉ IP của tôi.
  • Bao gồm những thay đổi cần thiết để xây dựng bằng thư viện Musl C tiêu chuẩn.
  • В различные компоненты systemd, выводящие индикаторы прогресса выполнения операций (например, systemd-repart, systemd-sysupdate/updatectl и importctl), добавлена возможность использования ANSI-последовательностей для анимирования отображения прогресса. Подобные последовательности пока поддерживаются только в Windows Terminal (предполагается, что со временем подобная возможность будет перенесена и в эмуляторы терминалов для Linux).
  • Các khả năng của thành phần systemd-sysupdate đã được mở rộng, được sử dụng để tự động phát hiện, tải xuống và cài đặt các bản cập nhật bằng cơ chế nguyên tử để thay thế các phân vùng, tệp hoặc thư mục (hai phân vùng/tệp/thư mục độc lập được sử dụng, một trong số đó chứa phiên bản đang hoạt động hiện tại). tài nguyên và bản còn lại cài đặt bản cập nhật tiếp theo), sau đó các phần/tệp/thư mục được hoán đổi). Trong thực tế, systemd-sysupdate đã được sử dụng trong hệ điều hành Gnome.

    Ngoài quy trình systemd-sysupdate, một dịch vụ cùng tên đã được thêm vào cho phép D-Bus được sử dụng để quản lý các bản cập nhật hệ thống bởi người dùng không có đặc quyền. Để quản lý dịch vụ, tiện ích updatectl mới cũng được bao gồm. Đã thêm cờ “--offline” vào systemd-sysupdate để vô hiệu hóa việc tải xuống siêu dữ liệu qua mạng và chỉ sử dụng các phiên bản đã được tải xuống hệ thống cục bộ. Đã thêm hỗ trợ đầu ra ở định dạng JSON cho tất cả các lệnh.

  • Một thuộc tính mới “PrivatePIDs” đã được triển khai cho các dịch vụ mà bạn có thể tổ chức khởi chạy các quy trình với PID 1 (quy trình init) trong một không gian định danh quy trình riêng biệt (không gian tên PID). Trong môi trường được tạo cho quy trình đã khởi chạy, chỉ các quy trình từ không gian tên được tạo cho quy trình đó mới hiển thị.
  • Đã thêm hỗ trợ cho các kết quả khớp không phân biệt chữ hoa chữ thường đối với quy tắc udev (ví dụ: 'ATTR{foo}==i»abcd»'). Sử dụng udev, có thể cung cấp cho người dùng cục bộ không có đặc quyền quyền truy cập (“uaccess”) vào thiết bị /dev/udmabuf, điều này cần thiết để làm việc với camera IPMI thông qua libCamera. udev cung cấp khả năng nhận dạng các ví tiền điện tử phần cứng khác nhau bằng giao diện USB và đặt thuộc tính ID_HARDWARE_WALLET cho chúng, cho phép bạn áp dụng chế độ “uaccess” cho chúng để người dùng không có đặc quyền truy cập.
  • Các trường mới RELEASE_TYPE, EXPERIMENT và EXPERIMENT_URL đã được thêm vào tệp /etc/os-release. "RELEASE_TYPE" có thể lấy các giá trị "thử nghiệm", "phát triển", "ổn định" và "lts" để tách các phiên bản ổn định khỏi các bản dựng phát triển và thử nghiệm. Các tham số EXPERIMENT và EXPERIMENT_URL nhằm mục đích giải thích bản chất của bản dựng thử nghiệm.
  • Tiện ích run0, được phát triển để thay thế cho chương trình sudo, đã thêm tùy chọn “--shell-prompt-prefix”, chỉ định chuỗi tiền tố cho dấu nhắc lệnh shell. Theo mặc định, biểu tượng cảm xúc “🦸” được hiển thị dưới dạng tiền tố để làm nổi bật trực quan phiên nâng cao.
  • Trong systemd-tmpfiles, để tránh vô tình xóa nhầm tệp, tùy chọn "--purge" hiện chỉ áp dụng cho các cài đặt trong tmpfiles.d/ có cờ "$" được đặt rõ ràng. Thao tác "--purge" hiện cũng yêu cầu chỉ định ít nhất một tệp từ thư mục tmpfiles.d/. Đối với các chuỗi có loại 'L', cờ '?' đã được thêm vào, khi được chỉ định, một liên kết tượng trưng sẽ chỉ được tạo nếu tệp đích tồn tại.
  • Trong trình quản lý dịch vụ và các tiện ích liên quan, mã theo dõi tiến trình tiếp tục được chuyển đổi để sử dụng PIDFD thay vì PID. PIDFD được liên kết với một quy trình cụ thể và không thay đổi, trong khi PID có thể được liên kết với một quy trình khác sau khi quy trình hiện tại được liên kết với PID đó kết thúc.
  • Đối với các dịch vụ, giờ đây có thể chỉ định giá trị “gỡ lỗi” trong tham số “RestartMode”, trong đó dịch vụ bị lỗi sẽ được khởi động lại khi bật chế độ gỡ lỗi (biến môi trường DEBUG_INVOCATION=1 được đặt) và giá trị LogLevelMax sẽ là tạm thời được nâng lên mức gỡ lỗi.
  • Trình xử lý PID 1 có khả năng tải các quy tắc cho mô-đun LSM IPE (Thực thi chính sách toàn vẹn), xác định chính sách toàn vẹn cho toàn bộ hệ thống (những hoạt động nào được phép và cách xác minh tính xác thực của các thành phần).
  • Tùy chọn “DeferReactivation” đã được thêm vào tệp đơn vị “.timer”, cho phép bạn bỏ qua lần kích hoạt bộ hẹn giờ tiếp theo nếu dịch vụ chưa hoàn thành quá trình thực thi kể từ lần kích hoạt cuối cùng.
  • Trong tham số tệp đơn vị PrivateUsers, giờ đây có thể chỉ định giá trị “danh tính” để bật ánh xạ ID người dùng khi tạo vùng tên người dùng.
  • Đã thêm hỗ trợ cho giá trị “đã ngắt kết nối” vào tham số tệp đơn vị PrivateTmp, giá trị này sẽ sử dụng các phiên bản tmpfs riêng biệt cho các thư mục /tmp/ và /var/tmp/.
  • Hỗ trợ cho các chế độ “riêng tư” và “nghiêm ngặt” mới đã được thêm vào tham số tệp đơn vị ProtectControlGroups, khi được đặt, một không gian tên cgroup mới sẽ được tạo cho dịch vụ và cgroupfs được gắn kết. Khi tùy chọn "nghiêm ngặt" được đặt, cgroupfs được gắn ở chế độ chỉ đọc.
  • Các tham số StateDirectory, RuntimeDirectory, CacheDirectory, LogsDirectory và ConfigurationDirectory cung cấp khả năng sử dụng cờ ':ro' để hạn chế quyền truy cập vào các thư mục tương ứng ở chế độ chỉ đọc.
  • Đã thêm hỗ trợ cho giá trị “chương trình cơ sở” vào tham số dòng lệnh kernel “systemd.machine_id”, trong đó mã định danh hệ thống (ID máy) sẽ được tính toán dựa trên UUID từ SMBIOS/DeviceTree.
  • Добавлена поддержка системных вызовов mseal(), listmount() и statmount(), появившихся в недавних выпусках ядра Linux.
  • Các tiện ích Resolvectl, timedatectl và systemd-inhibit hiện hỗ trợ ủy quyền tương tác bằng Polkit.
  • Tiện ích systemctl đã thêm khả năng sử dụng cờ "--now" trong lệnh "reenable".
  • Đã thêm tùy chọn "--json" vào tiện ích systemd-mount để xuất ra ở định dạng JSON (ví dụ: khi được chỉ định cùng với "--list-devices", danh sách các thiết bị sẽ được xuất ra ở định dạng JSON).
  • Đã thêm tùy chọn "-l" và "--full" vào tiện ích "localectl" để vô hiệu hóa việc cắt bớt các dòng dài trong khi xuất.
  • Tùy chọn HibernateOnACPower đã được thêm vào sleep.conf, cho phép bạn trì hoãn việc chuyển sang chế độ ngủ cho đến khi thiết bị bị ngắt kết nối khỏi nguồn điện cố định.
  • Trong systemd-sysusers, hỗ trợ cho công cụ sửa đổi “!” đã được thêm vào dòng “u”, nhờ đó bạn có thể tạo các tài khoản người dùng bị khóa hoàn toàn (trước đây, việc đặt mật khẩu không chính xác đã được sử dụng để chặn người dùng, chẳng hạn như không dẫn đến việc chặn trong quá trình xác thực khóa trong SSH).
  • Systemd-coredump thêm tùy chọn "EnterNamespace" cho phép truy cập vào không gian điểm gắn kết của bất kỳ quy trình nào bị lỗi để lấy biểu tượng gỡ lỗi của chúng. Trong thực tế, tùy chọn này có thể hữu ích trong việc tổ chức việc truy xuất ngược các tệp cốt lõi từ các ứng dụng chạy trong các vùng chứa bị cô lập.
  • systemd-logind bao gồm việc xử lý tổ hợp Ctrl-Alt-Shift-Esc để gửi tín hiệu org.freedesktop.login1.SecureAttentionKey đến các thành phần môi trường người dùng với yêu cầu hiển thị hộp thoại đăng nhập an toàn. Đã triển khai cài đặt “Thời gian bảo trì được chỉ định” để tự động lên lịch công việc hoàn thành vào một thời điểm nhất định. Bằng cách tương tự với việc hỗ trợ cho các thiết bị DRM và evdev, hỗ trợ đã được thêm vào để định cấu hình quyền truy cập cho người dùng không có đặc quyền vào các thiết bị ẩn (bộ điều khiển trò chơi và cần điều khiển).
  • systemd-machined hiện hỗ trợ đăng nhập bằng tài khoản người dùng không có quyền quản trị. máy ảo và các container. Việc truy cập vào chức năng systemd-machined được cung cấp thông qua API Varlink, ngoài D-Bus.
  • Phần mới “[IPv6AddressLabel]” đã được thêm vào tệp cấu hình networkd.conf để định cấu hình nhãn và tiền tố cho địa chỉ IPv6
  • Đã thêm tùy chọn "--stdin" vào lệnh 'networkctl edit' để lấy nội dung tệp từ luồng tiêu chuẩn. Đã thêm hỗ trợ để chỉnh sửa và hiển thị các tệp .netdev bằng cách chỉ định giao diện mạng cho các lệnh 'networkctl edit' và 'networkctl cat'. Đã thêm tùy chọn "--no-ask-password" để tắt ủy quyền tương tác.
  • Đã thêm tùy chọn "--certificate-source" vào các tiện ích ukify, bootctl, systemd-keyutil, systemd-measure, systemd-repart và systemd-sbsign để tải chứng chỉ X.509 thông qua nhà cung cấp OpenSSL thay vì tải trực tiếp từ một tài liệu.
  • systemd-boot bổ sung thêm khả năng sử dụng các nút âm lượng để di chuyển lên xuống thông qua menu khởi động, tính năng này có thể hữu ích trên các thiết bị như điện thoại thông minh. Hỗ trợ cài đặt cơ sở dữ liệu UEFI Secure Boot ở định dạng ESL(db/dbx/…) cho systemd-boot đã được thêm vào tiện ích bootctl.
  • Đã thêm tùy chọn “--list-invocation” vào tạp chí để hiển thị danh sách các cuộc gọi đơn vị và tùy chọn “--invocation” (“-I”) để hiển thị nhật ký chỉ được liên kết với một cuộc gọi cụ thể.
  • systemd-nspawn bổ sung hỗ trợ cho việc sử dụng FUSE (Hệ thống tệp trong không gian người dùng) không có đặc quyền trong vùng chứa. Khi sử dụng tùy chọn “--bind-user”, các khóa SSH của người dùng cần có để truy cập qua SSH sẽ được chuyển tiếp đến vùng chứa.
  • libsystemd đã thêm giao diện lập trình mới "sd-json" sử dụng định dạng JSON, cũng như giao diện "sd-varlink" sử dụng IPC Varlink.
  • Phiên bản kernel cơ sở được đề xuất đã được nâng cấp lên phiên bản 5.4, hình thành vào năm 2019. Năm tới họ dự định ngừng hỗ trợ các hạt nhân cũ hơn và đánh dấu bản phát hành 5.4 là phiên bản cơ sở được hỗ trợ tối thiểu.
  • Hỗ trợ cho cgroups v1 không được dùng nữa và bị tắt theo mặc định (để bật nó, bạn phải chỉ định SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 trên dòng lệnh kernel ngoài việc bật nó trong cài đặt systemd). Bản phát hành tiếp theo của systemd 258 có kế hoạch loại bỏ hoàn toàn mã liên quan đến cgroups v1. Phiên bản Systemd 258 cũng dự kiến ​​​​sẽ loại bỏ hỗ trợ cho các tập lệnh dịch vụ System V.

Nguồn: opennet.ru

Mua dịch vụ lưu trữ đáng tin cậy cho các trang web có bảo vệ DDoS, máy chủ VPS VDS 🔥 Mua dịch vụ hosting website đáng tin cậy với bảo vệ DDoS, máy chủ VPS VDS | ProHoster