🥇 מעלדונג פון די סיסטעם פאַרוואַלטער 243

נאָך פינף חדשים פון אַנטוויקלונג דערלאנגט סיסטעם פאַרוואַלטער מעלדונג סיסטעם 243. צווישן די ינאָווויישאַנז, מיר קענען טאָן די ינאַגריישאַן אין PID 1 פון אַ האַנדלער פֿאַר נידעריק זכּרון אין די סיסטעם, שטיצן פֿאַר אַטאַטשינג דיין אייגענע BPF מגילה פֿאַר פֿילטרירונג אַפּאַראַט פאַרקער, פילע נייַע אָפּציעס פֿאַר systemd-networkd, אַ מאָדע פֿאַר מאָניטאָרינג די באַנדווידט פון נעץ. ינטערפייסיז, ביי פעליקייַט אויף 64-ביסל סיסטעמען 22-ביסל PID נומערן אַנשטאָט פון 16-ביסל, יבערגאַנג צו אַ יונאַפייד קגרופּס כייעראַרקי, ינקלוזשאַן אין סיסטעמ-נעטוואָרק-גענעראַטאָר.

הויפּט ענדערונגען:

דערקענונג פון קערנעל-דזשענערייטאַד סיגנאַלז וועגן אָן זכּרון (אויס-פון-זיקאָרן, OOM) איז צוגעגעבן צו די PID 1 האַנדלער צו אַריבערפירן וניץ וואָס האָבן ריטשט די זיקאָרן קאַנסאַמשאַן לימיט אין אַ ספּעציעל שטאַט מיט די אַפּשאַנאַל פיייקייט צו צווינגען זיי צו פאַרענדיקן אָדער האַלטן;
פֿאַר אַפּאַראַט טעקעס, נייַ פּאַראַמעטערס IPIngressFilterPath און
IPEgressFilterPath, וואָס אַלאַוז איר צו פאַרבינדן BPF מגילה מיט אַרביטראַריש האַנדלערס צו פילטער ינקאַמינג און אַוטגאָוינג IP פּאַקיץ דזשענערייטאַד דורך פּראַסעסאַז פֿאַרבונדן מיט דעם אַפּאַראַט. די פארגעלייגט פֿעיִקייטן לאָזן איר צו שאַפֿן אַ מין פון פיירוואַל פֿאַר סיסטעם באַדינונגס. שרייבן בייַשפּיל אַ פּשוט נעץ פילטער באזירט אויף BPF;
די "ריין" באַפֿעל איז צוגעלייגט צו די systemctl נוצן צו ויסמעקן די קאַש, רונטימע טעקעס, סטאַטוס אינפֿאָרמאַציע און קלאָץ דירעקטעריז;
systemd-networkd מוסיף שטיצן פֿאַר MACsec, nlmon, IPVTAP און Xfrm נעץ ינטערפייסיז;
systemd-networkd ימפּלאַמאַנץ באַזונדער קאַנפיגיעריישאַן פון DHCPv4 און DHCPv6 סטאַקס דורך די "[DHCPv4]" און "[DHCPv6]" סעקשאַנז אין די קאַנפיגיעריישאַן טעקע. צוגעגעבן די RoutesToDNS אָפּציע צו לייגן אַ באַזונדער מאַרשרוט צו די דנס סערווער ספּעסיפיעד אין די פּאַראַמעטערס באקומען פון די DHCP סערווער (אַזוי אַז פאַרקער צו די דנס איז געשיקט דורך דער זעלביקער לינק ווי די הויפּט מאַרשרוט באקומען פון די DHCP). ניו אָפּציעס זענען צוגעגעבן פֿאַר DHCPv4: MaxAttempts - מאַקסימום נומער פון ריקוועס צו באַקומען אַן אַדרעס, BlackList - שוואַרץ רשימה פון DHCP סערווערס, SendRelease - געבן שיקט DHCP RELEASE אַרטיקלען ווען די סעסיע ענדס;
נייַע קאַמאַנדז זענען מוסיף צו די systemd-analyze נוצן:
- "סיסטעמד-אַנאַליזירן טימעסטאַמפּ" - צייט פּאַרסינג און קאַנווערזשאַן;
- "סיסטעם-אַנאַליזירן צייט שפּאַן" - אַנאַליסיס און קאַנווערזשאַן פון צייט פּיריאַדז;
- "סיסטעם-אַנאַליזע צושטאַנד" - פּאַרסינג און טעסטינג קאָנדיטיאָןקסיז אויסדרוקן;
- "סיסטעם-אַנאַליזירן אַרויסגאַנג-סטאַטוס" - פּאַרסינג און קאַנווערטינג אַרויסגאַנג קאָודז פון נומערן צו נעמען און וויצע ווערסאַ;
- "סיסטעמד-אַנאַליזע אַפּאַראַט-פיילס" - רשימות אַלע טעקע פּאַטס פֿאַר וניץ און אַפּאַראַט ייליאַסיז.
אָפּציעס הצלחה עקסיטסטאַטוס, ריסטאַרט פּרעווענט עקסיטסטאַטוס און
RestartForceExitStatus איצט שטיצט ניט בלויז נומעריק צוריקקומען קאָודז, אָבער אויך זייער טעקסט אידענטיפיצירן (למשל, "DATAERR"). איר קענען זען די רשימה פון קאָודז אַסיינד צו ידענטיפיערס ניצן די "סיטעמד-אַנאַליזע אַרויסגאַנג-סטאַטוס" באַפֿעל;
די "ויסמעקן" באַפֿעל איז צוגעלייגט צו די Networkctl נוצן צו ויסמעקן ווירטואַל נעץ דעוויסעס, ווי געזונט ווי די "-סטאַטס" אָפּציע צו אַרויסווייַזן מיטל סטאַטיסטיק;
SpeedMeter און SpeedMeterIntervalSec סעטטינגס זענען צוגעגעבן צו networkd.conf פֿאַר פּיריאַדיקלי מעסטן די טרופּוט פון נעץ ינטערפייסיז. סטאַטיסטיק באקומען פון די מעזשערמאַנט רעזולטאַטן קענען זיין וויוד אין דער רעזולטאַט פון די 'נעטוואָרקקטל סטאַטוס' באַפֿעל;
צוגעלייגט נייַ נוצן סיסטעמ-נעטוואָרק-גענעראַטאָר פֿאַר דזשענערייטינג טעקעס
.נעטוואָרק, .נעטדעוו און .לינק באזירט אויף IP סעטטינגס דורכגעגאנגען ווען לאָנטשט דורך די לינוקס קערן באַפֿעלן שורה אין Dracut סעטטינגס פֿאָרמאַט;
די sysctl "kernel.pid_max" ווערט אויף 64-ביסל סיסטעמען איז איצט באַשטימט דורך פעליקייַט צו 4194304 (22-ביסל פּידס אַנשטאָט פון 16-ביץ), וואָס ראַדוסאַז די ליקעליהאָאָד פון קאַליזשאַנז ווען אַסיינינג פּידס, ינקריסיז די שיעור אויף די נומער פון סיימאַלטייניאַסלי. פליסנדיק פּראַסעסאַז, און האט אַ positive פּראַל אויף זיכערהייט. דער ענדערונג קען פּאַטענטשאַלי פירן צו קאַמפּאַטאַבילאַטי ישוז, אָבער אַזאַ ישוז האָבן נישט נאָך געמאלדן אין פיר;
דורך פעליקייַט, די בויען בינע סוויטשיז צו די יונאַפייד כייעראַרקי cgroups-v2 ("-Ddefault-hierarchy = יונאַפייד"). ביז אַהער, די פעליקייַט איז כייבריד מאָדע ("-Ddefault-hierarchy = כייבריד");
די אָפּפירונג פון די סיסטעם רופן פילטער (SystemCallFilter) איז פארענדערט, וואָס, אין דעם פאַל פון אַ פּראָוכיבאַטאַד סיסטעם רופן, איצט טערמאַנייץ די גאנצע פּראָצעס, אלא ווי יחיד פֿעדעם, ווייַל טערמאַנייטינג יחיד פֿעדעם קען פירן צו אַנפּרידיקטאַבאַל פּראָבלעמס. די ענדערונגען אַפּלייז בלויז אויב איר האָבן לינוקס קערן 4.14+ און libsecomp 2.4.0+;
אַנפּריווילעדזשד מגילה זענען געגעבן די פיייקייט צו שיקן ICMP Echo (פּינג) פּאַקיץ דורך באַשטעטיקן די סיסטל "net.ipv4.ping_group_range" פֿאַר די גאנצע קייט פון גרופּעס (פֿאַר אַלע פּראַסעסאַז);
צו פאַרגיכערן דעם בויען פּראָצעס, די דור פון מאַניואַלז איז סטאַפּט דורך פעליקייַט (צו בויען פול דאַקיומענטיישאַן, איר דאַרפֿן צו נוצן די אָפּציע "-Dman = אמת" אָדער "-Dhtml = אמת" פֿאַר מאַניואַלז אין HTML פֿאָרמאַט). צו מאַכן עס גרינגער צו זען די דאַקיומענטיישאַן, צוויי סקריפּס זענען אַרייַנגערעכנט: בויען / מענטש / מענטש און בויען / מענטש / HTML פֿאַר דזשענערייטינג און פּריוויוינג מאַניואַלז פון אינטערעס;
צו פּראָצעס פעלד נעמען מיט אותיות פון נאציאנאלע אַלפאַבעץ, די ליבידנ2 ביבליאָטעק איז געניצט דורך פעליקייַט (צו צוריקקומען ליבידן, נוצן די "-Dlibidn = אמת" אָפּציע);
סופּפּאָרט פֿאַר די /usr/sbin/halt.local עקסעקוטאַבלע טעקע, וואָס צוגעשטעלט פאַנגקשאַנאַליטי וואָס איז נישט וויידלי פונאנדערגעטיילט אין דיסטריביושאַנז, איז דיסקאַנטיניוד. צו אָרגאַניזירן די קאַטער פון קאַמאַנדז ווען איר פאַרמאַכן אַראָפּ, עס איז רעקאַמענדיד צו נוצן סקריפּס אין /usr/lib/systemd/system-shutdown/ אָדער דעפינירן אַ נייַע אַפּאַראַט וואָס דעפּענדס אויף final.target;
אין די לעצטע בינע פון שאַטדאַון, סיסטעם ינקריסיז איצט אויטאָמאַטיש די לאָג מדרגה אין די סיסטל "kernel.printk", וואָס סאַלווז די פּראָבלעם מיט ווייַז אין די קלאָץ געשעענישן וואָס זענען פארגעקומען אין די שפּעטער סטאַגעס פון שאַטדאַון, ווען די רעגולער לאָגינג דעמאָנס האָבן שוין געענדיקט. ;
אין דזשאָורנאַלקטל און אנדערע יוטילאַטיז ווייַזנדיק לאָגס, וואָרנינגז זענען כיילייטיד אין געל, און קאָנטראָלירן רעקאָרדס זענען כיילייטיד אין בלוי צו וויזשוואַלי הויכפּונקט זיי פון די מאַסע;
אין די $PATH סוויווע וועריאַבאַל, דער דרך צו bin/ איצט קומט איידער דער דרך צו sbin/, ד.ה. אויב עס זענען יידעניקאַל נעמען פון עקסעקוטאַבלע טעקעס אין ביידע דיירעקטעריז, די טעקע פֿון bin/ וועט זיין עקסאַקיוטאַד;
systemd-login גיט אַ רוף סעטבריגהטנעסס () צו בעשאָלעם טוישן די פאַרשטעלן ברייטנאַס אויף אַ פּער-סעסיע יקער;
די "--וואַרטן-פֿאַר-ינטאַליאַזיישאַן" פאָן איז צוגעגעבן צו די "ודעוואַדם אינפֿאָרמאַציע" באַפֿעל צו וואַרטן ביז די מיטל צו ינישאַלייז;
בעשאַס סיסטעם שטיוול, PID 1 האַנדלער איצט דיספּלייז די נעמען פון וניץ אַנשטאָט פון אַ שורה מיט זייער באַשרייַבונג. צו צוריקקומען צו פאַרגאַנגענהייט נאַטור, איר קענען נוצן די StatusUnitFormat אָפּציע אין /etc/systemd/system.conf אָדער די systemd.status_unit_format קערן אָפּציע;
צוגעגעבן KExecWatchdogSec אָפּציע צו /etc/systemd/system.conf פֿאַר וואַטשדאָג PID 1, וואָס ספּעציפיצירט די טיימאַוט פֿאַר ריסטאַרטינג ניצן קעקסעק. אַלט באַשטעטיקן
ShutdownWatchdogSec איז ריניימד צו RebootWatchdogSec און דיפיינז אַ טיימאַוט פֿאַר דזשאָבס בעשאַס שאַטדאַון אָדער נאָרמאַל ריסטאַרט;
א נייַע אָפּציע איז צוגעלייגט פֿאַר סערוויסעס עקסעקקאָנדיטיאָן, וואָס אַלאַוז איר צו ספּעציפיצירן קאַמאַנדז וואָס וועט זיין עקסאַקיוטאַד איידער ExecStartPre. באַזירט אויף די טעות קאָד אומגעקערט דורך די באַפֿעל, אַ באַשלוס איז געמאכט אויף ווייַטער דורכפירונג פון די אַפּאַראַט - אויב קאָד 0 איז אומגעקערט, די קאַטער פון די אַפּאַראַט האלט, אויב פון 1 צו 254 עס ענדס בישטיקע אָן אַ דורכפאַל פאָן, אויב 255 עס ענדס מיט אַ דורכפאַל פאָן;
צוגעגעבן אַ נייַע דינסט systemd-pstore.service צו עקסטראַקט דאַטן פון sys/fs/pstore/ און פֿון שפּאָרן צו /var/lib/pstore פֿאַר ווייַטער אַנאַליסיס;
ניו קאַמאַנדז זענען צוגעגעבן צו די TimeDatectl נוצן פֿאַר קאַנפיגיערינג NTP פּאַראַמעטערס פֿאַר systemd-timesyncd אין באַציונג צו נעץ ינטערפייסיז;
די "localectl list-locales" באַפֿעל ניט מער דיספּלייז לאָוקאַלז אנדערע ווי UTF-8;
ינשורז אַז וועריאַבאַל אַסיינמאַנט ערראָרס אין sysctl.d/ טעקעס זענען איגנאָרירט אויב די בייַטעוודיק נאָמען הייבט מיט די כאַראַקטער "-";
דינסט systemd-random-seed.service איז איצט גאָר פאַראַנטוואָרטלעך פֿאַר יניטיאַליזינג די ענטראָפּיע בעקן פון די לינוקס קערן פּסעודאָראַנדאָם נומער גענעראַטאָר. סערוויסעס וואָס דאַרפן אַ ריכטיק ינישאַלייזד /dev/urandom זאָל זיין סטאַרטעד נאָך systemd-random-seed.service;
די systemd-boot boot loader גיט די אַפּשאַנאַל פיייקייט צו שטיצן זוימען טעקע מיט טראַפ - סיקוואַנס אין די EFI סיסטעם צעטיילונג (ESP);
נייַ קאַמאַנדז זענען צוגעגעבן צו די באָאָטקטל נוצן: "באָאָטקטל ראַנדאָם-זוימען" צו דזשענערייט אַ זוימען טעקע אין די ESP און "באָאָטקטל איז אינסטאַלירן" צו קאָנטראָלירן די ינסטאַלירונג פון די סיסטעםד-שטיוול שטיוול לאָודער. באָאָטקטל איז אויך אַדזשאַסטיד צו ווייַזן וואָרנינגז וועגן פאַלש קאַנפיגיעריישאַן פון שטיוול איינסן (למשל, ווען די קערן בילד איז אויסגעמעקט, אָבער די פּאָזיציע פֿאַר לאָודינג עס איז לינקס);
פּראָווידעס אָטאַמאַטיק סעלעקציע פון די ויסבייַטן צעטיילונג ווען די סיסטעם גייט אין שלאָפן מאָדע. די צעטיילונג איז אויסגעקליבן דיפּענדינג אויף די בילכערקייַט קאַנפיגיערד פֿאַר עס, און אין די פאַל פון יידעניקאַל פּרייאָראַטיז, די סומע פון פריי פּלאַץ;
אַדדעד שליסל טעקע-טיימאַוט אָפּציע צו /etc/crypttab צו שטעלן ווי לאַנג די מיטל מיט די ענקריפּשאַן שליסל וועט וואַרטן איידער פּראַמפּטינג אַ פּאַראָל צו אַקסעס די ינקריפּטיד צעטיילונג;
צוגעגעבן IOWeight אָפּציע צו שטעלן די I/O וואָג פֿאַר די BFQ סקעדזשולער;
systemd-resolved צוגעגעבן 'שטרענג' מאָדע פֿאַר דנס-איבער-TLS און ימפּלאַמענאַד די פיייקייט צו קאַש בלויז positive דנס רעספּאָנסעס ("קאַש ניט-נעגאַטיוו" אין resolved.conf);
פֿאַר VXLAN, systemd-networkd האט צוגעגעבן אַ GenericProtocolExtension אָפּציע צו געבן VXLAN פּראָטאָקאָל יקסטענשאַנז. פֿאַר VXLAN און GENEVE, די IPDoNotFragment אָפּציע איז צוגעגעבן צו שטעלן די פראַגמאַנטיישאַן פאַרווער פאָן פֿאַר אַוטגאָוינג פּאַקיץ;
אין systemd-networkd, אין די "[רוט]" אָפּטיילונג, די FastOpenNoCookie אָפּציע איז ארויס צו געבן די מעקאַניזאַם פֿאַר געשווינד עפן טקפּ קאַנעקשאַנז (TFO - TCP Fast Open, RFC 7413) אין באַציונג צו יחיד רוץ, ווי געזונט ווי די TTLPropagate אָפּציע צו קאַנפיגיער TTL LSP (Label Switched Path). די "טיפּ" אָפּציע גיט שטיצן פֿאַר היגע, בראָדקאַסט, אַניקאַסט, מולטיקאַסט, קיין און קסרעסאָלווע רוטינג מאָדעס;
Systemd-networkd אָפפערס אַ DefaultRouteOnDevice אָפּציע אין די "[נעטוואָרק]" אָפּטיילונג צו אויטאָמאַטיש קאַנפיגיער אַ פעליקייַט מאַרשרוט פֿאַר אַ געגעבן נעץ מיטל;
Systemd-networkd האט צוגעגעבן ProxyARP און
ProxyARPWifi פֿאַר באַשטעטיקן פּראַקסי ARP נאַטור, MulticastRouter פֿאַר באַשטעטיקן רוטינג פּאַראַמעטערס אין מולטיקאַסט מאָדע, MulticastIGMPVersion פֿאַר טשאַנגינג די IGMP (Internet Group Management Protocol) ווערסיע פֿאַר מולטיקאַסט;
Systemd-networkd האט צוגעגעבן לאקאלע, פּיער און פּעערפּאָרט אָפּציעס פֿאַר FooOverUDP טאַנאַלז צו קאַנפיגיער די היגע און ווייַט IP אַדרעסעס, ווי געזונט ווי די נעץ פּאָרט נומער. פֿאַר TUN טאַנאַלז, די VnetHeader אָפּציע איז צוגעגעבן צו קאַנפיגיער GSO (גענעריק סעגמענט אָפלאָאַד) שטיצן;
אין systemd-networkd, אין די .נעטוואָרק און .לינק טעקעס אין די [מאַטש] אָפּטיילונג, אַ פאַרמאָג אָפּציע איז ארויס, וואָס אַלאַוז איר צו ידענטיפיצירן דעוויסעס דורך זייער ספּעציפיש פּראָפּערטיעס אין udev;
אין systemd-networkd, אַן AssignToLoopback אָפּציע איז צוגעגעבן פֿאַר טאַנאַלז, וואָס קאָנטראָלס צי דער סוף פון דעם טונעל איז אַסיינד צו די לופּבאַקק מיטל "לאָ";
systemd-networkd אויטאָמאַטיש אַקטאַווייץ די IPv6 אָנלייגן אויב עס איז אפגעשטעלט דורך sysctl disable_ipv6 - IPv6 איז אַקטיווייטיד אויב IPv6 סעטטינגס (סטאַטיק אָדער DHCPv6) זענען דיפיינד פֿאַר די נעץ צובינד, אַנדערש די שוין באַשטימט סיסטל ווערט טוט נישט טוישן;
אין .נעטוואָרק טעקעס, די CriticalConnection באַשטעטיקן איז ריפּלייסט דורך די KeepConfiguration אָפּציע, וואָס גיט מער מיטל פֿאַר דיפיינינג סיטואַטיאָנס ("יאָ", "סטאַטיק", "dhcp-on-stop", "dhcp") אין וואָס systemd-networkd זאָל ניט אָנרירן יגזיסטינג קאַנעקשאַנז ווען סטאַרטאַפּ;
וואַלנעראַביליטי פאַרפעסטיקט CVE-2019-15718, געפֿירט דורך פעלן פון אַקסעס קאָנטראָל צו די D-Bus צובינד סיסטעם סאַלווד. דער אַרויסגעבן אַלאַוז אַ אַנפּריווילאַדזשד באַניצער צו דורכפירן אַפּעריישאַנז וואָס זענען בלויז בנימצא צו אַדמיניסטראַטאָרס, אַזאַ ווי טשאַנגינג דנס סעטטינגס און דירעקטינג דנס קוויריז צו אַ זשוליק סערווער;
וואַלנעראַביליטי פאַרפעסטיקט CVE-2019-9619שייַכות צו נישט געבן pam_systemd פֿאַר ניט-ינטעראַקטיוו סעשאַנז, וואָס אַלאַוז ספּאָאָפינג פון די אַקטיוו סעסיע.

מקור: opennet.ru

סיסטעם פאַרוואַלטער מעלדונג 243

לייגן אַ באַמערקונג באָטל מאַכן ענטפער