ProHoster > Блог > ayelujara iroyin > Itusilẹ ti oluṣakoso eto eto 252 pẹlu atilẹyin UKI (Aworan Kernel Iṣọkan).

Itusilẹ ti oluṣakoso eto eto 252 pẹlu atilẹyin UKI (Aworan Kernel Iṣọkan).

Lẹhin oṣu marun ti idagbasoke, itusilẹ ti oluṣakoso eto systemd 252 ti ṣafihan iyipada bọtini ni ẹya tuntun ni isọpọ ti atilẹyin fun ilana bata ti olaju, eyiti o fun ọ laaye lati rii daju kii ṣe ekuro ati bootloader nikan, ṣugbọn tun awọn paati. ti ipilẹ eto ayika lilo oni ibuwọlu.

Ọna ti a dabaa pẹlu lilo aworan ekuro isokan UCI (Aworan Kernel Iṣọkan) nigbati o ba nṣe ikojọpọ, eyiti o ṣajọpọ oluṣakoso kan fun ikojọpọ ekuro lati UEFI (awọn bata bata UEFI), aworan ekuro Linux kan ati agbegbe eto initrd ti kojọpọ sinu iranti, ti a lo. fun ibẹrẹ ibẹrẹ ni ipele ṣaaju fifi sori root FS. Aworan ti UKI ti wa ni akopọ bi faili ti o le ṣiṣẹ ni ọna kika PE, eyiti o le ṣe kojọpọ nipa lilo awọn bata bata ibile tabi pe taara lati famuwia UEFI. Nigbati a ba pe lati UEFI, o ṣee ṣe lati rii daju iduroṣinṣin ati igbẹkẹle ti ibuwọlu oni nọmba kii ṣe ekuro nikan, ṣugbọn awọn akoonu inu initrd tun.

Lati ṣe iṣiro awọn aye ti TPM PCR (Trusted Platform Module Platform Configuration Register) awọn iforukọsilẹ ti a lo lati ṣe atẹle iduroṣinṣin ati ṣe ina ibuwọlu oni nọmba ti aworan UKI, iwọn-iwọn ohun elo tuntun wa ninu. Bọtini gbogbo eniyan ati alaye PCR ti o tẹle ti a lo ninu ibuwọlu le wa ni ifibọ taara sinu aworan bata UK (bọtini ati ibuwọlu ti wa ni fipamọ ni faili PE ni awọn aaye '.pcrsig' ati '.pcrkey') ati fa jade lati inu rẹ nipasẹ ita ita. tabi ti abẹnu igbesi.

Ni pataki, systemd-cryptsetup, systemd-cryptenroll ati awọn ohun elo eto-creds ti ni ibamu lati lo alaye yii, pẹlu eyiti o le rii daju pe awọn ipin disiki ti paroko ti sopọ mọ ekuro oni nọmba kan (ninu ọran yii, iwọle si ipin ti paroko. Ti pese nikan ti aworan UKI ti kọja ijẹrisi nipasẹ ibuwọlu oni-nọmba ti o da lori awọn aye ti o wa ni TPM).

Ni afikun, ohun elo systemd-pcrphase wa pẹlu, eyiti o fun ọ laaye lati ṣakoso awọn abuda ti ọpọlọpọ awọn ipele bata si awọn aye ti o wa ni iranti ti awọn ilana ti cryptoprocessors ti o ṣe atilẹyin sipesifikesonu TPM 2.0 (fun apẹẹrẹ, o le jẹ ki bọtini decryption ipin LUKS2 wa nikan ni aworan initrd ati dina iwọle si rẹ ni awọn igbasilẹ awọn ipele nigbamii).

Diẹ ninu awọn iyipada miiran:

  • Ṣe idaniloju pe agbegbe aiyipada jẹ C.UTF-8 ayafi ti agbegbe ti o yatọ ba wa ni pato ninu awọn eto.
  • O ṣee ṣe ni bayi lati ṣe iṣẹ ṣiṣe tito tẹlẹ iṣẹ pipe (“ tito tẹlẹ systemctl ”) lakoko bata akọkọ. Muu awọn tito tẹlẹ ṣiṣẹ ni akoko bata nbeere kikọ pẹlu aṣayan “-Dfirst-boot-full-preset”, ṣugbọn a gbero lati mu ṣiṣẹ nipasẹ aiyipada ni awọn idasilẹ ọjọ iwaju.
  • Awọn ẹya iṣakoso olumulo pẹlu oluṣakoso orisun Sipiyu, eyiti o jẹ ki o ṣee ṣe lati rii daju pe awọn eto CPUWeight ti lo si gbogbo awọn ẹya ege ti a lo lati pin eto si awọn apakan (app.slice, background.slice, session.slice) lati ya sọtọ awọn orisun laarin o yatọ si olumulo awọn iṣẹ, ti njijadu fun Sipiyu oro. CPUWeight tun ṣe atilẹyin iye “laiṣiṣẹ” lati mu ipo ipese awọn orisun ti o yẹ ṣiṣẹ.
  • Ni awọn ẹya igba diẹ (“transient”) ati ninu ohun elo eto-pada-pada, awọn eto imukuro ni a gba laaye nipasẹ ṣiṣẹda awọn faili ifisilẹ ni /etc/systemd/system/name.d/ directory.
  • Fun awọn aworan eto, asia ti o pari-atilẹyin ti ṣeto, ṣiṣe ipinnu otitọ yii da lori iye ti paramita tuntun “SUPPORT_END=” ninu faili /etc/os-release.
  • Ṣafikun awọn eto “ConditionCredential=” ati “AssertCredential=”, eyiti o le ṣee lo lati foju kọju tabi awọn ẹya jamba ti awọn ijẹrisi kan ko ba si ninu eto naa.
  • Fikun “DefaultSmackProcessLabel=” ati “DefaultDeviceTimeoutSec=” eto si system.conf ati user.conf lati setumo ipele aabo SMACK aiyipada ati akoko imuṣiṣẹ ẹyọkan.
  • Ninu awọn eto “ConditionFirmware =” ati “AssertFirmware=”, agbara lati pato awọn aaye SMBIOS kọọkan ni a ti ṣafikun, fun apẹẹrẹ, lati ṣe ifilọlẹ ẹyọ kan nikan ti aaye /sys/class/dmi/id/board_name ni iye “Aṣa. Board", o le pato "ConditionFirmware = smbios" -field (board_name = "Aṣa Board").
  • Lakoko ilana ipilẹṣẹ (PID 1), agbara lati gbe awọn iwe-ẹri wọle lati awọn aaye SMBIOS (Iru 11, “awọn okun olutaja OEM”) ti ṣafikun ni afikun si asọye wọn nipasẹ qemu_fwcfg, eyiti o jẹ irọrun ipese awọn iwe-ẹri si awọn ẹrọ foju ati imukuro kuro nilo fun awọn irinṣẹ ẹnikẹta gẹgẹbi awọsanma -init ati ignition.
  • Lakoko tiipa, ọgbọn fun sisọ awọn ọna ṣiṣe faili foju foju (proc, sys) ti yipada ati alaye nipa awọn ilana ti o ṣe idiwọ ṣiṣi awọn ọna ṣiṣe faili ti wa ni fipamọ sinu akọọlẹ.
  • Ajọ ipe eto (SystemCallFilter) gba iraye si ipe eto riscv_flush_icache nipasẹ aiyipada.
  • Bootloader sd-boot ṣe afikun agbara lati bata ni ipo adalu, ninu eyiti ekuro Linux 64-bit nṣiṣẹ lati famuwia UEFI 32-bit. Agbara adanwo ti a ṣafikun laifọwọyi lati lo awọn bọtini SecureBoot lati awọn faili ti a rii ni ESP (ipin eto EFI).
  • Awọn aṣayan titun ti ni afikun si ohun elo bootctl: "-gbogbo-awọn ile-itumọ" fun fifi sori ẹrọ alakomeji fun gbogbo awọn ile-iṣẹ EFI ti o ni atilẹyin, "-root=" ati "-image=" fun ṣiṣẹ pẹlu itọsọna tabi aworan disk, "-fi sori ẹrọ-orisun =" fun asọye orisun fun fifi sori ẹrọ, "-efi-boot-option-description = "lati ṣakoso awọn orukọ titẹsi bata.
  • Aṣẹ 'akojọ-automounts' ni a ti ṣafikun si IwUlO systemctl lati ṣe afihan atokọ ti awọn ilana ti a fi sori ẹrọ laifọwọyi ati aṣayan “-image=" aṣayan lati ṣiṣẹ awọn aṣẹ ni ibatan si aworan disiki ti a sọ tẹlẹ. Ṣafikun "-state=" ati" --type=" awọn aṣayan si awọn aṣẹ 'ifihan' ati 'ipo'.
  • systemd-networkd fi kun awọn aṣayan “TCPCongestionControlAlgorithm =” lati yan algorithm iṣakoso isunmọ TCP, “KeepFileDescriptor=” lati ṣafipamọ oluṣapejuwe faili ti awọn atọkun TUN/TAP, “NetLabel =” lati ṣeto NetLabels, “RapidCommit =" lati mu iṣeto ni iyara nipasẹ DHCPv6 (RFC 3315). Awọn paramita "RouteTable =" faye gba pato awọn orukọ ti awọn tabili afisona.
  • systemd-nspawn ngbanilaaye lilo awọn ọna faili ojulumo ni "--bind=" ati"--overlay=" awọn aṣayan. Atilẹyin ti a ṣafikun fun paramita 'rootidmap' si “--bind="aṣayan lati di ID olumulo root ninu apo eiyan si oniwun itọsọna ti a gbe sori ẹgbẹ agbalejo.
  • systemd-ipinnu nlo OpenSSL bi ẹhin fifi ẹnọ kọ nkan nipasẹ aiyipada (atilẹyin gnutls wa ni idaduro bi aṣayan kan). Awọn algoridimu DNSSEC ti ko ṣe atilẹyin ti wa ni bayi ṣe itọju bi ailewu dipo dada asise pada (SERVFAIL).
  • systemd-sysusers, systemd-tmpfiles ati systemd-sysctl ṣe agbara lati gbe awọn eto nipasẹ ẹrọ ibi ipamọ ijẹrisi.
  • Ṣafikun aṣẹ 'afiwe-awọn ẹya' lati ṣe itupalẹ eto lati ṣe afiwe awọn gbolohun ọrọ pẹlu awọn nọmba ikede (bii 'rpmdev-vercmp' ati 'dpkg --compare-versions'). Ṣe afikun agbara lati ṣe àlẹmọ awọn ẹya nipasẹ iboju-boju si pipaṣẹ 'systemd-itupalẹ dump'.
  • Nigbati o ba yan ipo oorun ti ọpọlọpọ-ipele (daduro-lẹhinna-hibernate), akoko ti o lo ni ipo imurasilẹ ti yan ni bayi da lori asọtẹlẹ ti igbesi aye batiri ti o ku. Iyipada lẹsẹkẹsẹ si ipo oorun waye nigbati o kere ju 5% idiyele batiri ku.
  • Ipo igbejade tuntun "-o short-delta" ti jẹ afikun si 'journalctl', ti n ṣafihan iyatọ akoko laarin awọn oriṣiriṣi awọn ifiranṣẹ ninu akọọlẹ.
  • systemd-repart ṣe afikun atilẹyin fun ṣiṣẹda awọn ipin pẹlu eto faili Squashfs ati awọn ipin fun dm-verity, pẹlu pẹlu awọn ibuwọlu oni-nọmba.
  • Ṣafikun "StopIdleSessionSec=" eto si systemd-logind lati pari igba aiṣiṣẹ lẹhin akoko ti o kan pato.
  • Systemd-cryptenroll ti fikun “--unlock-key-file="aṣayan lati yọkuro bọtini ifọwọyi kuro ninu faili ju ki o da olumulo naa.
  • O ṣee ṣe ni bayi lati ṣiṣẹ ohun elo systemd-growfs ni awọn agbegbe laisi udev.
  • systemd-backlight ti ni ilọsiwaju atilẹyin fun awọn ọna ṣiṣe pẹlu awọn kaadi eya aworan pupọ.
  • Iwe-aṣẹ fun awọn apẹẹrẹ koodu ti a pese ninu iwe naa ti yipada lati CC0 si MIT-0.

Awọn iyipada ti o bajẹ ibamu:

  • Nigbati o ba n ṣayẹwo nọmba ẹya kernel nipa lilo itọsọna ConditionKernelVersion, afiwe okun ti o rọrun ni a lo ni bayi ninu awọn oniṣẹ '=' ati '!=', ati pe ti oniṣẹ lafiwe ko ba ni pato rara, ibaamu glob-boju le ṣee lo ni lilo awọn ohun kikọ '*', '?' Ati '[',']'. Lati ṣe afiwe awọn ẹya ara stverscmp, lo awọn oniṣẹ '<', '>', '<=' ati '>=' awọn oniṣẹ.
  • Aami SELinux ti a lo lati ṣayẹwo iwọle lati faili ẹyọ kan ti wa ni bayi ka ni akoko ti faili naa ti kojọpọ, ju ni akoko ayẹwo wiwọle.
  • Ipo "ConditionFirstBoot" ti wa ni bayi ti nfa lori bata akọkọ ti eto nikan taara ni ipele bata ati pada "eke" nigbati pipe awọn ẹya lẹhin ti bata ti pari.
  • Ni ọdun 2024, systemd ngbero lati dawọ atilẹyin ọna ṣiṣe opin awọn orisun orisun cgroup v1, eyiti o dinku ni itusilẹ ti eto 248. A gba awọn alabojuto nimọran lati ṣe abojuto ilosiwaju ti awọn iṣẹ orisun cgroup v2 gbigbe si akojọpọ v1. Iyatọ bọtini laarin awọn ẹgbẹ v2 ati v1 ni lilo awọn ilana awọn ẹgbẹ ẹgbẹ ti o wọpọ fun gbogbo awọn iru awọn orisun, dipo awọn ipo iyasọtọ fun ipin awọn orisun Sipiyu, fun ṣiṣakoso agbara iranti, ati fun I/O. Awọn igbimọ lọtọ yori si awọn iṣoro ni siseto ibaraenisepo laarin awọn olutọju ati si awọn idiyele awọn orisun kernel ni afikun nigba lilo awọn ofin fun ilana ti tọka si ni awọn ipo giga oriṣiriṣi.
  • Ni idaji keji ti 2023, a gbero lati pari atilẹyin fun awọn ilana ilana pipin, nibiti / usr ti gbe lọtọ lati gbongbo, tabi / bin ati / usr / bin, / lib ati / usr / lib ti yapa.

orisun: opennet.ru

Fi ọrọìwòye kun