ProHoster > Блог > ayelujara iroyin > Itusilẹ oluṣakoso eto eto 243

Itusilẹ oluṣakoso eto eto 243

Lẹhin osu marun ti idagbasoke gbekalẹ itusilẹ oluṣakoso eto Eto 243. Lara awọn imotuntun, a le ṣe akiyesi isọpọ sinu PID 1 ti olutọju kan fun iranti kekere ninu eto, atilẹyin fun sisopọ awọn eto BPF tirẹ fun sisẹ ijabọ apakan, ọpọlọpọ awọn aṣayan tuntun fun eto-nẹtiwọọki, ipo fun ibojuwo bandiwidi ti nẹtiwọọki. awọn atọkun, muu ṣiṣẹ nipasẹ aiyipada lori awọn ọna ṣiṣe 64-bit awọn nọmba PID 22-bit dipo 16-bit, iyipada si ipo awọn ẹgbẹ ẹgbẹ ti iṣọkan, ifisi ni eto-nẹtiwọọki-ipilẹṣẹ.

Awọn iyipada akọkọ:

  • Ti ṣe idanimọ awọn ifihan agbara ti ekuro nipa ita iranti (Out-Of-Memory, OOM) ti ṣafikun si olutọju PID 1 lati gbe awọn ẹya ti o ti de opin agbara iranti sinu ipo pataki kan pẹlu agbara yiyan lati fi ipa mu wọn lati fopin si tabi duro;
  • Fun awọn faili ẹyọkan, awọn paramita tuntun IPIngressFilterPath ati
    IPEgressFilterPath, eyiti o fun ọ laaye lati so awọn eto BPF pọ pẹlu awọn olutọju lainidii lati ṣe àlẹmọ ti nwọle ati awọn apo-iwe IP ti njade ti ipilẹṣẹ nipasẹ awọn ilana ti o ni nkan ṣe pẹlu ẹyọ yii. Awọn ẹya ti a dabaa gba ọ laaye lati ṣẹda iru ogiriina kan fun awọn iṣẹ eto. Apẹẹrẹ kikọ Ajọ nẹtiwọki ti o rọrun ti o da lori BPF;

  • Aṣẹ “mimọ” ti ṣafikun si ohun elo systemctl lati pa kaṣe rẹ, awọn faili asiko ṣiṣe, alaye ipo ati awọn ilana akọọlẹ;
  • systemd-networkd ṣe afikun atilẹyin fun MACsec, nlmon, IPVTAP ati awọn atọkun nẹtiwọọki Xfrm;
  • systemd-networkd ṣe imuse iṣeto lọtọ ti DHCPv4 ati awọn akopọ DHCPv6 nipasẹ awọn apakan “[DHCPv4]” ati “[DHCPv6]” ninu faili iṣeto. Ṣafikun aṣayan RoutesToDNS lati ṣafikun ipa-ọna lọtọ si olupin DNS ti a sọ pato ninu awọn aye ti a gba lati olupin DHCP (ki ijabọ si DNS ni a firanṣẹ nipasẹ ọna asopọ kanna bi ọna akọkọ ti a gba lati DHCP). Awọn aṣayan titun ti fi kun fun DHCPv4: MaxAttempts - nọmba ti o pọju awọn ibeere lati gba adirẹsi kan, BlackList - akojọ dudu ti awọn olupin DHCP, SendRelease - jẹ ki fifiranṣẹ awọn ifiranṣẹ DHCP TELEASE nigbati igba ba pari;
  • Awọn aṣẹ titun ti ni afikun si ohun elo ti itupalẹ-systemd:
    • "System-itupalẹ timestamp" - akoko sisọ ati iyipada;
    • “Seto-itupalẹ awọn akoko” - itupalẹ ati iyipada awọn akoko akoko;
    • “System-itupalẹ ipo” - itupalẹ ati idanwo awọn ikosile ConditionXYZ;
    • “System-itupalẹ ijade-ipo” - itupalẹ ati yiyipada awọn koodu ijade lati awọn nọmba si awọn orukọ ati idakeji;
    • "systemd-itupalẹ awọn faili-kuro" - Ṣe atokọ gbogbo awọn ọna faili fun awọn ẹyọkan ati awọn inagijẹ ẹyọkan.
  • Awọn aṣayan AṣeyọriExitStatus, Tun bẹrẹPreventExitStatus ati
    RestartForceExitStatus bayi ṣe atilẹyin kii ṣe awọn koodu ipadabọ nomba nikan, ṣugbọn tun ṣe idamọ ọrọ wọn (fun apẹẹrẹ, “DATAERR”). O le wo atokọ ti awọn koodu ti a yàn si awọn idamọ nipa lilo pipaṣẹ “Stemd-itupalẹ ijade-ipo”;

  • Aṣẹ “parẹ” naa ti ṣafikun si iṣẹ nẹtiwọki networkctl lati pa awọn ẹrọ nẹtiwọọki foju rẹ, bakanna bi aṣayan “—awọn iṣiro” lati ṣafihan awọn iṣiro ẹrọ;
  • Awọn eto SpeedMeter ati SpeedMeterIntervalSec ti ni afikun si networkd.conf fun wiwọn igbakọọkan ti awọn atọkun nẹtiwọki. Awọn iṣiro ti a gba lati awọn abajade wiwọn ni a le wo ni abajade ti aṣẹ 'networkctl';
  • Ṣe afikun IwUlO tuntun systemd-nẹtiwọọki-ipilẹṣẹ fun ṣiṣẹda awọn faili
    .nẹtiwọọki, .netdev ati .link ti o da lori awọn eto IP ti o kọja nigbati a ṣe ifilọlẹ nipasẹ laini aṣẹ ekuro Linux ni ọna kika eto Dracut;

  • Awọn iye sysctl "kernel.pid_max" lori awọn ọna ṣiṣe 64-bit ti ṣeto nipasẹ aiyipada si 4194304 (22-bit PIDs dipo 16-bits), eyiti o dinku o ṣeeṣe ti awọn ikọlu nigba fifun awọn PID, mu opin si iye akoko kanna. awọn ilana ṣiṣe, ati pe o ni ipa rere lori aabo. Iyipada naa le ja si awọn ọran ibamu, ṣugbọn iru awọn ọran ko tii royin ni iṣe;
  • Nipa aiyipada, ipele kikọ yoo yipada si awọn ẹgbẹ-iṣọkan logalomomoise cgroups-v2 ("-Ddefault-hierarchy = iṣọkan"). Ni iṣaaju, aiyipada jẹ ipo arabara (“-Ddefault-hierarchy=arabara”);
  • Ihuwasi ti àlẹmọ ipe eto (SystemCallFilter) ti yipada, eyiti, ninu ọran ipe eto eewọ, ni bayi fopin si gbogbo ilana, dipo awọn okun kọọkan, niwọn igba ti ifopinsi awọn okun kọọkan le ja si awọn iṣoro airotẹlẹ. Awọn ayipada nikan kan ti o ba ni Linux ekuro 4.14+ ati libseccomp 2.4.0+;
  • Awọn eto ti ko ni anfani ni a fun ni agbara lati fi awọn apo-iwe ICMP Echo (ping) ranṣẹ nipa siseto sysctl "net.ipv4.ping_group_range" fun gbogbo awọn ẹgbẹ (fun gbogbo awọn ilana);
  • Lati mu ilana kikọ ni iyara, iran ti awọn iwe afọwọkọ eniyan ti duro nipasẹ aiyipada (lati kọ iwe ni kikun, o nilo lati lo aṣayan “-Dman = otitọ” tabi “-Dhtml = otitọ” fun awọn itọnisọna ni ọna kika html). Lati jẹ ki o rọrun lati wo awọn iwe-ipamọ, awọn iwe afọwọkọ meji wa: kọ / eniyan / eniyan ati kọ / ọkunrin / html fun ipilẹṣẹ ati iṣaju awọn iwe-itumọ ti iwulo;
  • Lati ṣe ilana awọn orukọ agbegbe pẹlu awọn kikọ lati awọn alfabeti orilẹ-ede, ile-ikawe libidn2 jẹ lilo nipasẹ aiyipada (lati pada libidn, lo aṣayan “-Dlibidn=otitọ”);
  • Atilẹyin fun faili /usr/sbin/halt.local executable faili, eyiti o pese iṣẹ ṣiṣe ti a ko pin kaakiri ni awọn pinpin, ti dawọ duro. Lati ṣeto ifilọlẹ awọn aṣẹ nigbati o ba tiipa, o niyanju lati lo awọn iwe afọwọkọ ni / usr/lib/systemd/system-shutdown/ tabi ṣalaye ẹyọ tuntun ti o da lori final.target;
  • Ni ipele ikẹhin ti tiipa, systemd bayi mu ipele log wọle laifọwọyi ni sysctl “kernel.printk”, eyiti o yanju iṣoro naa pẹlu iṣafihan ninu awọn iṣẹlẹ log ti o waye ni awọn ipele nigbamii ti tiipa, nigbati awọn daemons gedu deede ti pari tẹlẹ. ;
  • Ni journalctl ati awọn ohun elo miiran ti n ṣafihan awọn akọọlẹ, awọn ikilọ ni afihan ni awọ ofeefee, ati awọn igbasilẹ iṣayẹwo ti ṣe afihan ni buluu lati ṣe afihan wọn ni wiwo lati inu awujọ;
  • Ni iyipada ayika $PATH, ọna si bin/ ni bayi wa niwaju ọna si sbin/, i.e. Ti awọn orukọ kanna ba wa ti awọn faili ṣiṣe ni awọn ilana mejeeji, faili lati bin/ yoo ṣiṣẹ;
  • systemd-logind n pese ipe SetBrightness () lati yi imọlẹ iboju pada lailewu lori ipilẹ igba-kọọkan;
  • Awọn asia "-wait-for-initialization" ti wa ni afikun si aṣẹ "udevadm info" lati duro fun ẹrọ lati bẹrẹ;
  • Lakoko bata eto, olutọju PID 1 ṣe afihan awọn orukọ ti awọn ẹya dipo laini pẹlu apejuwe wọn. Lati yi pada si iwa ti o ti kọja, o le lo aṣayan StatusUnitFormat ni /etc/systemd/system.conf tabi systemd.status_unit_format kernel aṣayan;
  • Ṣafikun aṣayan KExecWatchdogSec si /etc/systemd/system.conf fun watchdog PID 1, eyiti o ṣalaye akoko ipari fun atunbẹrẹ lilo kexec. Eto atijọ
    ShutdownWatchdogSec ti ni lorukọmii si RebootWatchdogSec ati asọye akoko akoko kan fun awọn iṣẹ lakoko tiipa tabi tun bẹrẹ deede;

  • A ti ṣafikun aṣayan tuntun fun awọn iṣẹ Ipilẹṣẹ, eyiti o fun ọ laaye lati pato awọn aṣẹ ti yoo ṣiṣẹ ṣaaju ExecStartPre. Da lori koodu aṣiṣe ti o pada nipasẹ aṣẹ naa, a ṣe ipinnu lori ipaniyan siwaju sii ti ẹyọkan - ti koodu 0 ba pada, ifilọlẹ ẹyọ naa tẹsiwaju, ti 1 si 254 o dakẹ pari laisi asia ikuna, ti 255 ba pari pẹlu asia ikuna;
  • Ṣafikun iṣẹ tuntun systemd-pstore.service lati yọkuro data lati sys/fs/pstore/ ati lati fifipamọ si /var/lib/pstore fun itupalẹ siwaju;
  • Awọn ofin titun ti ni afikun si ohun elo timedatectl fun atunto awọn aye NTP fun systemd-timesyncd ni ibatan si awọn atọkun nẹtiwọki;
  • Aṣẹ "localectl-list-locales" ko ṣe afihan awọn agbegbe miiran ju UTF-8;
  • Ṣe idaniloju pe awọn aṣiṣe iṣẹ iyansilẹ oniyipada ni sysctl.d/ awọn faili ko ni bikita ti orukọ oniyipada ba bẹrẹ pẹlu kikọ “-”;
  • iṣẹ systemd-ID-seed.iṣẹ ti wa ni bayi šee igbọkanle lodidi fun initializing awọn entropy pool ti Linux ekuro pseudorandom nọmba monomono. Awọn iṣẹ ti o nilo ibẹrẹ ti o tọ / dev/urandom yẹ ki o bẹrẹ lẹhin ti systemd-random-seed.service;
  • Agberu bata bata systemd-boot n pese agbara yiyan lati ṣe atilẹyin faili irugbin pẹlu aileto ọkọọkan ni EFI System Partition (ESP);
  • Awọn ofin titun ti ni afikun si ohun elo bootctl: “bootctl ID-seed” lati ṣe agbekalẹ faili irugbin kan ninu ESP ati “bootctl ti fi sii” lati ṣayẹwo fifi sori ẹrọ ti bootd-boot bootloader. bootctl tun ti ṣatunṣe lati ṣe afihan awọn ikilọ nipa iṣeto ti ko tọ ti awọn titẹ sii bata (fun apẹẹrẹ, nigbati aworan ekuro ba paarẹ, ṣugbọn titẹ sii fun ikojọpọ o ti fi silẹ);
  • Pese yiyan aifọwọyi ti ipin swap nigbati eto naa lọ sinu ipo oorun. Awọn ipin ti yan da lori ayo tunto fun o, ati ninu ọran ti awọn ayo aami, iye ti free aaye;
  • Aṣayan akoko ipari bọtini faili ti a ṣafikun si /etc/crypttab lati ṣeto bi o ṣe pẹ to ẹrọ naa pẹlu bọtini fifi ẹnọ kọ nkan yoo duro ṣaaju ki o to beere fun ọrọ igbaniwọle kan lati wọle si ipin ti paroko;
  • Aṣayan IOWeight ti a ṣafikun lati ṣeto iwuwo I / O fun oluṣeto BFQ;
  • systemd-resolved fikun ipo ' muna' fun DNS-over-TLS ati imuse agbara lati kaṣe nikan awọn idahun DNS rere (“Kaṣe ko si-negative” ni resolved.conf);
  • Fun VXLAN, systemd-nẹtiwọọki ti ṣafikun aṣayan aṣayan GenericProtocolExtension lati mu awọn amugbooro ilana VXLAN ṣiṣẹ. Fun VXLAN ati GENEVE, aṣayan IPDoNotFragment ti ni afikun lati ṣeto asia idinamọ fragmentation fun awọn apo-iwe ti njade;
  • Ni systemd-nẹtiwọọki, ni apakan “[Ipana]”, aṣayan FastOpenNoCookie ti han lati mu ẹrọ ṣiṣẹ fun ṣiṣi awọn asopọ TCP ni kiakia (TFO - TCP Fast Open, RFC 7413) ni ibatan si awọn ipa-ọna kọọkan, ati aṣayan TTLPropagate. lati tunto TTL LSP (Label Switched Path). Aṣayan “Iru” n pese atilẹyin fun agbegbe, igbohunsafefe, eyikeyi simẹnti, multicast, eyikeyi ati awọn ipo ipa ọna xresolve;
  • Systemd-nẹtiwọọki nfunni ni aṣayan DefaultRouteOnDevice ni apakan “[Nẹtiwọọki]” lati tunto ipa ọna aiyipada laifọwọyi fun ẹrọ nẹtiwọọki kan;
  • Systemd-nẹtiwọọki ti ṣafikun ProxyARP ati
    ProxyARPWifi fun eto ihuwasi ARP aṣoju aṣoju, MulticastRouter fun eto awọn aye ipa-ọna ni ipo multicast, MulticastIGMPVersion fun iyipada ẹya IGMP (Ilana Iṣakoso Ẹgbẹ Intanẹẹti) fun multicast;

  • Systemd-networkd ti ṣafikun Agbegbe, Peer ati PeerPort awọn aṣayan fun awọn oju eefin FooOverUDP lati tunto awọn adiresi IP agbegbe ati latọna jijin, bakanna bi nọmba ibudo nẹtiwọki. Fun awọn tunnels TUN, aṣayan VnetHeader ti ni afikun lati tunto atilẹyin GSO (Generic Segment Offload);
  • Ni systemd-networkd, ni .nẹtiwọọki ati awọn faili ọna asopọ ni apakan [Match], aṣayan Ohun-ini kan ti han, eyiti o fun ọ laaye lati ṣe idanimọ awọn ẹrọ nipasẹ awọn ohun-ini pato wọn ni udev;
  • Ni systemd-nẹtiwọọki, aṣayan AssignToLoopback ti ṣafikun fun awọn tunnels, eyiti o ṣakoso boya ipari oju eefin naa ni a yàn si ẹrọ loopback “lo”;
  • systemd-nẹtiwọọki ṣiṣẹ laifọwọyi akopọ IPv6 ti o ba dina nipasẹ sysctl disable_ipv6 - IPv6 ti mu ṣiṣẹ ti awọn eto IPv6 (aimi tabi DHCPv6) ti ṣalaye fun wiwo nẹtiwọọki, bibẹẹkọ iye sysctl ti a ti ṣeto tẹlẹ ko yipada;
  • Ninu awọn faili .nẹtiwọọki, eto CriticalConnection ti rọpo nipasẹ aṣayan KeepConfiguration, eyiti o pese awọn ọna diẹ sii fun asọye awọn ipo (“bẹẹni”, “aimi”, “dhcp-on-stop”, “dhcp”) ninu eyiti eto-nẹtiwọọki yẹ ki o maṣe fi ọwọ kan awọn asopọ to wa tẹlẹ nigbati ibẹrẹ;
  • Ailagbara ti o wa titi CVE-2019-15718, ṣẹlẹ nipasẹ aini ti wiwọle Iṣakoso si awọn D-Bus ni wiwo eto-ipinnu. Ọrọ naa ngbanilaaye olumulo ti ko ni anfani lati ṣe awọn iṣẹ ṣiṣe ti o wa fun awọn alakoso nikan, gẹgẹbi iyipada awọn eto DNS ati didari awọn ibeere DNS si olupin rogue;
  • Ailagbara ti o wa titi CVE-2019-9619jẹmọ si ko muu pam_systemd fun ti kii-ibaraẹnisọrọ akoko, eyiti ngbanilaaye spoofing ti awọn ti nṣiṣe lọwọ igba.

orisun: opennet.ru

Fi ọrọìwòye kun