ProHoster > Блог > ayelujara iroyin > Itusilẹ oluṣakoso eto eto 248

Itusilẹ oluṣakoso eto eto 248

Lẹhin oṣu mẹrin ti idagbasoke, itusilẹ ti oluṣakoso eto systemd 248 ti gbekalẹ ni itusilẹ tuntun pese atilẹyin fun awọn aworan fun fifin awọn ilana ilana eto, faili iṣeto ni / ati be be lo / veritytab, ohun elo systemd-cryptenroll, ṣiṣi LUKS2 nipa lilo awọn eerun TPM2 ati FIDO2 awọn ami-ami, awọn ẹya nṣiṣẹ ni aaye idamo IPC ti o ya sọtọ, Ilana B.A.T.M.A.N fun awọn nẹtiwọki mesh, nftables backend fun systemd-nspawn. Systemd-oomd ti ni imuduro.

Awọn iyipada akọkọ:

  • Agbekale ti awọn aworan Ifaagun System ti ni imuse, eyiti o le ṣee lo lati faagun awọn logalomomoise ti / usr / ati / ijade / awọn ilana, ati ṣafikun awọn faili afikun ni akoko asiko, paapaa ti awọn ilana ti a ti sọ tẹlẹ ba ti gbe ka-nikan. Nigbati aworan ifaagun eto ba ti gbe soke, awọn akoonu rẹ jẹ bò lori /usr/ ati /opt/ logalomomoise nipa lilo OverlayFS.

    IwUlO tuntun kan, systemd-sysext, ti ni idamọran lati sopọ, ge asopọ, wo ati imudojuiwọn awọn aworan ti awọn amugbooro eto. Lati so awọn aworan ti a ti fi sii sori ẹrọ laifọwọyi lakoko bata, iṣẹ systemd-sysext.iṣẹ ti wa ni afikun. Fikun "SYSEXT_LEVEL=" paramita si faili os-tusilẹ lati pinnu ipele ti awọn amugbooro eto atilẹyin.

  • Fun awọn ẹyọkan, eto ExtensionImages ti ni imuse, eyiti o le ṣee lo lati sopọ awọn aworan ifaagun eto si ipo ipo orukọ FS ti awọn iṣẹ iyasọtọ kọọkan.
  • Fikun-un /etc/veritytab iṣeto ni faili lati tunto ijerisi data ni ipele Àkọsílẹ nipa lilo dm-verity module. Ọna kika faili naa jọra si /etc/crypttab - “section_name device_for_data device_for_hashes check_hash_root awọn aṣayan.” Ti ṣafikun systemd.verity.root_options kernel pipaṣẹ laini aṣayan lati tunto ihuwasi dm-verity fun ẹrọ gbongbo.
  • systemd-cryptsetup ṣe afikun agbara lati yọkuro PKCS # 11 token URI ati bọtini fifi ẹnọ kọ nkan lati akọsori metadata LUKS2 ni ọna kika JSON, gbigba alaye nipa ṣiṣi ohun elo ti paroko lati ṣepọ sinu ẹrọ funrararẹ laisi pẹlu awọn faili ita.
  • systemd-cryptsetup n pese atilẹyin fun ṣiṣi LUKS2 awọn ipin fifi ẹnọ kọ nkan nipa lilo awọn eerun TPM2 ati awọn ami FIDO2, ni afikun si awọn ami-ami PKCS # 11 ti atilẹyin tẹlẹ. Ikojọpọ libfido2 jẹ nipasẹ dlopen (), i.e. wiwa ti wa ni ẹnikeji lori awọn fly, dipo ju bi a lile-firanṣẹ gbára.
  • Awọn aṣayan titun “ko si iṣẹ-kikọ-iṣẹ” ati “aisi-kika-iṣẹ” ti ni afikun si /etc/crypttab fun systemd-cryptsetup lati jẹ ki iṣelọpọ amuṣiṣẹpọ ti I/O ti o ni nkan ṣe pẹlu fifi ẹnọ kọ nkan ati decryption.
  • IwUlO-repart ti eto ti ṣafikun agbara lati mu awọn ipin ti paroko ṣiṣẹ ni lilo awọn eerun TPM2, fun apẹẹrẹ, lati ṣẹda ipin ti paroko / var lori bata akọkọ.
  • IwUlO Systemd-cryptenroll ti ni afikun lati di TPM2, FIDO2 ati PKCS#11 awọn ami si awọn ipin LUKS, bakannaa lati ṣii ati wo awọn ami, di awọn bọtini apoju ati ṣeto ọrọ igbaniwọle kan fun iraye si.
  • Ti ṣafikun paramita PrivateIPC, eyiti o fun ọ laaye lati tunto faili ẹyọkan lati ṣiṣẹ awọn ilana ni aaye IPC ti o ya sọtọ pẹlu awọn idamọ lọtọ tiwọn ati isinyi ifiranṣẹ. Lati so ẹyọ kan pọ si aaye idanimọ IPC ti o ṣẹda tẹlẹ, aṣayan IPCnamespacePath ti wa ni idamọran.
  • Awọn afikun ExecPaths ati awọn eto NoExecPaths lati gba asia noexec laaye lati lo si awọn apakan kan pato ti eto faili naa.
  • systemd-nẹtiwọọki ṣe afikun atilẹyin fun Ilana apapo B.A.T.M.A.N. ("Ọna to dara si Nẹtiwọọki Adhoc Alagbeka"), eyiti o fun ọ laaye lati ṣẹda awọn nẹtiwọọki aipin, ipade kọọkan ninu eyiti a ti sopọ nipasẹ awọn apa adugbo. Fun iṣeto ni, apakan [BatmanAdvanced] ni .netdev, paramita BatmanAdvanced ni awọn faili nẹtiwọọki, ati iru ẹrọ tuntun “batadv” ni a dabaa.
  • Imuse ti ẹrọ idahun ni kutukutu fun iranti kekere ninu eto systemd-oomd ti ni iduroṣinṣin. Ṣe afikun aṣayan DefaultMemoryPressureDurationSec lati tunto akoko idaduro fun orisun kan lati tu silẹ ṣaaju ki o to kan ẹyọ kan. Systemd-oomd nlo eto inu ekuro PSI (Alaye Iduro Titẹ) ati gba ọ laaye lati rii ibẹrẹ ti awọn idaduro nitori aini awọn orisun ati yiyan fopin si awọn ilana aladanla awọn orisun ni ipele kan nigbati eto naa ko tii wa ni ipo to ṣe pataki ati pe ko si. bẹrẹ lati ge kaṣe naa ni itara ki o si yi data pada sinu ipin swap.
  • Fikun paramita laini aṣẹ kernel “root = tmpfs”, eyiti o fun ọ laaye lati gbe ipin root ni ibi ipamọ igba diẹ ti o wa ni Ramu ni lilo Tmpfs.
  • Paramita /etc/crypttab ti o sọ pato faili bọtini le tọka si AF_UNIX ati awọn iru socket SOCK_STREAM. Ni ọran yii, bọtini gbọdọ wa ni fifun nigbati o ba sopọ si iho, eyiti, fun apẹẹrẹ, le ṣee lo lati ṣẹda awọn iṣẹ ti o fun awọn bọtini ni agbara.
  • Orukọ ile-iṣẹ ifẹhinti fun lilo nipasẹ oluṣakoso eto ati eto-hostname le ti wa ni ṣeto ni awọn ọna meji: nipasẹ paramita DEFAULT_HOSTNAME ni os-release ati nipasẹ $SYSTEMD_DEFAULT_HOSTNAME oniyipada ayika. systemd-hostnamed tun ṣe amojuto “localhost” ni orukọ ile-iṣẹ ati ṣafikun agbara lati okeere orukọ agbalejo bi daradara bi awọn ohun-ini “HardwareVendor” ati “HardwareModel” nipasẹ DBus.
  • Àkọsílẹ pẹlu awọn oniyipada ayika ti o han ni a le tunto nipasẹ aṣayan ManagerEnvironment tuntun ni system.conf tabi user.conf, ati kii ṣe nipasẹ laini aṣẹ kernel ati awọn eto faili ẹyọkan.
  • Ni akoko akopọ, o ṣee ṣe lati lo ipe eto fexecve () lati bẹrẹ awọn ilana dipo execve () lati dinku idaduro laarin ṣiṣe ayẹwo agbegbe aabo ati lilo rẹ.
  • Fun awọn faili ẹyọkan, awọn iṣẹ iṣe tuntun ConditionSecurity=tpm2 ati ConditionCPUFeature ni a ti ṣafikun lati ṣayẹwo fun wiwa awọn ẹrọ TPM2 ati awọn agbara Sipiyu kọọkan (fun apẹẹrẹ, ConditionCPUFeature=rdrand le ṣee lo lati ṣayẹwo boya ero isise n ṣe atilẹyin iṣẹ RDRAND).
  • Fun awọn kernel ti o wa, iran adaṣe ti awọn tabili ipe eto fun awọn asẹ seccomp ti ni imuse.
  • Ṣafikun agbara lati paarọ awọn agbeko dipọ tuntun sinu awọn aaye orukọ ti o wa tẹlẹ ti awọn iṣẹ, laisi tun awọn iṣẹ naa bẹrẹ. Iyipada ni a ṣe pẹlu awọn aṣẹ 'systemctl bind …’ ati ‘systemctl mount-image …’.
  • Atilẹyin ti a ṣafikun fun sisọ awọn ipa-ọna ni fọọmu “truncate:” si StandardOutput ati awọn eto StandardError lati parẹ ṣaaju lilo.
  • Ṣe afikun agbara lati fi idi asopọ kan mulẹ si igba olumulo kan pato laarin apoti agbegbe kan si sd-akero. Fun apẹẹrẹ "systemctl -user -M lennart @ ibere quux".
  • Awọn paramita atẹle wọnyi ni imuse ni awọn faili systemd.link ni apakan [Ọna asopọ]:
    • Promiscuous - gba ọ laaye lati yi ẹrọ naa pada si ipo “promiscuous” lati ṣe ilana gbogbo awọn apo-iwe nẹtiwọọki, pẹlu awọn ti a ko koju si eto lọwọlọwọ;
    • TransmitQueues ati ReceiveQueues fun eto awọn nọmba ti TX ati RX queues;
    • TransmitQueueLength lati ṣeto iwọn isinyi TX; GenericSegmentOffloadMaxBytes ati GenericSegmentOffloadMaxSegment fun eto ifilelẹ lọ fun lilo GRO (Generic Gba Offload) ọna ẹrọ.
  • Awọn eto titun ti jẹ afikun si awọn faili systemd.network:
    • [Nẹtiwọọki] RouteTable lati yan tabili ipa-ọna;
    • [RoutingPolicyRule] Iru fun iru afisona ("blackhole, "unreachable", "eewọ");
    • [IPv6AcceptRA] RouteDenyList ati RouteAllowList fun awọn atokọ ti awọn ipolowo ti a gba laaye ati ti a kọ;
    • [DHCPv6] LoAdirẹsi lati foju foju kọ adirẹsi ti DHCP ti gbejade;
    • [DHCPv6PrefixDelegation] Ṣakoso Adirẹsi Igba otutu;
    • Ilana Iṣiṣẹ lati ṣalaye eto imulo nipa iṣẹ ṣiṣe wiwo (nigbagbogbo ṣetọju ipo UP tabi isalẹ, tabi gba olumulo laaye lati yi awọn ipinlẹ pada pẹlu aṣẹ “ip-ọna asopọ ṣeto dev”).
  • Fikun Ilana [VLAN], IngressQOSMaps, EgressQOSMaps, ati [MACVLAN] Awọn aṣayan BroadcastMulticastQueueLength si awọn faili systemd.netdev lati tunto mimu packet VLAN.
  • Da duro gbigbe / dev / liana ni ipo noexec bi o ṣe fa ija nigba lilo asia ti o ṣiṣẹ pẹlu / dev/sgx awọn faili. Lati da ihuwasi atijọ pada, o le lo NoExecPaths=/dev eto.
  • Awọn igbanilaaye faili / dev/vsock ti yipada si 0o666, ati awọn faili / dev/vhost-vsock ati / dev/vhost-net ti gbe lọ si ẹgbẹ kvm.
  • Ibi ipamọ data ID hardware ti gbooro pẹlu awọn oluka itẹka USB ti o ṣe atilẹyin ipo oorun ni deede.
  • systemd-ipinnu afikun atilẹyin fun ipinfunni awọn idahun si awọn ibeere DNSSEC nipasẹ ipinnu stub kan. Awọn alabara agbegbe le ṣe ijẹrisi DNSSEC lori ara wọn, lakoko ti awọn alabara ita wa ni isunmọ ti ko yipada si olupin DNS obi.
  • Ṣafikun aṣayan CacheFromLocalhost si resolved.conf, nigba ti ṣeto, systemd-resolved yoo lo caching paapaa fun awọn ipe si olupin DNS ni 127.0.0.1 (nipa aiyipada, caching ti iru awọn ibeere jẹ alaabo lati yago fun caching ilọpo meji).
  • systemd-resolved ṣe afikun atilẹyin fun RFC-5001 NSIDs ni agbegbe DNS resolver, gbigba awọn alabara laaye lati ṣe iyatọ laarin awọn ibaraenisepo pẹlu olupinnu agbegbe ati olupin DNS miiran.
  • IwUlO resolvectl ṣe imuse agbara lati ṣafihan alaye nipa orisun data (kaṣe agbegbe, ibeere nẹtiwọọki, esi ero isise agbegbe) ati lilo fifi ẹnọ kọ nkan nigbati o ba n gbe data lọ. Awọn aṣayan --cache, --synthesize, --network, --zone, --trust-anchor, ati --validate ti pese lati ṣakoso ilana ipinnu orukọ.
  • systemd-nspawn ṣe afikun atilẹyin fun atunto ogiriina kan nipa lilo awọn nftables ni afikun si atilẹyin iptables ti o wa tẹlẹ. Eto IPMasquerade ni systemd-nẹtiwọọki ti ṣafikun agbara lati lo ẹhin-orisun nftables.
  • systemd-localed fikun atilẹyin fun pipe locale-gen lati ṣe ipilẹṣẹ awọn agbegbe ti o padanu.
  • Awọn aṣayan --pager/-no-pager/-json= ni a ti fi kun si ọpọlọpọ awọn ohun elo lati mu ṣiṣẹ/padanu ipo paging ati ṣiṣejade ni ọna kika JSON. Ṣe afikun agbara lati ṣeto nọmba awọn awọ ti a lo ninu ebute nipasẹ SYSTEMD_COLORS oniyipada ayika ("16" tabi "256").
  • Itumọ pẹlu awọn ilana ilana lọtọ (pipin / ati / usr) ati atilẹyin cgroup v1 ti jẹ idiwọ.
  • Ẹka titunto si ni Git ti ni lorukọ lati 'ọga' si 'akọkọ'.

orisun: opennet.ru

Fi ọrọìwòye kun