主持人 > 博客 > 网络新闻 > systemd 系统管理器版本 253

systemd 系统管理器版本 253

经过三个半月的开发,系统管理器systemd 253发布了。

新版本的变化包括:

  • 该软件包包括“ukify”实用程序,旨在构建、验证和生成统一内核映像(UKI,统一内核映像)的签名,结合了用于从 UEFI(UEFI 启动存根)加载内核的处理程序、Linux 内核映像和系统环境加载到内存initrd中,用于挂载根文件系统之前阶段的初始初始化。 该实用程序取代了之前由“dracut -uefi”命令提供的功能,并补充了以下功能:自动计算 PE 文件中的偏移量、合并 initrd、签署嵌入式内核映像、使用 sbsign 创建组合映像、用于确定内核 uname 的启发式方法、检查带有启动屏幕的图像并添加由 systemd-measure 实用程序生成的签名 PCR 策略。
  • 添加了对 initrd 环境的支持,不受内存布局的限制,其中使用 overlayfs 而不是 tmpfs。 对于此类环境,systemd 在切换根文件系统后不会删除 initrd 中的所有文件。
  • “OpenFile”参数已添加到服务中,用于打开文件系统中的任意文件(或连接到 Unix 套接字)并将关联的文件描述符传递给启动的进程(例如,当您需要组织对文件的访问)非特权服务而不更改文件的访问权限)。
  • 在 systemd-cryptenroll 中,注册新密钥时,可以使用 FIDO2 令牌 (--unlock-fido2-device) 解锁加密分区,而无需密码。 用户指定的 PIN 码与盐一起存储,使暴力检测变得复杂。
  • 添加了 ReloadLimitIntervalSec 和 ReloadLimitBurst 设置,以及内核命令行选项(systemd.reload_limit_interval_sec 和 /systemd.reload_limit_burst)以限制后台进程重新启动的强度。
  • 对于单位,已实现“MemoryZSwapMax”选项来配置 memory.zswap.max 属性,该属性确定最大 zswap 大小。
  • 对于单位,已经实现了“LogFilterPatterns”选项,它允许您设置正则表达式来过滤输出到日志的信息(可用于排除某些输出或仅保存某些数据)。
  • 范围单元现在支持“OOMPolicy”设置,以设置在内存不足时尝试抢占时的行为(登录会话设置为 OOMPolicy=继续,以便 OOM 杀手不会强制终止它们)。
  • 定义了一种新的服务类型 - “Type=notify-reload”,它扩展了“Type=notify”类型,具有等待重启信号完成处理 (SIGHUP) 的能力。 服务 systemd-networkd.service、systemd-udevd.service 和 systemd-logind 已转移到新类型。
  • udev 对网络设备使用新的命名方案,不同之处在于,对于未绑定到 PCI 总线的 USB 设备,现在设置 ID_NET_NAME_PATH 以确保名称更可预测。 已为 SYMLINK 变量实现了“-=”运算符,如果之前定义了添加符号链接的规则,则符号链接将保持未配置状态。
  • 在 systemd-boot 中,内核中伪随机数生成器和磁盘后端的种子传输已被重新设计。 添加了对不仅从 ESP(EFI 系统分区)加载内核的支持,例如从固件加载或直接从 QEMU 加载内核。 提供 SMBIOS 参数解析以确定虚拟化环境中的启动。 已实现新的“if-safe”模式,其中仅当被认为是安全的(在虚拟机中运行)时才从 ESP 加载 UEFI 安全启动的证书。
  • bootctl 实用程序在所有 EFI 系统(虚拟化环境除外)上实现系统令牌的生成。 添加了“kernel-identify”和“kernel-inspect”命令以显示内核映像类型以及有关命令行选项和内核版本的信息,“unlink”以删除与第一种类型的引导记录关联的文件,“cleanup”以删除所有ESP 和 XBOOTLDR 中“entry-token”目录中的文件,与第一类引导记录无关。 已提供 KERNEL_INSTALL_CONF_ROOT 变量的处理。
  • “systemctl list-dependency”命令现在支持“--type”和“--state”选项的处理,“systemctl kexec”命令添加了对基于 Xen 虚拟机管理程序的环境的支持。
  • 在 [DHCPv4] 部分的 .network 文件中,现已添加对 SocketPriority 和 QuickAck、RouteMetric=high|medium|low 选项的支持。
  • Systemd-repart 添加了选项“--include-partitions”、“--exclude-partitions”和“--defer-partitions”以按 UUID 类型过滤分区,例如,允许您构建其中一个分区所在的映像基于另一个分区的内容构建。 还添加了选项“--sector-size”来指定创建分区时使用的扇区的大小。 添加了对erofs 文件生成的支持。 最小化设置实现“最佳”值的处理,以选择可能的最小图像尺寸。
  • systemd-journal-remote 允许使用 MaxUse、KeepFree、MaxFileSize 和 MaxFiles 设置来限制磁盘空间消耗。
  • systemd-cryptsetup 添加了对向 FIDO2 令牌发送主动请求的支持,以确定它们在身份验证之前是否存在。
  • 新参数 tpm2-measure-bank 和 tpm2-measure-pcr 已添加到 crypttab。
  • systemd-gpt-auto-generator 实现了在“noexec、nosuid、nodev”模式下挂载 ESP 和 XBOOTLDR 分区,并且还添加了对通过内核命令行传递的 rootfstype 和 rootflags 参数的说明。
  • systemd-resolved 提供了通过在内核命令行上指定名称服务器、域、network.dns 和 network.search_domains 选项来配置解析器参数的功能。
  • “systemd-analyzeplot”命令现在能够在指定“-json”标志时以 JSON 格式输出。 还添加了新选项“--table”和“-no-legend”来控制输出。
  • 2023 年,我们计划终止对 cgroups v1 和拆分目录层次结构的支持(其中 /usr 与根目录分开安装,或者 /bin 和 /usr/bin、/lib 和 /usr/lib 分开)。

来源: opennet.ru

添加评论