Выпуск системного менеджера systemd 250
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
После пяти месяцев разработки представлен релиз системного менеджера systemd 250. В новом выпуске появилась возможность хранения учётных данных в шифрованном виде, реализована верификация автоматически определяемых GPT-разделов по цифровой подписи, улучшено информирование о причинах возникновения задержек при запуске сервисов, добавлены опции для ограничения доступа сервиса к определённым файловым системам и сетевым интерфейсам, обеспечена поддержка контроля целостности разделов при помощи модуля dm-integrity, добавлена поддержка автообновления sd-boot.
Основные изменения:
- Добавлена поддержка шифрованных и аутентифицированных учётных данных, что может быть полезным для безопасного хранения конфиденциальных материалов, таких как SSL-ключи и пароли доступа. Расшифровка учётных данных производится только при необходимости и в привязке к локальной установке или оборудованию. Данные шифруются автоматически с использованием симметричных алгоритмов шифрования, ключ для которых может размещаться в файловой системе, в чипе TPM2 или с использованием комбинированной схемы. При запуске сервиса учётные данные автоматически расшифровываются и становятся доступны сервису в обычном виде. Для работы с зашифрованными учётными данными добавлена утилита 'systemd-creds', а для сервисов предложены настройки LoadCredentialEncrypted и SetCredentialEncrypted.
- В sd-stub, исполняемый файл для EFI, при помощи которого прошивка EFI загружает ядро Linux, добавлена поддержка загрузки ядра с использованием протокола LINUX_EFI_INITRD_MEDIA_GUID EFI. Также в sd-stub добавлена возможность упаковки учётных данных и файлов sysext в архив cpio и передачи этого архива ядру вместе с initrd (дополнительные файлы размещаются в каталоге /.extra/). Указанная возможность позволяет задействовать верифицируемое неизменное окружение initrd, дополняемое при помощи sysexts и зашифрованных данных для аутентификации.
- Существенно расширена спецификация Discoverable Partitions, предоставляющая средства для определения, монтирования и активации системных разделов, использующих GPT (GUID Partition Tables). По сравнению с прошлыми выпусками для большинства архитектур в спецификации реализована поддержка корневого раздела и раздела /usr, в том числе для платформ не использующих UEFI.
В Discoverable Partitions также добавлена поддержка разделов, целостность которых верифицируется модулем dm-verity с использованием цифровых подписей PKCS#7, что упрощает создание полностью аутентифицированных дисковых образов. Поддержка верификации интегрирована в различные утилиты, манипулирующие дисковыми образами, включая systemd-nspawn, systemd-sysext, systemd-dissect, сервисы с RootImage, systemd-tmpfiles и systemd-sysusers.
- Для долго запускаемых или останавливаемых unit-ов в дополнение к показу анимированного индикатора выполнения операции предоставлена возможность вывода сведений о состоянии, позволяющих понять, что именно происходит с сервисом в данный момент и завершения выполнения какого сервиса ожидает в данный момент системный менеджер.
- В /etc/systemd/system.conf и /etc/systemd/user.conf добавлен параметр DefaultOOMScoreAdjust, позволяющий откорректировать порог срабатывания OOM-killer при нехватке памяти, применимый к процессам, которые запускает systemd для системы и пользователей. По умолчанию вес системных сервисов выше, чем пользовательских, т.е. при нехватке памяти вероятность завершения пользовательских сервисов выше, чем системных.
- Добавлена настройка RestrictFileSystems, позволяющая ограничить доступ сервисов к определённым типам файловых систем. Для просмотра доступных типов ФС можно использовать команду "systemd-analyze filesystems". По аналогии реализована опция RestrictNetworkInterfaces, позволяющая ограничить доступ к определённым сетевым интерфейсам. Реализация основана на BPF-модуле LSM, ограничивающем доступ группы процессов к объектам ядра.
- Добавлен новый файл конфигурации /etc/integritytab и утилита systemd-integritysetup, настраивающие модуль dm-integrity для контроля целостности данных на уровне отдельных секторов, например, для гарантирования неизменности зашифрованных данных (Authenticated Encryption, гарантирует, что блок данных не был модифицирован обходным путём). Формат файла /etc/integritytab аналогичен файлам /etc/crypttab и /etc/veritytab, за тем исключением, что вместо dm-crypt и dm-verity применяется dm-integrity.
- Добавлен новый unit-файл systemd-boot-update.service, при активации которого и наличии установленного загрузчика sd-boot, systemd автоматически будет обновлять версию загрузчика sd-boot, поддерживая код загрузчика всегда в актуальном состоянии.
Сам sd-boot теперь по умолчанию собирается с поддержкой механизма SBAT (UEFI Secure Boot Advanced Targeting), решающего проблемы с отзывом сертификатов для UEFI Secure Boot. Кроме того, в sd-boot обеспечена возможность разбора загрузочных настроек Microsoft Windows для корректного формирования названий загрузочных разделов с Windows и показа версии Windows.
В sd-boot также предоставлена возможность определения цветовой схемы на этапе сборки. В процессе загрузки добавлена поддержка смены разрешения экрана нажатием клавиши "r". Добавлена горячая клавиша "f" для перехода в интерфейс настройки прошивки. Добавлен режим автоматической загрузки системы, соответствующей элементу меню, выбранному при прошлой загрузке. Добавлена возможность автоматической загрузки EFI-драйверов, размещённых в каталоге /EFI/systemd/drivers/ в разделе ESP (EFI System Partition).
- В состав включён новый unit-файл factory-reset.target, обрабатываемый в systemd-logind по аналогии с операциями reboot, poweroff, suspend и hibernate, и применяемый для создания обработчиков для выполнения сброса к заводским настройкам.
- Процесс systemd-resolved теперь создаёт дополнительный слушающий сокет на адресе 127.0.0.54 в дополнение к 127.0.0.53. Приходящие на адрес 127.0.0.54 запросы всегда перенаправляются на вышестоящий DNS-сервер и не обрабатываются локально.
- Предоставлена возможность сборки systemd-importd и systemd-resolved с библиотекой OpenSSL вместо libgcrypt.
- Добавлена начальная поддержка архитектуры LoongArch, применяемой в процессорах Loongson.
- В systemd-gpt-auto-generator реализована возможность автоматической настройки определяемых системой разделов подкачки, зашифрованных подсистемой LUKS2.
- В коде разбора GPT-образов, используемом в systemd-nspawn, systemd-dissect и подобных утилитах, реализована возможность декодирования образов для других архитектур, что позволяет использовать systemd-nspawn для запуска образов в эмуляторах других архитектур.
- При инспектировании дисковых образов в systemd-dissect теперь выводятся сведения о назначении раздела, например, пригодности загрузки через UEFI или запуске в контейнере.
- В файлы system-extension.d/ добавлено поле "SYSEXT_SCOPE", позволяющее обозначить область применения системного образа - "initrd", "system" или "portable".
- В файл os-release добавлено поле "PORTABLE_PREFIXES", которое можно использовать в переносимых образах для определения поддерживаемых префиксов unit-файлов.
- В systemd-logind реализованы новые настройки HandlePowerKeyLongPress,
HandleRebootKeyLongPress, HandleSuspendKeyLongPress и
HandleHibernateKeyLongPress, которые можно использовать для определения действий при удержании определённых клавиш дольше 5 секунд (например, при быстром нажатии клавиши Suspend можно настроить переход в ждущий режим, а при удержании - в спящий).
- Для unit-ов реализованы настройки StartupAllowedCPUs и
StartupAllowedMemoryNodes, которые отличаются от аналогичных настроек без префикса Startup тем, что применяются только на этапе загрузки и завершения работы, что позволяет выставить иные ограничения ресурсов при загрузке.
- Добавлены проверки [Condition|Assert][Memory|CPU|IO]Pressure, позволяющие пропустить или завершить ошибкой активацию unit-а в случае определения через механизм PSI большой нагрузки на память, CPU и ввод/вывод в системе.
- Устанавливаемое по умолчанию ограничение на максимальное число inode увеличено для раздела /dev с 64k до 1M, а для /tmp с 400k до 1M.
- Для сервисов предложена настройка ExecSearchPath, дающая возможность изменить путь для поиска исполняемых файлов, запускаемых через настройки, подобные
ExecStart.
- Добавлена настройка RuntimeRandomizedExtraSec, позволяющая внести случайные отклонения в таймаут RuntimeMaxSec, ограничивающий время выполнения юнита.
- Расширен синтаксис настроек RuntimeDirectory,
StateDirectory, CacheDirectory и LogsDirectory, в которых через указание дополнительного значения, разделённого двоеточием, теперь можно организовать создание символической ссылки на заданный каталог для организации доступа по нескольким путям.
- Для сервисов предложены настройки TTYRows и TTYColumns для задания числа строк и столбцов в устройстве TTY.
- Добавлена настройка ExitType, позволяющая изменить логику определения завершения сервиса. По умолчанию systemd отслеживает завершение только основного процесса, но при выставлении ExitType=cgroup системный менеджер будет ждать завершения последнего процесса в cgroup.
- Реализация поддержки TPM2/FIDO2/PKCS11 в systemd-cryptsetup теперь также собирается в виде плагина к cryptsetup, что позволяет использовать обычную команду cryptsetup для разблокирования шифрованного раздела.
- В обработчике TPM2 в systemd-cryptsetup/systemd-cryptsetup добавлена поддержка первичных ключей RSA, помимо ключей ECC, для улучшения совместимости с чипами, не поддерживающими ECC.
- В /etc/crypttab добавлена опция token-timeout, позволяющая определить максимальное время ожидания подключения токена PKCS#11/FIDO2, после истечения которого будет выведен запрос ввода пароля или ключа восстановления.
- В systemd-timesyncd реализована настройка SaveIntervalSec, позволяющая периодически сохранять значение текущего системного времени на диск, например, для реализации монотонных часов на системах без RTC.
- В утилиту systemd-analyze добавлены опции: "--image" и "--root" для проверки unit-файлов внутри заданного образа или корневого каталога, "--recursive-errors" для учёта зависимых юнитов при выявлении ошибки, "--offline" для проверки отдельно сохранённых на диск unit-файлов, "--json" для вывода в формате JSON, "--quiet" для отключения неважных сообщений, "--profile" для привязки к переносимому профилю. Также добавлена команда inspect-elf для разбора core-файлов в формате ELF и возможность проверки unit-файлов с заданным именем юнита, независимо от того совпадает ли это имя с именем файла.
- В systemd-networkd расширена поддержка шины CAN (Controller Area Network). Добавлены настройки для управления режимами CAN: Loopback,
OneShot, PresumeAck и ClassicDataLengthCode. В секцию [CAN] файлов .network добавлены опции TimeQuantaNSec,
PropagationSegment, PhaseBufferSegment1, PhaseBufferSegment2,
SyncJumpWidth, DataTimeQuantaNSec, DataPropagationSegment,
DataPhaseBufferSegment1, DataPhaseBufferSegment2 и
DataSyncJumpWidth для управления битовой синхронизацией интерфейса CAN.
- В systemd-networkd для клиента DHCPv4 добавлена опция Label, позволяющая настроить метку адресов, применяемую при конфигурации адресов IPv4.
- В systemd-udevd для "ethtool" реализована поддержка специальных значений "max", выставляющих размер буфера в максимальное значение, поддерживаемое оборудованием.
- В .link-файлах для systemd-udevd теперь можно настроить различные параметры объединения сетевых адаптеров и подключения аппаратных обработчиков (offload).
- В systemd-networkd по умолчанию предложены новые .network-файлы:
80-container-vb.network для определения сетевых мостов, созданных при запуске systemd-nspawn с опциями "--network-bridge" или "--network-zone"; 80-6rd-tunnel.network для определения туннелей, автоматически созданных при получении DHCP-ответа с опцией 6RD.
- В systemd-networkd и systemd-udevd добавлена поддержка проброса IP поверх интерфейсов InfiniBand, для которой в файлы systemd.netdev добавлена секция "[IPoIB]", а в настройке Kind реализована обработка значения "ipoib".
- В systemd-networkd обеспечена автоматическая настройка маршрутов для адресов, указанных в параметре AllowedIPs, которая может быть настроена через параметры
RouteTable и RouteMetric в секциях [WireGuard] и [WireGuardPeer].
- В systemd-networkd обеспечена автоматическая генерация не меняющихся MAC-адресов для интерфейсов batadv и bridge. Для отключения данного поведения можно указать значение MACAddress=none в файлах .netdev.
- В файлы .link в секцию "[Link]" добавлена настройка WakeOnLanPassword, для определения пароля при работе WoL в режиме "SecureOn".
- В секцию "[CAKE]" файлов .network добавлены настройки AutoRateIngress, CompensationMode, FlowIsolationMode, NAT,
MPUBytes, PriorityQueueingPreset, FirewallMark, Wash, SplitGSO и
UseRawPacketSize для определения параметров механизма управления сетевыми очередями CAKE (Common Applications Kept Enhanced).
- В секцию "[Network]" файлов .network добавлена настройка IgnoreCarrierLoss, позволяющая определить как долго ждать перед тем как реагировать на потерю несущего сигнала.
- В systemd-nspawn, homectl, machinectl и systemd-run расширен синтаксис параметра
"--setenv" - если указано только имя переменной (без "="), значение будет взято из соответствующей переменной окружения (например, при указании "--setenv=FOO" будет взято значение из переменной окружения $FOO и использовано в выставляемой в контейнере одноимённой переменной окружения).
- В systemd-nspawn добавлена опция "--suppress-sync" для отключения выполнения системных вызовов sync()/fsync()/fdatasync() при создании контейнера (полезно, когда скорость имеет первоочередное значение, а сохранение сборочных артефактов в случае сбоя не важно, так как они могут быть повторно созданы в любой момент).
- Добавлена новая база данных hwdb, в которую включены различные типы анализаторов сигналов (мультиметры, анализаторы протоколов, осциллографы и т.п.). Информация о камерах в hwdb расширена полем с информацией о типе камеры (обычная или инфракрасная) и размещения объектива (спереди или сзади).
- Обеспечена генерация не меняющихся имён сетевых интерфейсов для устройств netfront, применяемых в Xen.
- Анализ core-файлов утилитой systemd-coredump на базе библиотек libdw/libelf теперь производится в отдельном процессе, изолированном в sandbox-окружении.
- В systemd-importd добавлена поддержка переменных окружения
$SYSTEMD_IMPORT_BTRFS_SUBVOL, $SYSTEMD_IMPORT_BTRFS_QUOTA,
$SYSTEMD_IMPORT_SYNC, при помощи которых можно отключить генерацию подразделов Btrfs, а также настроить квоты и синхронизацию дисков.
- В systemd-journald на файловых системах с поддержкой режима copy-on-write обеспечено повторное включение режима COW для архивных журналов, что позволяет обеспечить их сжатие силами Btrfs.
- В systemd-journald реализована дедупликация одинаковых полей в одном сообщении, которая выполняется на этапе перед помещением сообщения в журнал.
- В команду shutdown добавлена опция "--show" для отображения запланированного завершения работы.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://lists.freedesktop.org/...)
- OpenNews: Выпуск системного менеджера systemd 249
- OpenNews: Системный менеджер InitWare, форк systemd, портирован для OpenBSD
- OpenNews: Леннарт Поттеринг попытался развенчать типичные мифы о systemd
- OpenNews: Сравнение систем инициализации systemd, upstart и SysVinit
- Наиболее частые заблуждения про Systemd
Похожие новости:
- Системный менеджер InitWare, форк systemd, портирован для OpenBSD
- Root-уязвимость в ядре Linux и отказ в обслуживании в systemd
- [Open source, Виртуализация, Карьера в IT-индустрии, Openshift] Quarkus и разработка еdge-систем IoT, шпаргалка по Kubernetes, а также электронная книга «Ansible for DevOps»
- [Системное администрирование, *nix, Серверное администрирование] 5 возможностей systemd, которые нравятся сисадминам (перевод)
- Выпуск системного менеджера systemd 248
- [Настройка Linux] Чиним резолвинг адресов в VPN-локалке (openconnect) для docker и systemd-resolved
- [Настройка Linux, Системное администрирование, Серверная оптимизация, Серверное администрирование, DevOps] journald вместо syslog
- Выпуск дистрибутива Devuan 3.1, форка Debian без systemd
- [Настройка Linux, Системное администрирование, Серверное администрирование, Резервное копирование] Настраиваем Restic с systemd на Linux
- [Настройка Linux, Системное администрирование, *nix] Systemd для продолжающих. Part 2 — Триггеры на различные события
Теги для поиска: #_systemd
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 21:19
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
После пяти месяцев разработки представлен релиз системного менеджера systemd 250. В новом выпуске появилась возможность хранения учётных данных в шифрованном виде, реализована верификация автоматически определяемых GPT-разделов по цифровой подписи, улучшено информирование о причинах возникновения задержек при запуске сервисов, добавлены опции для ограничения доступа сервиса к определённым файловым системам и сетевым интерфейсам, обеспечена поддержка контроля целостности разделов при помощи модуля dm-integrity, добавлена поддержка автообновления sd-boot. Основные изменения:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 21:19
Часовой пояс: UTC + 5