systemd е набор от демони за системно администриране, библиотеки и инструменти, проектирани като централна платформа за конфигурация и администриране за взаимодействие със системното ядро.
След пет месеца развитие беше обявено пускането на новата версия на systemd 252, версия, в която ключовата промяна в новата версия беше интегрирането на подкрепа за модернизиран процес на зареждане, което позволява проверка не само на ядрото и буутлоудъра, но и на компонентите на основната системна среда с помощта на цифрови подписи.
Предложеният метод включва използването на UKI унифициран образ на ядрото (Unified kernel image) при зареждане, който съчетава драйвер за зареждане на ядрото от UEFI (UEFI boot stub), изображение на ядрото на Linux и системната среда initrd, заредена в паметта, използвана за първоначална инициализация в предишния етап към основното монтиране на FS .
По-специално ползите systemd-cryptsetup, systemd-cryptenroll и systemd-creds са адаптирани за да използвате тази информация, така че можете да гарантирате, че шифрованите дискови дялове са обвързани с цифрово подписано ядро (в този случай достъпът до шифрования дял се предоставя само ако UKI изображението е преминало проверка, базирана на цифров подпис). в поставените параметри в TPM).
Освен това е включена помощната програма systemd-pcrphase, която ви позволява да контролирате обвързването на различни етапи на зареждане с параметри, поставени в паметта от криптопроцесори, които поддържат спецификацията TPM 2.0 (например, можете да направите ключа за декриптиране на дял LUKS2 достъпен само в изображението initrd и блокирайте достъпа до него при следващи изтегляния).
Основни нови функции на systemd 252
Други промени, които се открояват в systemd 252, е, че sУверете се, че локалът по подразбиране е C.UTF-8 ако в конфигурацията не е посочен друг локал.
В допълнение към него в systemd 252 също въведена възможност за извършване на пълна сервизна предварително зададена операция ("systemctl preset") по време на първото зареждане. Активирането на предварителни настройки по време на зареждане изисква компилация с опцията „-Dfirst-boot-full-preset“, но се планира да бъде активирана по подразбиране в бъдещи версии.
В единиците за управление на потребителите използвайте контролера на ресурсите на процесора, което направи възможно да се гарантира, че настройката CPUWeight се прилага към всички срезове, използвани за разделяне на системата на срезове (app.slice, background.slice, session.slice), за да се изолират ресурси между различни потребителски услуги, конкуриращи се за ресурси на процесора. CPUWeight също така поддържа стойност "idle" за задействане на правилния режим на лизинг.
От друга страна, в процеса на инициализация (PID 1), добавена възможност за импортиране на идентификационни данни от SMBIOS полета (Тип 11, „Вериги на доставчици на OEM“), както и дефинирането им чрез qemu_fwcfg, което опростява предоставянето на идентификационни данни за виртуални машини и елиминира нуждата от инструменти на трети страни като cloud -init и ignition.
По време на изключване логиката за демонтиране на виртуални файлови системи (proc, sys) беше променена и информацията за процеси, блокиращи демонтирането на файлова система, се записва в журнала.
SD буутлоудърът е добавил възможност за зареждане в смесен режим, стартиране на 64-битово Linux ядро от 32-битов UEFI фърмуер. Добавена е експериментална възможност за автоматично прилагане на SecureBoot ключове от файлове, разположени на ESP (системен дял EFI).
Добавени са нови опции към помощната програма bootctl „–all-architectures“ за инсталиране на двоични файлове за всички поддържани EFI архитектури, «–root=“ и „–image=» за работа с директория или изображение на диск, «--install-source=» за определяне на шрифта за инсталиране, «--efi-boot-option-description=» за управление на имената на записите за зареждане.
От останалите промени които се отличават от systemd 252:
- systemd-nspawn позволява използването на относителни файлови пътища в опциите „–bind=” и „–overlay=”. Добавена е поддръжка за опцията „rootidmap“ към опцията „–bind=" за обвързване на root потребителския идентификатор в контейнера към собственика на монтираната директория от страната на хоста.
- systemd-resolved използва пакета OpenSSL като бекенд за криптиране по подразбиране (поддръжката на gnutls се запазва като опция). Неподдържаните DNSSEC алгоритми вече се третират като несигурни, вместо да връщат грешка (SERVFAIL).
- systemd-sysusers, systemd-tmpfiles и systemd-sysctl реализират способността за предаване на конфигурация през механизма за съхранение на идентификационни данни.
- Добавена е команда „сравняване на версиите“ към systemd-analyze за сравняване на низове с номера на версията (подобно на „rpmdev-vercmp“ и „dpkg –compare-versions“).
- Добавена е възможност за филтриране на устройства по маска към командата 'systemd-analyze dump'.
- Когато избирате многоетапен режим на заспиване (заспиване, след това хибернация, хибернация след хибернация), времето, прекарано в режим на готовност, сега се избира въз основа на прогнозата за оставащия живот на батерията.
- Мигновено преминаване към режим на заспиване се извършва, когато зарядът на батерията е по-малък от 5%.
Струва си да се спомене и това през 2024 г. systemd планира да спре да поддържа механизма за ограничаване на ресурсите на cgroup v1, отхвърлен във версия 248 на systemd. Препоръчва се на администраторите да се погрижат за преместването на услуги, свързани с cgroup v1, към cgroup v2 предварително.
Ключовата разлика между cgroups v2 и v1 е използването на обща йерархия на cgroups за всички типове ресурси, вместо отделни йерархии за разпределение на ресурси на процесора, управление на паметта и I/O. Отделните йерархии водят до трудности при организирането на взаимодействието между драйверите и допълнителни разходи за ресурси на ядрото при прилагане на правила за наименуван процес в различни йерархии.
През втората половина на 2023 г. се планира да спре поддръжката на разделени йерархии на директории, когато /usr се монтира отделно от root или /bin и /usr/bin, /lib и /usr/lib директории са разделени.
още боклуци от lennart..
Момчето е служител… и е добър служител… съобразява се идеално с работодателя си.