systemd 248 arriba amb millores per al desbloqueig de tokens, suport d'imatges per expandir directoris i mes

Darkcrizt | | Programari per a Linux

sense comentaris

systemd-245

Continuant amb un cicle de desenvolupament predictible, després de 4 mesos de desenvolupament es va donar a conèixer el llançament de la nova versió de systemd 248.

En aquesta nova versió si proporciona suport per a imatges per expandir directoris de sistema, la utilitat systemd-cryptenroll, Així com també la capacitat de desbloquejar LUKS2 usant xips TPM2 i tokens FIDO2, Llançar unitats en un espai d'identificador IPC aïllat i molt més.

Principals novetats de systemd 248

En aquesta nova versió es va implementar el concepte d'imatges d'extensió de el sistema, que es poden usar per a expandir la jerarquia dels directoris i afegir arxius addicionals en runtimes, fins i tot si els directoris especificats estan muntats com només de lectura. Quan es munta una imatge d'extensió de sistema, el seu contingut es superposa a la jerarquia usant OverlayFS.

Un altre canvi que es destaca, és que si ha proposat una nova utilitat systemd-sysext per connectar, desconnectar, veure i actualitzar imatges d'extensions de sistema, a més que s'ha afegit el servei systemd-sysext.service per muntar automàticament imatges ja instal·lades en el moment de l'arrencada. Per a les unitats, s'implementa la configuració ExtensionImages, que es pot utilitzar per vincular imatges d'extensió de sistema a la jerarquia de l'espai de noms FS de serveis aïllats individuals.

Systemd-cryptsetup afegeix la capacitat d'extreure l'URI de el testimoni PKCS # 11 i la clau xifrada de la capçalera de metadades LUKS2 en format JSON, el que permet integrar la informació oberta de el dispositiu xifrat en el propi dispositiu sense involucrar arxius externs, a més proporciona suport per desbloquejar particions xifrades LUKS2 usant xips TPM2 i tokens FIDO2, a més dels tokens PKCS # 11 prèviament admesos. La càrrega de libfido2 es realitza a través d'dlopen (), és a dir la disponibilitat es comprova sobre la marxa, no en forma de dependència codificada.

A més, en systemd 248 systemd-networkd ha afegit suport per al protocol mesh BATMAN ( «Better Approach To Mobile Adhoc Networking), que permet crear xarxes descentralitzades, Cada node en el qual es connecta a través de nodes veïns.

També es destaca que s'ha estabilitzat la implementació de l'mecanisme de resposta primerenca a la manca de memòria en el sistema systemd-oomd, així com també l'opció DefaultMemoryPressureDurationSec per establir el temps d'espera per a l'alliberament de recursos abans d'afectar una unitat. Systemd-oomd utilitza el subsistema de nucli PSI (Pressure Stall Information) i permet detectar l'aparició de retards a causa de la manca de recursos i tancar selectivament els processos que consumeixen molts recursos en una etapa en què el sistema encara no està en un estat crític i no ho fa començar a retallar intensament la memòria cau i desplaçar les dades a la partició d'intercanvi.

Es va agregar el paràmetre PrivateIPC, que permet configurar el llançament de processos en un espai IPC aïllat en un arxiu unitari amb els seus propis identificadors i cua de missatges. Per connectar una unitat a un espai d'identificador d'IPC ja creat, s'ofereix l'opció IPCNamespacePath.

Mentre que per als kernels disponibles, es va implementar la generació automàtica de taules de trucades a sistema per a filtres seccomp.

Dels altres canvis que es destaquen:

  • La utilitat systemd-REPART ha afegit la capacitat d'activar particions encriptades utilitzant xips TPM2, per exemple, per crear una partició / var encriptada en la primera arrencada.
  • Es va agregar la utilitat systemd-cryptenroll per vincular tokens TPM2, FIDO2 i PKCS # 11 a particions LUKS, així com per desancorar i veure tokens, vincular claus de recanvi i establir una clau d'accés.
  • Es van agregar configuracions de ExecPaths i NoExecPaths per aplicar l'indicador noexec a parts específiques de sistema d'arxius.
  • Es va agregar un paràmetre de línia d'ordres de l'nucli - «root = tmpfs», que permet muntar la partició arrel en un emmagatzematge temporal ubicat a la RAM usant tmpfs.
  • Un bloc amb variables d'entorn exposades ara es pot configurar a través de la nova opció ManagerEnvironment en system.conf o user.conf, no només a través de la línia d'ordres de l'nucli i la configuració de l'arxiu d'unitat.
  • En temps de compilació, és possible fer servir la crida a sistema fexecve () en lloc de execve () per iniciar processos per reduir el retard entre verificar el context de seguretat i aplicar-lo.

El contingut d'l'article s'adhereix als nostres principis de ètica editorial. Per notificar un error punxa aquí.

Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.