systemd 252 arriba amb el suport d'UKI, millores i més

systemd

systemd és un conjunt de dimonis o daemons d'administració de sistema, biblioteques i eines dissenyats com a plataforma d'administració i configuració central per interactuar amb el nucli del sistema 

Després de cinc mesos de desenvolupament es va donar a conèixer el llançament de la nova versió de systemd 252, Versió en la qual el canvi clau en la nova versió va ser la integració de suport per a un procés d'arrencada modernitzada, que permet verificar no només el nucli i el carregador, sinó també els components de l'entorn del sistema subjacent mitjançant signatures digitals.

El mètode proposat implica l'ús d'una imatge de nucli unificada UKI (Imatge de kernel unificada) en carregar, que combina un controlador per carregar el kernel des de UEFI (stub d'arrencada UEFI), una imatge de kernel de Linux i l'entorn del sistema initrd carregat en memòria, utilitzat per a la inicialització inicial a l'etapa anterior al muntatge del FS root.

Bota de confiança
Article relacionat:
Proposen modernitzar el procés d'arrencada de Linux

En particular, les utilitats systemd-cryptsetup, systemd-cryptenroll i systemd-creds s'han adaptat per utilitzar aquesta informació, de manera que podeu assegurar-vos que les particions de disc encriptades estiguin vinculades a un nucli signat digitalment (en aquest cas, l'accés a la partició encriptada només es proporciona si la imatge UKI ha passat la verificació per signatura digital basada als paràmetres col·locats al TPM).

A més, s'inclou la utilitat systemd-pcrphase, que us permet controlar l'enllaç de diverses etapes d'arrencada als paràmetres col·locats a la memòria dels criptoprocessadors que admeten l'especificació TPM 2.0 (per exemple, pot fer que la clau de desxifrat de partició LUKS2 estigui disponible només a la imatge initrd i bloquejar l'accés a ella en descàrregues posteriors).

Principals novetats de systemd 252

Altres dels canvis que es destaquen a systemd 252, és que si va assegurar que la configuració regional predeterminada sigui C.UTF-8 si no s'especifica cap altra configuració regional a la configuració.

A més d'això a systemd 252 també es va implementar la capacitat de realitzar una operació de preajustament de servei complet («systemctl preset») durant la primera arrencada. Habilitar ajustaments preestablerts en el moment de l'arrencada requereix una compilació amb l'opció -Dfirst-boot-full-preset, però està previst que s'habiliti per defecte en versions futures.

A les unitats d'administració d'usuaris usen el controlador de recursos de la CPU, el que va fer possible garantir que la configuració de CPUWeight s'apliqui a totes les unitats de segment utilitzades per particionar el sistema en parts (app.slice, background.slice, session.slice) per aïllar recursos entre diferents serveis d'usuari, competint per els recursos de la CPU. CPUWeight també admet un valor «inactiu» per activar el mode de concessió adequat.

D'altra banda, en el procés d'inicialització (PID 1), es va afegir la capacitat d'importar credencials des de camps SMBIOS (Tipus 11, «cadenes de proveïdors OEM») a més de definir-les a través de qemu_fwcfg, cosa que simplifica la provisió de credencials a màquines virtuals i elimina la necessitat d'eines de tercers com cloud-init i ignició.

Durant l'apagat, la lògica per desmuntar els sistemes de fitxers virtuals (proc, sys) es va canviar i la informació sobre els processos que bloquegen el desmuntatge dels sistemes de fitxers es guarda al registre.

El carregador d'arrencada sd ha afegit la capacitat d'arrencar en mode mixt, on s'executa un nucli de Linux de 64 bits des d'un microprogramari UEFI de 32 bits. S'ha afegit la capacitat experimental per aplicar automàticament les claus SecureBoot dels fitxers que es troben a ESP (partició del sistema EFI).

S'han afegit noves opcions a la utilitat bootctl “–all-architectures” per instal·lar binaris per a totes les arquitectures EFI admeses, «–root=» i «–image=» per treballar amb un directori o imatge de disc, «–install- source =» per definir la font a instal·lar, «–efi-boot-option-description=» per controlar els noms de les entrades d'arrencada.

Dels altres canvis que es destaquen de systemd 252:

  • systemd-nspawn permet l'ús de rutes de fitxer relatives a les opcions “–bind=” i “–overlay=”. S'ha afegit suport per a l'opció 'rootidmap' a l'opció “–bind=” per vincular l'ID d'usuari arrel al contenidor al propietari del directori muntat al costat del host.
  • systemd-resolved utilitza el paquet OpenSSL com a backend de xifratge per defecte (la compatibilitat amb gnutls es conserva com a opció). Els algoritmes DNSSEC no admesos ara es tracten com a insegurs en lloc de tornar un error (SERVFAIL).
  • systemd-sysusers, systemd-tmpfiles i systemd-sysctl implementen la capacitat de passar la configuració mitjançant el mecanisme d'emmagatzematge de credencials.
  • S'ha afegit la comanda 'comparar versions' a systemd-analyze per comparar cadenes amb números de versió (similar a 'rpmdev-vercmp' i 'dpkg –compare-versions').
  • S'ha afegit la capacitat de filtrar unitats per màscara a l'ordre 'systemd-analyze dump'.
  • En triar un mode de suspensió de diverses etapes (suspendre i després hibernar, hibernació després d'hibernació), el temps que passa al mode d'espera ara se selecciona segons el pronòstic de la vida útil restant de la bateria.
  • Es fa una transició instantània al mode de suspensió quan hi ha menys del 5% de la càrrega de la bateria.

També val la pena esmentar que el 2024, systemd planeja deixar d'admetre el mecanisme de limitació de recursos de cgroup v1, obsolet a la versió 248 de systemd. Es recomana als administradors que s'encarreguin de moure els serveis vinculats amb cgroup v1 a cgroup v2 amb anticipació.

La diferència clau entre cgroups v2 i v1 és l'ús d'una jerarquia de cgroups comú per a tots els tipus de recursos, en comptes de jerarquies separades per a l'assignació de recursos de CPU, administració de memòria i E/S. Les jerarquies separades generen dificultats en l'organització de la interacció entre els controladors i els costos addicionals dels recursos del nucli en aplicar regles per a un procés esmentat en diferents jerarquies.

A la segona meitat del 2023, està previst deixar d'admetre jerarquies de directoris dividits, quan /usr es munti per separat de l'arrel, o els directoris /bin i /usr/bin, /lib i /usr/lib estiguin separats.


2 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Luix va dir

    més escombraries de lennart ..

  2.   anonimo va dir

    El tipus és emprat…i és bon empleat…acata perfectament al seu patró.