Pokračování v předvídatelném vývojovém cyklu, po 4 měsících vývoje byl odhalen zahájení nové verze systém 248.
V této nové verzie poskytuje podporu obrázků pro rozšiřování adresářů systém, nástroj systemd-cryptenroll, stejně jako schopnost odemknout LUKS2 pomocí čipů TPM2 a tokenů FIDO2, spouštění disků v izolovaném prostoru identifikátoru IPC a mnoho dalšího.
Hlavní nové funkce systemd 248
V této nové verzi byla implementována koncepce obrazů rozšíření systému, který lze použít k rozšíření hierarchie adresářů a přidání dalších souborů za běhu, i když jsou zadané adresáře připojeny jen pro čtení. Když je připojen obrázek rozšíření systému, jeho obsah je v hierarchii překryt pomocí OverlayFS.
Další změna, která vyniká, je tae navrhl nový obslužný systém systemd-sysext pro připojení, odpojení, prohlížení a aktualizaci obrázků systémová rozšíření plus služba systemd-sysext.service byla přidána k automatickému připojení již nainstalovaných obrazů při spuštění. Pro jednotky je implementována konfigurace ExtensionImages, kterou lze použít k propojení obrazů rozšíření systému s hierarchií oboru názvů FS jednotlivých izolovaných služeb.
Systemd-cryptsetup přidává schopnost extrahovat URI z tokenu PKCS # 11 a šifrovaný klíč ze záhlaví metadat LUKS2 ve formátu JSON, který umožňuje integrovat otevřené informace šifrovaného zařízení do samotného zařízení bez zapojení externích souborů poskytuje podporu pro odemčení šifrovaných oddílů LUKS2 pomocí čipů TPM2 a FIDO2 tokeny, navíc k dříve podporovaným tokenům PKCS # 11. Načítání libfido2 se provádí pomocí dlopen (), tj. Dostupnost se kontroluje za běhu, nikoli jako pevně zakódovaná závislost.
Také v systemd 248 systemd-networkd přidal podporu pro síťový protokol BATMAN («Lepší přístup k mobilním sítím Adhoc), který umožňuje vytvářet decentralizované sítě, každý uzel, kde se připojuje přes sousední uzly.
To je také zdůrazněno provádění mechanismu včasné reakce na zapomnění bylo stabilizováno v systému systemd-oomd, stejně jako možnost DefaultMemoryPressureDurationSec k nastavení času čekání na uvolnění prostředků před ovlivněním disku. Systemd-oomd používá subsystém jádra PSI (Pressure Stall Information) a umožňuje zjistit výskyt zpoždění kvůli nedostatku zdrojů a selektivní ukončení procesů náročných na zdroje ve fázi, kdy systém ještě není v kritickém stavu a nezačne silně ořezávat mezipaměť a přesouvat data do odkládací oblasti.
Přidán parametr PrivateIPCŽe umožňuje konfigurovat spouštění procesů v izolovaném prostoru IPC v jednotkovém souboru s vlastními identifikátory a frontou zpráv. Pro připojení disku k již vytvořenému prostoru identifikátoru IPC je k dispozici možnost IPCNamespacePath.
zatímco pro dostupná jádra bylo implementováno automatické generování tabulek systémových volání pro filtry seccomp.
Z další významné změny:
- Obslužný program systemd-distribuce přidal možnost aktivovat šifrované oddíly pomocí čipů TPM2, například za účelem vytvoření šifrovaného oddílu / var při prvním spuštění.
- Přidán obslužný program systemd-cryptenroll k navázání tokenů TPM2, FIDO2 a PKCS # 11 na oddíly LUKS a také k odepnutí a zobrazení tokenů, navázání náhradních klíčů a nastavení přístupového hesla.
- Byly přidány nastavení ExecPaths a NoExecPaths k použití příznaku noexec na konkrétní části systému souborů.
- Přidán parametr příkazového řádku jádra - „root = tmpfs“, který umožňuje připojení kořenového oddílu k dočasnému úložišti umístěnému v RAM pomocí Tmpfs.
- Blok s proměnnými vystaveného prostředí lze nyní konfigurovat pomocí nové možnosti ManagerEnvironment v system.conf nebo user.conf, nejen prostřednictvím příkazového řádku jádra a nastavení souboru jednotky.
- V době kompilace můžete použít systémové volání fexecve () namísto execve () ke spuštění procesů ke snížení zpoždění mezi kontrolou kontextu zabezpečení a jeho použitím.