Po pěti měsících vývoje bylo oznámeno vydání nové verze systemd 252verze, ve které klíčovou změnou v nové verzi byla integrace podpora pro modernizovaný proces spouštění, což umožňuje ověřit nejen jádro a bootloader, ale také komponenty základního systémového prostředí pomocí digitálních podpisů.
Navrhovaná metoda zahrnuje použití jednotného obrazu jádra UKI (Unified kernel image) při načítání, který kombinuje ovladač pro načtení jádra z UEFI (UEFI boot stub), obraz jádra Linuxu a systémové prostředí initrd načtené do paměti, používané pro počáteční inicializaci v předchozí fázi do kořenového připojení FS .
Zejména výhody systemd-cryptsetup, systemd-cryptenroll a systemd-creds byly upraveny použít tyto informace, takže můžete zajistit, že šifrované diskové oddíly jsou svázány s digitálně podepsaným jádrem (v tomto případě je přístup k šifrovanému oddílu poskytován pouze v případě, že obraz UKI prošel ověřením založeným na digitálním podpisu). v TPM).
Kromě toho je zahrnut obslužný program systemd-pcrphase, který umožňuje řídit vazbu různých fází spouštění na parametry umístěné v paměti kryptoprocesory, které podporují specifikaci TPM 2.0 (například můžete nastavit, aby byl dešifrovací klíč oddílu LUKS2 dostupný pouze v obrazu initrd a zablokovat k němu přístup při dalších stahováních).
Hlavní nové funkce systemd 252
Další změny, které vynikají v systemd 252, je to, že sUjistěte se, že výchozí národní prostředí je C.UTF-8 pokud v konfiguraci není zadáno žádné jiné národní prostředí.
Kromě toho v systemd 252 také implementovala schopnost provádět přednastavenou operaci plného servisu ("systemctl preset") během prvního spouštění. Povolení předvoleb při spouštění vyžaduje sestavení s volbou "-Dfirst-boot-full-preset", ale v budoucích verzích se plánuje, že bude standardně povolena.
V jednotkách správy uživatelů použijte řadič prostředků CPU, což umožnilo zajistit, aby bylo nastavení CPUWeight aplikováno na všechny jednotky řezů používané k rozdělení systému na řezy (app.slice, background.slice, session.slice), aby se izolovaly zdroje mezi různými uživatelskými službami, které soutěží o zdroje CPU. CPUWeight také podporuje hodnotu "idle" pro spuštění správného režimu zapůjčení.
Na druhou stranu v procesu inicializace (PID 1), přidána možnost importovat přihlašovací údaje z polí SMBIOS (Typ 11, „řetězce poskytovatelů OEM“) a také jejich definování pomocí qemu_fwcfg, což zjednodušuje poskytování přihlašovacích údajů pro virtuální stroje a eliminuje potřebu nástrojů třetích stran, jako je cloud-init a zapalování.
Během vypínání se změnila logika odpojování virtuálních souborových systémů (proc, sys) a do protokolu se ukládají informace o procesech blokujících odpojení souborového systému.
Zavaděč sd přidal možnost spouštění ve smíšeném režimu, běžící 64bitové jádro Linuxu z 32bitového firmwaru UEFI. Přidána experimentální schopnost automaticky aplikovat klíče SecureBoot ze souborů umístěných v ESP (EFI System Partition).
Přidány nové možnosti do utility bootctl „–all-architectures“ k instalaci binárních souborů pro všechny podporované architektury EFI, «–root=“ a „–image=» pracovat s obrazem adresáře nebo disku, «--install-source=» definovat písmo, které se má nainstalovat, «--efi-boot-option-description=» pro ovládání názvů zaváděcích položek.
Z dalších změn které se odlišují od systemd 252:
- systemd-nspawn umožňuje použití relativních cest k souboru ve volbách „–bind=“ a „–overlay=“. Do volby "–bind=" byla přidána podpora pro volbu 'rootidmap', která sváže ID uživatele root v kontejneru s vlastníkem připojeného adresáře na straně hostitele.
- systemd-resolved standardně používá balíček OpenSSL jako šifrovací backend (podpora gnutls je zachována jako možnost). Nepodporované algoritmy DNSSEC jsou nyní považovány za nezabezpečené namísto vracení chyby (SERVFAIL).
- systemd-sysusers, systemd-tmpfiles a systemd-sysctl implementují schopnost předat konfiguraci prostřednictvím mechanismu úložiště pověření.
- Do systemd-analyze byl přidán příkaz „porovnat verze“ pro porovnání řetězců s čísly verzí (podobně jako „rpmdev-vercmp“ a „dpkg –compare-versions“).
- Do příkazu 'systemd-analyze dump' byla přidána možnost filtrovat jednotky podle masky.
- Při volbě vícefázového režimu spánku (režim spánku, poté hibernace, hibernace po hibernaci) se nyní doba strávená v pohotovostním režimu vybírá na základě předpovědi zbývající životnosti baterie.
- Okamžitý přechod do režimu spánku se provede, když je baterie nabitá na méně než 5 %.
Za zmínku také stojí v roce 2024 systemd plánuje přestat podporovat mechanismus omezení zdrojů cgroup v1, zastaralé ve verzi 248 systemd. Správcům se doporučuje, aby se předem postarali o přesun služeb spojených s cgroup v1 do cgroup v2.
Klíčový rozdíl mezi cgroups v2 a v1 je použití společné hierarchie cgroups pro všechny typy prostředků, spíše než oddělené hierarchie pro alokaci prostředků CPU, správu paměti a I/O. Oddělené hierarchie vedou k potížím při organizování interakce mezi ovladači a dalším nákladům na zdroje jádra při aplikaci pravidel pro pojmenovaný proces v různých hierarchiích.
V druhé polovině roku 2023 se plánuje ukončení podpory rozdělených hierarchií adresářů, kdy /usr bude připojen odděleně od root, nebo adresáře /bin a /usr/bin, /lib a /usr/lib budou odděleny.
další odpad od lennarta..
Ten chlap je zaměstnanec… a je to dobrý zaměstnanec… dokonale vyhovuje svému šéfovi.