Fortsætte en forudsigelig udviklingscyklus, efter 4 måneders udvikling blev den frigivet lanceringen af den nye version af systemd 248.
I denne nye version se understøtter billeder til at udvide mapper system, værktøjet ssystemd-cryptenroll, samt mulighed for at låse LUKS2 op ved hjælp af TPM2-chips og FIDO2-tokens, opsendelsesenheder i et isoleret IPC-identifikationsrum og meget mere.
Vigtigste nye funktioner i systemd 248
I denne nye version konceptet med systemudvidelsesbilleder blev implementeret, som kan bruges til at udvide mappehierarkiet og tilføje yderligere filer ved kørsel, selvom de angivne mapper er monteret skrivebeskyttet. Når et systemudvidelsesbillede er monteret, overlejres dets indhold i hierarkiet ved hjælp af OverlayFS.
En anden ændring, der skiller sig ud, er detEt nyt hjælpeprogram systemd-sysext er blevet foreslået til at forbinde, afbryde, se og opdatere billeder af systemudvidelser, plus systemd-sysext.service-tjenesten er blevet tilføjet for automatisk at montere allerede installerede billeder ved opstart. For enheder implementeres ExtensionImages-indstillingen, som kan bruges til at linke systemudvidelsesbilleder til FS-navnerumshierarkiet for individuelle isolerede tjenester.
systemd-cryptsetup tilføjer mulighed for at udtrække URI fra PKCS#11-token og den krypterede nøgle fra LUKS2-metadataheaderen i JSON-format, som gør det muligt at integrere den krypterede enheds åbne information i selve enheden uden at involvere eksterne filer giver support til oplåsning af LUKS2-krypterede partitioner ved hjælp af TPM2-chips og FIDO2-tokens, ud over de tidligere understøttede PKCS# 11-tokens. Indlæsning af libfido2 sker via dlopen(), dvs. tilgængelighed kontrolleres på et øjeblik, ikke som en hårdkodet afhængighed.
Også i systemd 248 systemd-networkd har tilføjet understøttelse af BATMAN mesh-protokollen ("Better Approach To Mobile Adhoc Networking"), som giver mulighed for at skabe decentrale netværk, hver knude, hvori er forbundet gennem naboknuder.
Det fremhæves også, at implementeringen af den tidlige reaktionsmekanisme til ude af hukommelsen er blevet stabiliseret i systemd-oomd, samt indstillingen DefaultMemoryPressureDurationSec for at indstille tiden til at vente på ressourcefrigivelse, før du rammer et drev. Systemd-oomd bruger PSI (Pressure Stall Information) kerneundersystemet og gør det muligt at opdage forekomsten af forsinkelser på grund af mangel på ressourcer og selektivt lukke ressourcekrævende processer ned på et tidspunkt, hvor systemet endnu ikke er i en kritisk tilstand og ikke begynder intensivt at trimme cachen og flytte data til swap-partitionen.
Tilføjet PrivateIPC-parameterDet tillader konfiguration af lancering af processer i en IPC-sandbox i en enhedsfil med sine egne identifikatorer og beskedkø. For at forbinde et drev til et allerede oprettet IPC-identifikationsrum, er IPCNamespacePath-indstillingen til rådighed.
Mens for tilgængelige kerner er automatisk generering af systemkaldstabel blevet implementeret til filtre secomp.
Af andre ændringer, der skiller sig ud:
- Systemd-repart-værktøjet har tilføjet muligheden for at aktivere krypterede partitioner ved hjælp af TPM2-chips, for eksempel for at skabe en krypteret /var-partition ved første opstart.
- Tilføjede systemd-cryptenroll-værktøjet til at binde TPM2-, FIDO2- og PKCS# 11-tokens til LUKS-partitioner, samt frigøre og se tokens, binde reservenøgler og angive en adgangskode.
- Tilføjede indstillinger for ExecPaths og NoExecPaths for at anvende noexec-flaget på bestemte dele af filsystemet.
- Tilføjet en kerne-kommandolinjeparameter - "root=tmpfs", som gør det muligt at montere rodpartitionen til midlertidigt lager placeret i RAM ved hjælp af Tmpfs.
- En blok med eksponerede miljøvariabler kan nu konfigureres gennem den nye ManagerEnvironment-indstilling i system.conf eller user.conf, ikke kun gennem kernekommandolinjen og enhedsfilkonfigurationen.
- På kompileringstidspunktet er det muligt at bruge fexecve()-systemkaldet i stedet for execve() til at starte processer for at reducere forsinkelsen mellem kontrol af sikkerhedskonteksten og anvendelse af den.