systemd 252 kommt mit UKI-Unterstützung, Verbesserungen und mehr

Darkcrizt

5 Minuten

systemd

systemd ist eine Reihe von Systemverwaltungs-Daemons, -Bibliotheken und -Tools, die als zentrale Konfigurations- und Verwaltungsplattform für die Verbindung mit dem Systemkernel konzipiert sind. 

Nach fünf Monaten Entwicklung die Veröffentlichung der neuen Version von systemd 252 wurde angekündigt, Version in der Die wichtigste Änderung in der neuen Version war die Integration von Unterstützung für ein modernisierter Boot-Prozess, die es ermöglicht, nicht nur Kernel und Bootloader, sondern auch die Komponenten der zugrunde liegenden Systemumgebung mittels digitaler Signaturen zu verifizieren.

Das vorgeschlagene Verfahren beinhaltet die Verwendung eines einheitlichen UKI-Kernel-Images (Einheitliches Kernel-Image) beim Laden, das einen Treiber zum Laden des Kernels von UEFI (UEFI-Boot-Stub), ein Linux-Kernel-Image und die in den Arbeitsspeicher geladene initrd-Systemumgebung kombiniert, die für die anfängliche Initialisierung in der vorherigen Stufe zum FS-Root-Mount verwendet wurde .

Vertrauenswürdiger Start
Verwandte Artikel:
Sie schlagen vor, den Linux-Boot-Prozess zu modernisieren

Vor allem die Vorteile systemd-cryptsetup, systemd-cryptenroll und systemd-creds wurden angepasst Um diese Informationen zu verwenden, können Sie sicherstellen, dass die verschlüsselten Festplattenpartitionen an einen digital signierten Kernel gebunden sind (in diesem Fall wird der Zugriff auf die verschlüsselte Partition nur gewährt, wenn das UKI-Image die auf der digitalen Signatur basierende Überprüfung bestanden hat). im TPM).

Darüber hinaus ist das Dienstprogramm systemd-pcrphase enthalten, mit dem Sie die Bindung verschiedener Boot-Phasen an Parameter steuern können, die von Kryptoprozessoren im Speicher platziert werden, die die TPM 2.0-Spezifikation unterstützen (z. B. können Sie festlegen, dass der Partitionsentschlüsselungsschlüssel LUKS2 nur verfügbar ist im initrd-Image und blockieren den Zugriff darauf bei nachfolgenden Downloads).

Hauptneufunktionen von systemd 252

Andere Änderungen, die in systemd 252 auffallen, sind, dass sWir haben sichergestellt, dass das Standardgebietsschema C.UTF-8 ist wenn in der Konfiguration kein anderes Gebietsschema angegeben ist.

Darüber hinaus in systemd 252 auch implementiert die Fähigkeit, einen Full-Service-Preset-Vorgang durchzuführen ("systemctl preset") während des ersten Bootens. Das Aktivieren von Voreinstellungen beim Booten erfordert einen Build mit der Option „-Dfirst-boot-full-preset“, aber es ist geplant, dass sie in zukünftigen Versionen standardmäßig aktiviert wird.

Verwenden Sie in Benutzerverwaltungseinheiten den CPU-Ressourcencontroller, wodurch sichergestellt werden konnte, dass die CPUWeight-Einstellung auf alle Slice-Einheiten angewendet wird, die zum Partitionieren des Systems in Slices (app.slice, background.slice, session.slice) verwendet werden, um Ressourcen zwischen verschiedenen Benutzerdiensten zu isolieren und um CPU-Ressourcen zu konkurrieren. CPUWeight unterstützt auch einen „idle“-Wert, um den richtigen Lease-Modus auszulösen.

Andererseits im Initialisierungsprozess (PID 1), die Möglichkeit hinzugefügt, Anmeldeinformationen aus SMBIOS-Feldern zu importieren (Typ 11, „OEM-Anbieterketten“) sowie deren Definition über qemu_fwcfg, was die Bereitstellung von Anmeldeinformationen für virtuelle Maschinen vereinfacht und die Notwendigkeit von Tools von Drittanbietern wie Cloud-Init und Ignition eliminiert.

Während des Herunterfahrens wurde die Logik zum Unmounten virtueller Dateisysteme (proc, sys) geändert, und Informationen über Prozesse, die das Unmounten von Dateisystemen blockieren, werden im Protokoll gespeichert.

Der SD-Bootloader hat die Möglichkeit hinzugefügt, im gemischten Modus zu booten, Ausführen eines 64-Bit-Linux-Kernels von einer 32-Bit-UEFI-Firmware. Experimentelle Fähigkeit zum automatischen Anwenden von SecureBoot-Schlüsseln aus Dateien auf ESP (EFI-Systempartition) hinzugefügt.

Neue Optionen zum Bootctl-Dienstprogramm „–all-architectures“ hinzugefügt um Binärdateien für alle unterstützten EFI-Architekturen zu installieren, «–root=“ und „–image=» um mit einem Verzeichnis oder Disk-Image zu arbeiten, «--install-source=» um die zu installierende Schriftart zu definieren, «--efi-boot-option-description=» um die Namen der Boot-Einträge zu kontrollieren.

Von den anderen Änderungen die sich von systemd 252 abheben:

  • systemd-nspawn erlaubt die Verwendung relativer Dateipfade in den Optionen „–bind=“ und „–overlay=“. Unterstützung für die Option „rootidmap“ zur Option „–bind=" hinzugefügt, um die Root-Benutzer-ID auf dem Container an den Besitzer des gemounteten Verzeichnisses auf der Hostseite zu binden.
  • systemd-resolved verwendet standardmäßig das OpenSSL-Paket als Verschlüsselungs-Backend (gnutls-Unterstützung bleibt als Option erhalten). Nicht unterstützte DNSSEC-Algorithmen werden jetzt als unsicher behandelt, anstatt einen Fehler (SERVFAIL) zurückzugeben.
  • systemd-sysusers, systemd-tmpfiles und systemd-sysctl implementieren die Fähigkeit, die Konfiguration durch den Anmeldeinformationsspeichermechanismus zu leiten.
  • Befehl „compare versions“ zu systemd-analyze hinzugefügt, um Strings mit Versionsnummern zu vergleichen (ähnlich wie „rpmdev-vercmp“ und „dpkg –compare-versions“).
  • Dem Befehl „systemd-analyze dump“ wurde die Möglichkeit hinzugefügt, Laufwerke nach Maske zu filtern.
  • Bei der Auswahl eines mehrstufigen Schlafmodus (Schlafen, dann Ruhezustand, Ruhezustand nach Ruhezustand) wird die im Standby-Modus verbrachte Zeit jetzt basierend auf der Prognose der verbleibenden Akkulaufzeit ausgewählt.
  • Bei weniger als 5 % Akkuladung erfolgt ein sofortiger Übergang in den Schlafmodus.

Erwähnenswert ist auch das im Jahr 2024 plant systemd, die Unterstützung des cgroup v1-Ressourcenbegrenzungsmechanismus einzustellen, veraltet in Version 248 von systemd. Administratoren wird empfohlen, sich im Voraus um das Verschieben von Diensten, die mit cgroup v1 verknüpft sind, nach cgroup v2 zu kümmern.

Der entscheidende Unterschied zwischen cgroups v2 und v1 ist die Verwendung einer gemeinsamen cgroups-Hierarchie für alle Ressourcentypen statt separater Hierarchien für CPU-Ressourcenzuweisung, Speicherverwaltung und E/A. Getrennte Hierarchien führen zu Schwierigkeiten beim Organisieren der Interaktion zwischen Treibern und zusätzlichen Kernel-Ressourcenkosten, wenn Regeln für einen benannten Prozess in unterschiedlichen Hierarchien angewendet werden.

In der zweiten Hälfte des Jahres 2023 ist geplant, die Unterstützung von geteilten Verzeichnishierarchien einzustellen, wenn /usr getrennt von root gemountet wird oder die Verzeichnisse /bin und /usr/bin, /lib und /usr/lib getrennt werden.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: AB Internet Networks 2008 SL
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.

  1.   Luix sagte
    vor 1 Jahr

    mehr müll von lennart..

    Antworte auf luix
  2.   anonym sagte
    vor 1 Jahr

    Der Typ ist ein Angestellter … und er ist ein guter Angestellter … er passt sich perfekt an seinen Arbeitgeber an.

    Auf anonym antworten