Το systemd 252 φτάνει με υποστήριξη UKI, βελτιώσεις και άλλα

Το systemd είναι ένα σύνολο από δαίμονες διαχείρισης συστήματος, βιβλιοθήκες και εργαλεία που έχουν σχεδιαστεί ως κεντρική πλατφόρμα διαμόρφωσης και διαχείρισης για διασύνδεση με τον πυρήνα του συστήματος. 

Μετά από πέντε μήνες ανάπτυξης ανακοινώθηκε η κυκλοφορία της νέας έκδοσης του systemd 252, έκδοση στην οποία η βασική αλλαγή στη νέα έκδοση ήταν η ενσωμάτωση του υποστήριξη για μια εκσυγχρονισμένη διαδικασία εκκίνησης, που επιτρέπει την επαλήθευση όχι μόνο του πυρήνα και του bootloader, αλλά και των στοιχείων του υποκείμενου περιβάλλοντος συστήματος χρησιμοποιώντας ψηφιακές υπογραφές.

Η προτεινόμενη μέθοδος περιλαμβάνει τη χρήση μιας εικόνας ενοποιημένου πυρήνα UKI (Ενοποιημένη εικόνα πυρήνα) σε φόρτωση, που συνδυάζει ένα πρόγραμμα οδήγησης για τη φόρτωση του πυρήνα από το UEFI (στέλωμα εκκίνησης UEFI), μια εικόνα πυρήνα Linux και το περιβάλλον συστήματος initrd που φορτώθηκε στη μνήμη, που χρησιμοποιήθηκε για την αρχική προετοιμασία στο προηγούμενο στάδιο στη βάση ρίζας FS .

σχετικό άρθρο:

Προτείνουν τον εκσυγχρονισμό της διαδικασίας εκκίνησης του Linux

Ειδικότερα, τα οφέλη Το systemd-cryptsetup, το systemd-cryptenroll και το systemd-creds έχουν προσαρμοστεί για να χρησιμοποιήσετε αυτές τις πληροφορίες, ώστε να μπορείτε να διασφαλίσετε ότι τα διαμερίσματα κρυπτογραφημένου δίσκου είναι συνδεδεμένα σε έναν ψηφιακά υπογεγραμμένο πυρήνα (σε αυτήν την περίπτωση, η πρόσβαση στο κρυπτογραφημένο διαμέρισμα παρέχεται μόνο εάν η εικόνα UKI έχει περάσει την επαλήθευση ψηφιακής υπογραφής με βάση τις παραμέτρους που τοποθετούνται στο TPM).

Επιπλέον, περιλαμβάνεται το βοηθητικό πρόγραμμα systemd-pcrphase, το οποίο σας επιτρέπει να ελέγχετε τη σύνδεση διαφόρων σταδίων εκκίνησης σε παραμέτρους που τοποθετούνται στη μνήμη από κρυπτοεπεξεργαστές που υποστηρίζουν την προδιαγραφή TPM 2.0 (για παράδειγμα, μπορείτε να κάνετε το κλειδί αποκρυπτογράφησης διαμερίσματος LUKS2 να είναι διαθέσιμο μόνο στην αρχική εικόνα και αποκλείστε την πρόσβαση σε αυτήν σε επόμενες λήψεις).

Κύρια νέα χαρακτηριστικά του συστήματοςd 252

Άλλες αλλαγές που ξεχωρίζουν στο systemd 252, είναι ότι το sΒεβαιωθείτε ότι η προεπιλεγμένη τοπική ρύθμιση είναι C.UTF-8 εάν δεν καθορίζεται άλλη τοπική ρύθμιση στη διαμόρφωση.

Εκτός από αυτό στο systemd 252 επίσης εφάρμοσε τη δυνατότητα εκτέλεσης μιας λειτουργίας προκαθορισμένης πλήρους υπηρεσίας ("systemctl preset") κατά την πρώτη εκκίνηση. Η ενεργοποίηση των προεπιλογών κατά την εκκίνηση απαιτεί μια κατασκευή με την επιλογή "-Dfirst-boot-full-preset", αλλά σχεδιάζεται να ενεργοποιηθεί από προεπιλογή σε μελλοντικές εκδόσεις.

Στις μονάδες διαχείρισης χρηστών χρησιμοποιήστε τον ελεγκτή πόρων της CPU, το οποίο κατέστησε δυνατή τη διασφάλιση της εφαρμογής της ρύθμισης CPUWeight σε όλες τις μονάδες slice που χρησιμοποιούνται για την κατάτμηση του συστήματος σε slice (app.slice, background.slice, session.slice) για την απομόνωση πόρων μεταξύ διαφορετικών υπηρεσιών χρήστη, που ανταγωνίζονται για πόρους CPU. Το CPUWeight υποστηρίζει επίσης μια τιμή "idle" για την ενεργοποίηση της σωστής λειτουργίας μίσθωσης.

Από την άλλη πλευρά, στη διαδικασία αρχικοποίησης (PID 1), πρόσθεσε τη δυνατότητα εισαγωγής διαπιστευτηρίων από πεδία SMBIOS (Τύπος 11, "αλυσίδες παρόχων OEM") καθώς και τον ορισμό τους μέσω qemu_fwcfg, το οποίο απλοποιεί την παροχή διαπιστευτηρίων σε εικονικές μηχανές και εξαλείφει την ανάγκη για εργαλεία τρίτων όπως το cloud -init και το ignition.

Κατά τη διάρκεια του τερματισμού, η λογική για την αποπροσάρτηση εικονικών συστημάτων αρχείων (proc, sys) άλλαξε και οι πληροφορίες σχετικά με τις διαδικασίες που εμποδίζουν την αποπροσάρτηση του συστήματος αρχείων αποθηκεύονται στο αρχείο καταγραφής.

Ο SD bootloader έχει προσθέσει τη δυνατότητα εκκίνησης σε μικτή λειτουργία, τρέχει έναν πυρήνα Linux 64-bit από υλικολογισμικό UEFI 32-bit. Προστέθηκε πειραματική δυνατότητα αυτόματης εφαρμογής κλειδιών SecureBoot από αρχεία που βρίσκονται στο ESP (EFI System Partition).

Προστέθηκαν νέες επιλογές στο βοηθητικό πρόγραμμα bootctl "–all-architectures" για να εγκαταστήσετε δυαδικά αρχεία για όλες τις υποστηριζόμενες αρχιτεκτονικές EFI, «–root=” και “–image=» για εργασία με έναν κατάλογο ή μια εικόνα δίσκου, «--install-source=» για να ορίσετε τη γραμματοσειρά που θα εγκαταστήσετε, «--efi-boot-option-description=» για να ελέγξετε τα ονόματα των καταχωρήσεων εκκίνησης.

Από τις άλλες αλλαγές που ξεχωρίζουν από το systemd 252:

• Το systemd-nspawn επιτρέπει τη χρήση σχετικών διαδρομών αρχείων στις επιλογές “–bind=” και “–overlay=”. Προστέθηκε υποστήριξη για την επιλογή 'rootidmap' στην επιλογή "–bind=" για σύνδεση του αναγνωριστικού χρήστη root στο κοντέινερ με τον κάτοχο του προσαρτημένου καταλόγου στην πλευρά του κεντρικού υπολογιστή.
• Το systemd-resolved χρησιμοποιεί το πακέτο OpenSSL ως backend κρυπτογράφησης από προεπιλογή (η υποστήριξη gnutls διατηρείται ως επιλογή). Οι μη υποστηριζόμενοι αλγόριθμοι DNSSEC αντιμετωπίζονται πλέον ως μη ασφαλείς αντί να επιστρέφουν ένα σφάλμα (SERVFAIL).
• Οι systemd-sysusers, systemd-tmpfiles και systemd-sysctl υλοποιούν τη δυνατότητα να περάσουν τις ρυθμίσεις παραμέτρων μέσω του μηχανισμού αποθήκευσης διαπιστευτηρίων.
• Προστέθηκε η εντολή «σύγκριση εκδόσεων» στο systemd-analyze για σύγκριση συμβολοσειρών με αριθμούς εκδόσεων (παρόμοια με «rpmdev-vercmp» και «dpkg –compare-versions»).
• Προστέθηκε η δυνατότητα φιλτραρίσματος μονάδων δίσκου με μάσκα στην εντολή 'systemd-analyze dump'.
• Όταν επιλέγετε μια λειτουργία αναστολής πολλαπλών σταδίων (αναστολή και μετά αδρανοποίηση, αδρανοποίηση μετά από αδρανοποίηση), ο χρόνος που δαπανάται σε κατάσταση αναμονής επιλέγεται πλέον με βάση την πρόβλεψη της υπολειπόμενης διάρκειας ζωής της μπαταρίας.
• Μια άμεση μετάβαση στη λειτουργία αναστολής λειτουργίας πραγματοποιείται όταν υπάρχει φόρτιση μπαταρίας λιγότερο από 5%.

Αξίζει επίσης να αναφερθεί ότι το 2024, η systemd σχεδιάζει να σταματήσει να υποστηρίζει τον μηχανισμό περιορισμού πόρων cgroup v1, καταργήθηκε στην έκδοση 248 του systemd. Συνιστάται στους διαχειριστές να φροντίζουν εκ των προτέρων τη μεταφορά των υπηρεσιών που συνδέονται με το cgroup v1 στο cgroup v2.

Η βασική διαφορά μεταξύ των cgroups v2 και v1 είναι η χρήση μιας κοινής ιεραρχίας cgroups για όλους τους τύπους πόρων, αντί για χωριστές ιεραρχίες για την κατανομή πόρων της CPU, τη διαχείριση μνήμης και τις εισόδους/εξόδους. Οι ξεχωριστές ιεραρχίες οδηγούν σε δυσκολίες στην οργάνωση της αλληλεπίδρασης μεταξύ προγραμμάτων οδήγησης και πρόσθετου κόστους πόρων πυρήνα κατά την εφαρμογή κανόνων για μια επώνυμη διεργασία σε διαφορετικές ιεραρχίες.

Κατά το δεύτερο εξάμηνο του 2023, σχεδιάζεται να σταματήσει η υποστήριξη ιεραρχιών split καταλόγου, όταν το /usr είναι προσαρτημένο ξεχωριστά από το root ή οι κατάλογοι /bin και /usr/bin, /lib και /usr/lib είναι διαχωρισμένοι.