systemd 248 est livré avec des améliorations pour le déverrouillage des jetons, la prise en charge des images pour l'expansion des répertoires, etc.

systemd-245

Poursuivre avec un cycle de développement prévisible, après 4 mois de développement il a été dévoilé le lancement de la nouvelle version de systèmed 248.

Dans cette nouvelle version se fournit un support d'image pour développer des répertoires système, l'utilitaire systemd-cryptenroll, aussi bien que possibilité de déverrouiller LUKS2 à l'aide de puces TPM2 et de jetons FIDO2, lancez des disques dans un espace d'identifiant IPC isolé, et bien plus encore.

Principales nouveautés de systemd 248

Dans cette nouvelle version le concept d'images d'extension système a été implémenté, qui peut être utilisé pour développer la hiérarchie des répertoires et ajouter des fichiers supplémentaires lors de l'exécution, même si les répertoires spécifiés sont montés en lecture seule. Lorsqu'une image d'extension système est montée, son contenu est superposé dans la hiérarchie à l'aide d'OverlayFS.

Un autre changement qui se démarque est que se a proposé un nouvel utilitaire systemd-sysext pour connecter, déconnecter, visualiser et mettre à jour les images les extensions système, ainsi que le service systemd-sysext.service ont été ajoutés pour monter automatiquement les images déjà installées au démarrage. Pour les unités, la configuration ExtensionImages est implémentée, qui peut être utilisée pour lier des images d'extension système à la hiérarchie d'espace de noms FS de services isolés individuels.

Systemd-cryptsetup ajoute la possibilité d'extraire l'URI du jeton PKCS # 11 et la clé chiffrée de l'en-tête de métadonnées LUKS2 au format JSON, qui permet aux informations ouvertes de l'appareil crypté d'être intégrées dans l'appareil lui-même sans impliquer de fichiers externes, en plus prend en charge le déverrouillage des partitions chiffrées LUKS2 à l'aide de puces TPM2 et les jetons FIDO2, en plus des jetons PKCS # 11 précédemment pris en charge. Le chargement de libfido2 se fait via dlopen (), c'est-à-dire que la disponibilité est vérifiée à la volée, et non comme une dépendance codée en dur.

Aussi, dans systemd 248 systemd-networkd a ajouté la prise en charge du protocole de maillage BATMAN («Meilleure approche de la mise en réseau mobile ad hoc), qui vous permet de créer des réseaux décentralisés, chaque nœud auquel il se connecte via des nœuds voisins.

Il est également souligné que la mise en œuvre du mécanisme de réponse rapide à l'oubli s'est stabilisée sur le système systemd-oomd, ainsi que l'option DefaultMemoryPressureDurationSec pour définir le temps d'attente de la libération des ressources avant d'affecter un lecteur. Systemd-oomd utilise le sous-système noyau PSI (Pressure Stall Information) et permet de détecter l'apparition de retards dus au manque de ressources et l'arrêt sélectif des processus gourmands en ressources à un stade où le système n'est pas encore dans un état critique et ne commence pas à réduire fortement le cache et à déplacer les données vers la partition d'échange.

Ajout du paramètre PrivateIPC, qui permet de configurer le lancement des processus dans un espace IPC isolé dans un fichier unité avec ses propres identifiants et file d'attente de messages. Pour connecter un lecteur à un espace d'identificateur IPC déjà créé, l'option IPCNamespacePath est fournie.

Alors que pour les noyaux disponibles, la génération automatique de tables d'appels système a été implémentée pour les filtres seccomp.

De l' autres changements qui se démarquent:

  • L'utilitaire systemd-distribu a ajouté la possibilité d'activer des partitions chiffrées à l'aide de puces TPM2, par exemple, pour créer une partition chiffrée / var au premier démarrage.
  • Ajout de l'utilitaire systemd-cryptenroll pour lier les jetons TPM2, FIDO2 et PKCS # 11 aux partitions LUKS, ainsi que pour désépingler et afficher les jetons, lier les clés de rechange et définir un mot de passe d'accès.
  • Les paramètres ExecPaths et NoExecPaths ont été ajoutés pour appliquer l'indicateur noexec à des parties spécifiques du système de fichiers.
  • Ajout d'un paramètre de ligne de commande du noyau - "root = tmpfs", qui permet à la partition racine d'être montée sur un stockage temporaire situé dans la RAM à l'aide de Tmpfs.
  • Un bloc avec des variables d'environnement exposées peut désormais être configuré via la nouvelle option ManagerEnvironment dans system.conf ou user.conf, pas seulement via la ligne de commande du noyau et les paramètres du fichier d'unité.
  • Au moment de la compilation, vous pouvez utiliser l'appel système fexecve () au lieu d'execve () pour démarrer les processus afin de réduire le délai entre la vérification du contexte de sécurité et son application.

Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.