systemd 253 arrive avec UKI, prend en charge des améliorations et plus encore

Darkcrizt

Pas de commentaires

systemd

systemd est un ensemble de démons, de bibliothèques et d'outils d'administration système conçus comme une plate-forme centrale d'administration et de configuration pour l'interface avec le noyau du système d'exploitation Linux.

Après trois mois et demi de développement, la sortie de la nouvelle version de systemd 253 a été annoncée, une version dans laquelle l'utilitaire 'ukify' est inclus pour compiler, vérifier et générer des signatures pour les images de noyau unifiées (UKI, Unified Kernel Image), combinant un pilote pour charger le noyau depuis UEFI (stub de démarrage UEFI), une image du noyau Linux et un environnement système chargé dans la mémoire initrd utilisée pour l'initialisation initiale dans l'étape précédant le montage de la racine FS.

Utilitaire remplace la fonctionnalité précédemment fournie par la commande 'dracut –uefi' et le complète avec des fonctionnalités pour calculer automatiquement les décalages dans les fichiers PE, la fusion initrd, la signature d'images de noyau intégrables, la création d'images fusionnées avec sbsign, l'heuristique pour déterminer le nom du noyau, la vérification d'image avec un écran de démarrage et l'ajout de politiques PCR signées générées par l'utilitaire systemd-measure.

Un autre changement qui se démarque est que initialisation modifiée de systemd-boot pour les générateurs de nombres pseudo-aléatoires noyau et pour le backend du disque. Ajout de la prise en charge du chargement du noyau non seulement à partir d'ESP (partition système EFI), par exemple, à partir du micrologiciel ou directement pour QEMU. De plus, une analyse des paramètres SMBIOS a été fournie pour déterminer le lancement dans un environnement de virtualisation. Un nouveau mode "si sécurisé" a été implémenté dans lequel le certificat pour UEFI Secure Boot est chargé à partir d'ESP uniquement s'il est considéré comme sécurisé (s'exécutant sur une machine virtuelle).

Utilitaire bootctl implémente la génération de jetons système sur tous les systèmes EFI, sauf dans les environnements de virtualisation. Ajout des commandes 'kernel-identify' et 'kernel-inspect' pour afficher le type d'image du noyau et des informations sur les options de ligne de commande et la version du noyau, 'unlink' pour supprimer le fichier associé au premier type d'enregistrement de démarrage, "cleanup" pour supprimer tous les fichiers du répertoire "entry-token" sur ESP et XBOOTLDR, non associé au premier type d'entrée de démarrage. La gestion de la variable KERNEL_INSTALL_CONF_ROOT est fournie.

Paramètre "OpenFile" a été ajouté aux services pour ouvrir des fichiers arbitraires dans le FS (ou connectez-vous aux sockets Unix) et transmettez les descripteurs de fichiers associés au processus en cours d'exécution (par exemple, lorsque vous devez organiser l'accès à un fichier pour un utilisateur non privilégié).

En systemd-cryptenroll, en enregistrant de nouvelles clés, il est possible de déverrouiller des partitions chiffrées à l'aide de jetons FIDO2 (–unlock-fido2-device) sans avoir à saisir de mot de passe. Stocke un code PIN spécifié par l'utilisateur avec du sel pour rendre la détermination de la force brute plus difficile.

De l' d'autres changements qui se démarquent:

  • Ajout de la prise en charge des environnements initrd à mémoire insuffisante qui utilisent overlayfs au lieu de tmpfs. Pour de tels environnements, systemd ne supprime pas tous les fichiers de l'initrd après une modification du système de fichiers racine.
  • Ajout des paramètres ReloadLimitIntervalSec et ReloadLimitBurst, ainsi que des options de ligne de commande du noyau (systemd.reload_limit_interval_sec et /systemd.reload_limit_burst) pour limiter le taux de redémarrage du processus en arrière-plan.
  • Pour les lecteurs, l'option "MemoryZSwapMax" est implémentée pour définir la propriété memory.zswap.max, qui détermine la taille maximale de zswap.
  • Pour les unités, l'option "LogFilterPatterns" est implémentée, ce qui vous permet de définir des expressions régulières pour filtrer les informations affichées dans le journal (peut être utilisée pour exclure certaines sorties ou enregistrer uniquement certaines données).
  • La commande 'systemctl list-dependencies' gère désormais les options '–type' et '–state', et la commande 'systemctl kexec' ajoute la prise en charge des environnements basés sur l'hyperviseur Xen.
  • Ajout de la prise en charge des options SocketPriority et QuickAck, RouteMetric=high|medium|low, aux fichiers .network dans la section [DHCPv4].
  • systemd-journal-remote permet aux paramètres MaxUse, KeepFree, MaxFileSize et MaxFiles de limiter la consommation d'espace disque.
  • Ajout de la prise en charge de systemd-cryptsetup pour envoyer des requêtes proactives aux jetons FIDO2 afin de déterminer leur présence avant l'authentification.
  • Ajout de nouveaux paramètres tpm2-measure-bank et tpm2-measure-pcr à crypttab.

Enfin, si vous souhaitez en savoir plus, vous pouvez consulter le détails dans le lien suivant.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.