A systemd 252 UKI támogatással, fejlesztésekkel és még sok mással érkezik

Darkcrizt

5 perc

systemd

A systemd rendszer adminisztrációs démonok, könyvtárak és eszközök készlete, amelyet központi konfigurációs és adminisztrációs platformként terveztek a rendszermaggal való interfészhez. 

Öt hónap fejlesztés után bejelentették a systemd 252 új verziójának megjelenését, verzió, amelyben Az új verzió legfontosabb változása az integráció volt támogatása modernizált rendszerindítási folyamat, amely lehetővé teszi nemcsak a rendszermag és a rendszerbetöltő, hanem az alapul szolgáló rendszerkörnyezet összetevőinek ellenőrzését is digitális aláírással.

A javasolt módszer egy UKI egyesített kernelkép (Unified kernel image) betöltéskor, amely egyesíti a kernel UEFI-ből történő betöltésére szolgáló illesztőprogramot (UEFI boot stub), egy Linux kernel lemezképet és a memóriába betöltött initrd rendszerkörnyezetet, amelyet az FS root mount előző szakaszában használt kezdeti inicializáláshoz használnak. .

Megbízható rendszerindítás
Kapcsolódó cikk:
Javasolják a Linux rendszerindítási folyamatának modernizálását

Különösen az előnyök A systemd-cryptsetup, a systemd-cryptenroll és a systemd-creds adaptálva lett ezen információk felhasználására, így biztosíthatja, hogy a titkosított lemezpartíciók digitálisan aláírt kernelhez legyenek kötve (ebben az esetben a titkosított partícióhoz csak akkor lehet hozzáférni, ha az UKI képfájl átment a digitális aláírás ellenőrzésén a TPM).

Ezen kívül a systemd-pcrphase segédprogramot is tartalmazza, amely lehetővé teszi a különböző rendszerindítási szakaszoknak a TPM 2.0 specifikációt támogató kriptoprocesszorok által a memóriában elhelyezett paraméterekhez való kötését (például beállíthatja, hogy a LUKS2 partíció visszafejtő kulcs csak elérhető legyen az initrd képben, és blokkolja a hozzáférést a későbbi letöltéseknél).

A systemd 252 fő újdonságai

Egyéb változtatások, amelyek kiemelkednek a systemd 252-ben, az az, hogy sgyőződjön meg arról, hogy az alapértelmezett területi beállítás C.UTF-8 ha nincs más területi beállítás megadva a konfigurációban.

Ezen kívül a systemd 252-ben is megvalósította a teljes körű szolgáltatás előre beállított művelet végrehajtásának képességét ("systemctl preset") az első rendszerindítás során. Az előbeállítások rendszerindításkor történő engedélyezéséhez a "-Dfirst-boot-full-preset" opcióval rendelkező build szükséges, de a tervek szerint a jövőbeni kiadásokban alapértelmezés szerint engedélyezni fogják.

Felhasználókezelő egységekben használja a CPU erőforrás-vezérlőt, amely lehetővé tette annak biztosítását, hogy a CPUWeight beállítást minden szeletegységre alkalmazzák, amelyek a rendszer szeletekre (app.slice, background.slice, session.slice) való felosztására szolgálnak, hogy elkülönítsék az erőforrásokat a különböző felhasználói szolgáltatások között, amelyek versengenek a CPU-erőforrásokért. A CPUWeight támogatja az „idle” értéket is a megfelelő bérleti mód elindításához.

Másrészt az inicializálási folyamatban (PID 1), hozzáadta a hitelesítő adatok SMBIOS-mezőkből történő importálásának lehetőségét (11-es típus, "OEM szolgáltatói láncok"), valamint a qemu_fwcfg segítségével határozza meg őket, ami leegyszerűsíti a hitelesítő adatok kiépítését a virtuális gépeken, és szükségtelenné teszi a harmadik féltől származó eszközöket, mint például a felhő-init és az ignition.

A leállítás során megváltozott a virtuális fájlrendszerek (proc, sys) leválasztásának logikája, és a fájlrendszer leválasztását blokkoló folyamatokról szóló információk mentésre kerülnek a naplóba.

Az sd rendszerbetöltő hozzáadta a vegyes módban történő rendszerindítás lehetőségét, 64 bites Linux kernel futtatása 32 bites UEFI firmware-ről. Hozzáadott kísérleti lehetőség a SecureBoot kulcsok automatikus alkalmazására az ESP-n (EFI rendszerpartíción) található fájlokból.

Új beállítások hozzáadva a bootctl „–all-architectures” segédprogramhoz bináris fájlok telepítéséhez az összes támogatott EFI architektúrához, «–root=” és „–image=» könyvtárral vagy lemezképpel dolgozni, «--install-source=» a telepítendő betűtípus meghatározásához, «--efi-boot-option-description=» a rendszerindító bejegyzések nevének szabályozásához.

A többi változás közül amelyek kiemelkednek a systemd 252-ből:

  • A systemd-nspawn lehetővé teszi a relatív fájl elérési utak használatát a „–bind=” és „–overlay=” opciókban. A 'rootidmap' beállítás támogatása hozzáadva a "–bind=" beállításhoz, amellyel a tároló gyökér felhasználói azonosítója a gazdagép oldalon található csatolt könyvtár tulajdonosához köthető.
  • A systemd-resolved alapértelmezés szerint az OpenSSL csomagot használja titkosítási háttérként (opcióként megmarad a gnutls támogatás). A nem támogatott DNSSEC-algoritmusokat a rendszer mostantól nem biztonságosként kezeli ahelyett, hogy hibát adna vissza (SERVFAIL).
  • A systemd-sysusers, a systemd-tmpfiles és a systemd-sysctl lehetővé teszik a konfiguráció átadását a hitelesítő adatok tárolási mechanizmusán.
  • Hozzáadtuk a „Verziók összehasonlítása” parancsot a systemd-analyze funkcióhoz, amely a karakterláncokat verziószámokkal hasonlítja össze (hasonlóan az „rpmdev-vercmp” és „dpkg –compare-versions” parancshoz).
  • A „systemd-analyze dump” parancshoz hozzáadtuk a meghajtók maszk alapján történő szűrésének lehetőségét.
  • Ha többlépcsős alvó üzemmódot választ (alvó, majd hibernált, hibernált állapot hibernált állapot után), a készenléti módban töltött idő most az akkumulátor hátralévő élettartamának előrejelzése alapján kerül kiválasztásra.
  • Azonnali átállás alvó üzemmódba, ha az akkumulátor töltöttsége kevesebb, mint 5%.

Azt is érdemes megemlíteni 2024-ben a systemd azt tervezi, hogy leállítja a cgroup v1 erőforrás-korlátozó mechanizmus támogatását, elavult a systemd 248-as verziójában. Az adminisztrátoroknak azt tanácsoljuk, hogy a cgroup v1-hez kapcsolt szolgáltatásokat előre helyezzék át a cgroup v2-be.

A legfontosabb különbség cgroups v2 és v1 között egy közös cgroups hierarchia használata minden erőforrástípushoz, nem pedig különálló hierarchiákhoz a CPU erőforrások lefoglalásához, a memóriakezeléshez és az I/O-hoz. Az elkülönült hierarchiák nehézségeket okoznak az illesztőprogramok közötti interakció megszervezésében, és további kernel-erőforrás-költségeket okoznak, amikor egy elnevezett folyamat szabályait különböző hierarchiákban alkalmazzák.

2023 második felében a tervek szerint megszűnik az osztott könyvtárhierarchiák támogatása, amikor a /usr a gyökértől külön lesz csatolva, vagy a /bin és /usr/bin, /lib és /usr/lib könyvtárak el lesznek választva.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   luix dijo
    ezelőtt 1 éves

    még több szemetet lennarttól..

    Válasz a luix címre
  2.   névtelen dijo
    ezelőtt 1 éves

    A srác alkalmazott... és jó alkalmazott... tökéletesen megfelel a főnökének.

    Válasz névtelenre