Melanjutkan siklus pengembangan yang dapat diprediksi, setelah 4 bulan pembangunan itu diresmikan peluncuran versi baru sistem 248.
Dalam versi baru ini se menyediakan dukungan gambar untuk memperluas direktori sistem, utilitas ssistem-cryptenroll, serta kemampuan untuk membuka LUKS2 menggunakan chip TPM2 dan token FIDO2, meluncurkan drive di ruang pengenal IPC yang terisolasi, dan banyak lagi.
Fitur baru utama systemd 248
Dalam versi baru ini konsep gambar ekstensi sistem diimplementasikan, yang dapat digunakan untuk memperluas hierarki direktori dan menambahkan file tambahan pada waktu proses, meskipun direktori yang ditentukan dipasang hanya untuk dibaca. Saat gambar ekstensi sistem dipasang, kontennya dihamparkan dalam hierarki menggunakan OverlayFS.
Perubahan lain yang menonjol adalah se telah mengusulkan utilitas baru systemd-sysext untuk menghubungkan, memutuskan sambungan, melihat dan memperbarui gambar ekstensi sistem, ditambah layanan systemd-sysext.service telah ditambahkan untuk secara otomatis memasang image yang sudah diinstal pada saat boot. Untuk unit, konfigurasi ExtensionImages diimplementasikan, yang dapat digunakan untuk menautkan gambar ekstensi sistem ke hierarki namespace FS layanan terisolasi individu.
Systemd-cryptsetup menambahkan kemampuan untuk mengekstrak URI dari token PKCS # 11 dan kunci terenkripsi dari header metadata LUKS2 dalam format JSON, yang memungkinkan informasi terbuka dari perangkat yang dienkripsi diintegrasikan ke dalam perangkat itu sendiri tanpa melibatkan file eksternal, sebagai tambahan menyediakan dukungan untuk membuka partisi terenkripsi LUKS2 menggunakan chip TPM2 dan token FIDO2, selain token PKCS # 11 yang sebelumnya didukung. Memuat libfido2 dilakukan melalui dlopen (), yaitu ketersediaan diperiksa dengan cepat, bukan sebagai ketergantungan hard-code.
Juga, di systemd 248 systemd-networkd telah menambahkan dukungan untuk protokol mesh BATMAN («Pendekatan Lebih Baik Untuk Jaringan Adhoc Seluler), yang memungkinkan Anda membuat jaringan terdesentralisasi, setiap node yang terhubung melalui node tetangga.
Itu juga disorot itu penerapan mekanisme respons awal terhadap kelupaan telah distabilkan pada sistem systemd-oomd, serta opsi DefaultMemoryPressureDurationSec untuk mengatur waktu menunggu rilis sumber daya sebelum memengaruhi drive. Systemd-oomd menggunakan subsistem kernel PSI (Pressure Stall Information) dan memungkinkan untuk mendeteksi munculnya penundaan karena kurangnya sumber daya dan secara selektif menghentikan proses intensif sumber daya pada tahap di mana sistem belum dalam keadaan kritis dan tidak mulai memangkas cache dan memindahkan data ke partisi swap.
Menambahkan parameter PrivateIPCBahwa memungkinkan Anda untuk mengonfigurasi peluncuran proses dalam ruang IPC yang terisolasi dalam file unit dengan pengenal dan antrian pesannya sendiri. Untuk menghubungkan drive ke ruang pengenal IPC yang sudah dibuat, opsi IPCNamespacePath disediakan.
sementara untuk kernel yang tersedia, pembuatan tabel panggilan sistem secara otomatis telah diterapkan untuk filter seccomp.
dari perubahan lain yang menonjol:
- Utilitas systemd-distribu telah menambahkan kemampuan untuk mengaktifkan partisi terenkripsi menggunakan chip TPM2, misalnya, untuk membuat partisi / var terenkripsi pada boot pertama.
- Menambahkan utilitas systemd-cryptenroll untuk mengikat token TPM2, FIDO2, dan PKCS # 11 ke partisi LUKS, serta untuk melepas pin dan melihat token, mengikat kunci cadangan, dan menyetel kata sandi akses.
- Pengaturan ExecPaths dan NoExecPaths ditambahkan untuk menerapkan bendera noexec ke bagian tertentu dari sistem file.
- Menambahkan parameter baris perintah kernel - "root = tmpfs", yang memungkinkan partisi root dipasang ke penyimpanan sementara yang terletak di RAM menggunakan Tmpfs.
- Sebuah blok dengan variabel lingkungan yang terbuka sekarang dapat dikonfigurasi melalui opsi ManagerEnvironment baru di system.conf atau user.conf, tidak hanya melalui baris perintah kernel dan pengaturan file unit.
- Pada waktu kompilasi, Anda bisa menggunakan panggilan sistem fexecve () alih-alih execve () untuk memulai proses guna mengurangi penundaan antara memeriksa konteks keamanan dan menerapkannya.