Continuando con un ciclo di sviluppo prevedibile, dopo 4 mesi di sviluppo è stato svelato il lancio della nuova versione di sistema 248.
In questa nuova versione se fornisce il supporto delle immagini per espandere le directory sistema, l'utilità ssystemd-cryptenroll, così come il possibilità di sbloccare LUKS2 utilizzando chip TPM2 e token FIDO2, avviare le unità in uno spazio di identificazione IPC isolato e molto altro ancora.
Principali novità di systemd 248
In questa nuova versione è stato implementato il concetto di immagini di estensione del sistema, che può essere utilizzato per espandere la gerarchia delle directory e aggiungere altri file durante i runtime, anche se le directory specificate sono montate in sola lettura. Quando un'immagine di estensione di sistema viene montata, il suo contenuto viene sovrapposto nella gerarchia utilizzando OverlayFS.
Un altro cambiamento che spicca è che se ha proposto una nuova utility systemd-sysext per connettere, disconnettere, visualizzare e aggiornare le immagini estensioni di sistema, più il servizio systemd-sysext.service è stato aggiunto per montare automaticamente le immagini già installate al momento dell'avvio. Per le unità, viene implementata la configurazione ExtensionImages, che può essere utilizzata per collegare le immagini delle estensioni del sistema alla gerarchia dello spazio dei nomi FS dei singoli servizi isolati.
Systemd-cryptsetup aggiunge la possibilità di estrarre l'URI dal token PKCS # 11 e la chiave crittografata dall'intestazione dei metadati LUKS2 in formato JSON, che consente di integrare le informazioni aperte del dispositivo crittografato nel dispositivo stesso senza coinvolgere file esterni, inoltre fornisce il supporto per sbloccare le partizioni crittografate LUKS2 utilizzando i chip TPM2 e token FIDO2, oltre ai token PKCS # 11 supportati in precedenza. Il caricamento di libfido2 viene effettuato tramite dlopen (), ovvero la disponibilità viene verificata al volo, non come una dipendenza hard-coded.
Inoltre, in systemd 248 systemd-networkd ha aggiunto il supporto per il protocollo mesh BATMAN («Better Approach To Mobile Adhoc Networking), quale ti permette di creare reti decentralizzate, ogni nodo in cui si collega attraverso i nodi vicini.
Si evidenzia inoltre che l'attuazione del meccanismo di risposta rapida all'oblio è stata stabilizzata sul sistema systemd-oomd, nonché l'opzione DefaultMemoryPressureDurationSec per impostare il tempo di attesa per il rilascio delle risorse prima di influenzare un'unità. Systemd-oomd utilizza il sottosistema del kernel PSI (Pressure Stall Information) e permette di rilevare la comparsa di ritardi dovuti alla mancanza di risorse e chiudendo selettivamente i processi ad alta intensità di risorse in una fase in cui il sistema non è ancora in uno stato critico e non inizia a tagliare pesantemente la cache e spostare i dati nella partizione di swap.
Aggiunto parametro PrivateIPC, che consente di configurare l'avvio dei processi in uno spazio IPC isolato in un file unit con i propri identificatori e la coda dei messaggi. Per connettere un'unità a uno spazio di identificazione IPC già creato, viene fornita l'opzione IPCNamespacePath.
Mentre per i kernel disponibili è stata implementata la generazione automatica delle tabelle delle chiamate di sistema per filtri seccomp.
Del altre modifiche che risaltano:
- L'utility systemd-distribu ha aggiunto la possibilità di attivare partizioni crittografate utilizzando chip TPM2, ad esempio, per creare una partizione / var crittografata al primo avvio.
- Aggiunta l'utilità systemd-cryptenroll per associare i token TPM2, FIDO2 e PKCS # 11 alle partizioni LUKS, nonché per sbloccare e visualizzare i token, associare chiavi di riserva e impostare una password di accesso.
- Le impostazioni ExecPaths e NoExecPaths sono state aggiunte per applicare il flag noexec a parti specifiche del file system.
- Aggiunto un parametro della riga di comando del kernel - "root = tmpfs", che consente di montare la partizione di root nella memoria temporanea situata nella RAM utilizzando Tmpfs.
- Un blocco con le variabili di ambiente esposte può ora essere configurato tramite la nuova opzione ManagerEnvironment in system.conf o user.conf, non solo tramite la riga di comando del kernel e le impostazioni del file unit.
- In fase di compilazione, è possibile utilizzare la chiamata di sistema fexecve () invece di execve () per avviare i processi per ridurre il ritardo tra il controllo del contesto di sicurezza e l'applicazione.