בהמשך למחזור התפתחות צפוי, לאחר 4 חודשי פיתוח הוא נחשף ההשקה של הגרסה החדשה של 248. רחוב
בגרסה החדשה הזו se מספק תמיכה בתמונות להרחבת ספריות מערכת, כלי השירות ssystemd-cryptenroll, טוב כמו ה יכולת לפתוח LUKS2 באמצעות שבבי TPM2 ואסימונים FIDO2, הפעל כוננים במרחב מזהה IPC מבודד, ועוד הרבה יותר.
התכונות החדשות העיקריות של מערכת 248
בגרסה החדשה הזו הרעיון של תמונות הרחבת המערכת יושם, באמצעותם ניתן להרחיב את היררכיית הספריות ולהוסיף קבצים נוספים בזמן זמן, גם אם הספריות שצוינו מותקנות לקריאה בלבד. כאשר מותקנת תמונת סיומת מערכת, תוכנה מכוסה בהיררכיה באמצעות OverlayFS.
שינוי נוסף הבולט הוא שהציעה מערכת שירות מערכת-סיסטקס חדשה לחיבור, ניתוק, הצגת ועדכון תמונות הרחבות מערכת, בתוספת שירות systemd-sysext.service נוסף כדי לעלות אוטומטית תמונות שהותקנו כבר בזמן האתחול. ביחידות מיושמת תצורת ExtensionImages, שניתן להשתמש בה לקישור תמונות של סיומת מערכת להיררכיית מרחב השמות של FS של שירותים בודדים בודדים.
Systemd-cryptsetup מוסיף את היכולת לחלץ את ה- URI מהאסימון PKCS # 11 והמפתח המוצפן מכותרת המטא נתונים של LUKS2 בפורמט JSON, אשר מאפשר לשלב את המידע הפתוח של המכשיר המוצפן במכשיר עצמו מבלי לערב קבצים חיצוניים, בנוסף מספק תמיכה לפתיחת מחיצות מוצפנות LUKS2 באמצעות שבבי TPM2 ואסימונים FIDO2, בנוסף לאסימוני PKCS מספר 11 שנתמכו בעבר. טעינת libfido2 מתבצעת באמצעות dlopen (), כלומר זמינות נבדקת בזמן, לא כתלות מקודדת.
כמו כן, במערכת 248 systemd-networkd הוסיף תמיכה בפרוטוקול רשת BATMAN («גישה טובה יותר לרשתות Adhoc ניידות), אשר מאפשר ליצור רשתות מבוזרות, כל צומת שבו הוא מתחבר דרך צמתים שכנים.
זה גם מודגש יישומו של מנגנון התגובה המוקדם לשכחה התייצב במערכת systemd-oomd, כמו גם באפשרות DefaultMemoryPressureDurationSec כדי להגדיר את זמן ההמתנה לשחרור המשאבים לפני שתשפיע על הכונן. Systemd-oomd משתמשת בתת מערכת ליבות PSI (Pressure Stall Information) ו- מאפשר לזהות הופעה של עיכובים בגלל מחסור במשאבים וכיבוי סלקטיבי של תהליכים עתירי משאבים בשלב בו המערכת עדיין לא נמצאת במצב קריטי ולא מתחילה לקצץ בכבדות את המטמון ולהעביר נתונים למחיצת ההחלפה.
נוסף פרמטר PrivateIPCכי מאפשרת להגדיר השקת תהליכים בחלל IPC מבודד בקובץ יחידה עם מזהים ותור הודעות משלו. כדי לחבר כונן למרחב מזהה IPC שכבר נוצר, ניתנת האפשרות IPCNamespacePath.
בעוד עבור הגרעינים הזמינים, יושם הדור האוטומטי של טבלאות קריאה למערכת למסנני seccomp.
של שינויים אחרים הבולטים:
- כלי השירות distribu systemd הוסיף את היכולת להפעיל מחיצות מוצפנות באמצעות שבבי TPM2, למשל, ליצירת מחיצה מוצפנת / var בעת האתחול הראשון.
- הוסיף את כלי השירות systemd-cryptenroll לאגד אסימונים TPM2, FIDO2 ו- PKCS מספר 11 למחיצות LUKS, וכן לביטול הצמדה והצגה של אסימונים, איגוד מפתחות רזרביות והגדרת סיסמת גישה.
- הגדרות ExecPaths ו- NoExecPaths נוספו כדי להחיל את דגל noexec על חלקים ספציפיים של מערכת הקבצים.
- נוסף פרמטר שורת פקודה של הליבה - "root = tmpfs", המאפשר להתקין את מחיצת השורש לאחסון זמני הממוקם ב- RAM באמצעות Tmpfs.
- כעת ניתן להגדיר בלוק עם משתני סביבה חשופים באמצעות האפשרות החדשה של מנהל הסביבה ב- system.conf או user.conf, ולא רק דרך שורת הפקודה של הליבה והגדרות קובץ היחידה.
- בזמן הקומפילציה תוכלו להשתמש בשיחת המערכת fexecve () במקום ב- execve () כדי להתחיל בתהליכים כדי להפחית את העיכוב בין בדיקת הקשר האבטחה להחלתו.