systemd 252 מגיע עם תמיכה ב-UKI, שיפורים ועוד

Darkcrizt

5 דקות

system

systemd הוא קבוצה של דמונים, ספריות וכלים לניהול מערכת שתוכננו כפלטפורמת תצורה וניהול מרכזית להתממשקות עם ליבת המערכת. 

לאחר חמישה חודשי התפתחות הוכרזה שחרור הגרסה החדשה של systemd 252, גרסה בה השינוי המרכזי בגרסה החדשה היה השילוב של תמיכה ל תהליך אתחול מודרני, מה שמאפשר לאמת לא רק את הליבה ומטען האתחול, אלא גם את הרכיבים של סביבת המערכת הבסיסית באמצעות חתימות דיגיטליות.

השיטה המוצעת כוללת שימוש בתמונת גרעין מאוחדת של UKI (תמונת ליבה מאוחדת) בטעינה, המשלבת דרייבר לטעינת הליבה מ-UEFI (UEFI boot stub), תמונת ליבת לינוקס וסביבת מערכת initrd שנטענת לזיכרון, המשמשת לאתחול ראשוני בשלב הקודם ל-FS root mount. .

אתחול מהימן
Artaculo relacionado:
הם מציעים לחדש את תהליך האתחול של לינוקס

בפרט, היתרונות systemd-cryptsetup, systemd-cryptenroll ו-systemd-creds הותאמו כדי להשתמש במידע זה, כדי שתוכל להבטיח שמחיצות דיסק מוצפנות קשורות לגרעין חתום דיגיטלית (במקרה זה, גישה למחיצה המוצפנת ניתנת רק אם תמונת UKI עברה אימות חתימה דיגיטלית בהתבסס על הפרמטרים המוצבים ב- TPM).

בנוסף, כלול כלי השירות systemd-pcrphase, המאפשר לך לשלוט בקשירה של שלבי אתחול שונים לפרמטרים המוצבים בזיכרון על ידי מעבדי קריפטו התומכים במפרט TPM 2.0 (לדוגמה, אתה יכול לגרום למפתח פענוח המחיצה LUKS2 זמין רק בתמונה הראשונית וחסום את הגישה אליה בהורדות עוקבות).

התכונות החדשות העיקריות של מערכת 252

שינויים נוספים הבולטים ב-systemd 252, הם שסודאתי ​​שמקום ברירת המחדל הוא C.UTF-8 אם לא צוין מקום אחר בתצורה.

בנוסף לזה ב-systemd 252 גם הטמיע את היכולת לבצע פעולה מוגדרת מראש של שירות מלא ("systemctl preset") במהלך האתחול הראשון. הפעלת הגדרות מוגדרות מראש בזמן האתחול דורשת בנייה עם אפשרות "-Dfirst-boot-full-preset", אך היא מתוכננת להיות מופעלת כברירת מחדל במהדורות עתידיות.

ביחידות ניהול משתמשים השתמש בבקר משאבי המעבד, מה שאיפשר להבטיח שהגדרת CPUWeight מוחלת על כל יחידות הפרוסות המשמשות לחלוקת המערכת לפרוסות (app.slice, background.slice, session.slice) כדי לבודד משאבים בין שירותי משתמש שונים, המתחרים על משאבי CPU. CPUWeight תומך גם בערך "בטל" כדי להפעיל את מצב החכירה המתאים.

מצד שני, בתהליך האתחול (PID 1), הוסיפו את היכולת לייבא אישורים משדות SMBIOS (סוג 11, "שרשרת ספקי OEM") וכן הגדרתם באמצעות qemu_fwcfg, אשר מפשטת מתן אישורים למכונות וירטואליות ומבטלת את הצורך בכלים של צד שלישי כמו cloud -init והצתה.

במהלך הכיבוי, הלוגיקה של ביטול הרכבה של מערכות קבצים וירטואליות (proc, sys) שונה, ומידע על תהליכים החוסמים את ביטול הרכבה של מערכת הקבצים נשמר ביומן.

טוען האתחול sd הוסיף את היכולת לאתחל במצב מעורב, הפעלת ליבת לינוקס של 64 סיביות מקושחת UEFI של 32 סיביות. נוספה יכולת ניסיונית להחיל אוטומטית מפתחות SecureBoot מקבצים הממוקמים ב-ESP (מחיצת מערכת EFI).

נוספו אפשרויות חדשות לכלי השירות bootctl "-all-architectures" להתקנת קבצים בינאריים עבור כל ארכיטקטורות EFI הנתמכות, «–root=" ו-"–image=» לעבוד עם ספרייה או תמונת דיסק, «--install-source=» כדי להגדיר את הגופן להתקנה, «--efi-boot-option-description=» כדי לשלוט בשמות ערכי האתחול.

משאר השינויים שבולטים מ-systemd 252:

  • systemd-nspawn מאפשר שימוש בנתיבי קבצים יחסיים באפשרויות "–bind=" ו-"–overlay=". נוספה תמיכה באפשרות 'rootidmap' לאפשרות "–bind=" כדי לאגד את מזהה המשתמש השורש במיכל לבעלים של הספרייה המותקנת בצד המארח.
  • systemd-resolved משתמש בחבילת OpenSSL כחלק האחורי של ההצפנה כברירת מחדל (תמיכה ב-gnutls נשמרת כאופציה). אלגוריתמי DNSSEC שאינם נתמכים מטופלים כעת כבלתי מאובטחים במקום להחזיר שגיאה (SERVFAIL).
  • systemd-sysusers, systemd-tmpfiles ו-systemd-sysctl מיישמים את היכולת להעביר תצורה דרך מנגנון אחסון האישורים.
  • נוספה הפקודה 'compare versions' ל-systemd-analyze כדי להשוות מחרוזות עם מספרי גרסה (בדומה ל-'rpmdev-vercmp' ו-'dpkg –compare-versions').
  • הוספה את היכולת לסנן כוננים לפי מסיכה לפקודה 'systemd-analyze dump'.
  • בעת בחירת מצב שינה רב-שלבי (שינה ואז שינה, שינה לאחר תרדמה), זמן השהייה במצב המתנה נבחר כעת על סמך תחזית חיי הסוללה שנותרה.
  • מעבר מיידי למצב שינה מתבצע כאשר יש פחות מ-5% טעינת הסוללה.

ראוי גם להזכיר זאת בשנת 2024, systemd מתכננת להפסיק לתמוך במנגנון מכסת המשאבים של cgroup v1, הוצא משימוש בגרסה 248 של systemd. למנהלים מומלץ לדאוג להעברת שירותים המקושרים ל-cgroup v1 ל-cgroup v2 מראש.

ההבדל העיקרי בין cgroups v2 ו-v1 הוא השימוש בהיררכיית cgroups נפוצה עבור כל סוגי המשאבים, במקום היררכיות נפרדות עבור הקצאת משאבי CPU, ניהול זיכרון ו-I/O. היררכיות נפרדות מובילות לקשיים בארגון האינטראקציה בין מנהלי התקנים ועלויות משאבי ליבה נוספות בעת החלת כללים עבור תהליך בעל שם בהיררכיות שונות.

במחצית השנייה של 2023, מתוכנן להפסיק לתמוך בהיררכיות ספריות מפוצלות, כאשר /usr מותקן בנפרד מהשורש, או /bin ו- /usr/bin, /lib ו- /usr/lib מופרדים.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   לואיקס דיג'ו
    hace שנתי 1

    עוד זבל מלנרט..

    השב ל- luix
  2.   אנונימי דיג'ו
    hace שנתי 1

    הבחור הוא שכיר...והוא עובד טוב...הוא מציית בצורה מושלמת למעסיק שלו.

    השב לאנונימי