systemd 252 が UKI のサポート、改善などとともに登場

systemd は、システム カーネルとインターフェイスするための中央構成および管理プラットフォームとして設計された、システム管理デーモン、ライブラリ、およびツールのセットです。 

開発のXNUMXヶ月後 systemd 252 の新バージョンのリリースが発表されました、バージョン 新しいバージョンの主な変更点は、 へのサポート 最新のブート プロセス、 これにより、カーネルとブートローダーだけでなく、デジタル署名を使用して基盤となるシステム環境のコンポーネントも検証できます。

提案された方法では、UKI 統合カーネル イメージ (UEFI (UEFI ブート スタブ) からカーネルをロードするためのドライバー、Linux カーネル イメージ、およびメモリにロードされた initrd システム環境を組み合わせたロード時の統合カーネル イメージ)。FS ルート マウントの前の段階で初期初期化に使用されます。 .

関連記事

彼らは、Linux のブート プロセスを最新化することを提案しています。

特にメリットは systemd-cryptsetup、systemd-cryptenroll、および systemd-creds が適応されました この情報を使用して、暗号化されたディスク パーティションがデジタル署名されたカーネルにバインドされていることを確認できます (この場合、暗号化されたパーティションへのアクセスは、UKI イメージがデジタル署名ベースの検証に合格した場合にのみ提供されます)。 TPM で)。

さらに、systemd-pcrphase ユーティリティが含まれています。これにより、TPM 2.0 仕様をサポートする暗号プロセッサによってメモリに配置されたパラメーターへのさまざまなブート ステージのバインドを制御できます (たとえば、パーティションの復号化キー LUKS2 のみを使用できるようにすることができます)。 initrd イメージに保存し、その後のダウンロードでアクセスをブロックします)。

systemd252の主な新機能

systemd 252 で際立っているその他の変更点は、デフォルトのロケールが C.UTF-8 であることを確認しました 構成で他のロケールが指定されていない場合。

それに加えてsystemd 252でも フルサービスのプリセット操作を実行する機能を実装 (「systemctl プリセット」) 初回起動時に。 起動時にプリセットを有効にするには、「-Dfirst-boot-full-preset」オプションを使用してビルドする必要がありますが、将来のリリースではデフォルトで有効になる予定です。

ユーザー管理単位ではCPUリソースコントローラーを使用これにより、システムをスライス (app.slice、background.slice、session.slice) に分割するために使用されるすべてのスライス ユニットに CPUWeight 設定が適用され、異なるユーザー サービス間でリソースを分離し、CPU リソースを競合させることが可能になりました。 CPUWeight は、適切なリース モードをトリガーする「アイドル」値もサポートしています。

一方、初期化の過程では (PID 1)、SMBIOS フィールドから資格情報をインポートする機能を追加 (タイプ 11、「OEM プロバイダー チェーン」) を定義するだけでなく、qemu_fwcfg を介してそれらを定義します。これにより、仮想マシンへの資格情報のプロビジョニングが簡素化され、cloud -init やigigration などのサードパーティ ツールが不要になります。

シャットダウン中に、仮想ファイル システム (proc、sys) をアンマウントするためのロジックが変更され、ファイル システムのアンマウントをブロックしているプロセスに関する情報がログに保存されます。

sd ブートローダーは、混合モードで起動する機能を追加しました。 64 ビット UEFI ファームウェアから 32 ビット Linux カーネルを実行します。 ESP (EFI システム パーティション) にあるファイルから SecureBoot キーを自動的に適用する実験的機能を追加しました。

bootctl ユーティリティ「–all-architectures」に新しいオプションを追加 サポートされているすべての EFI アーキテクチャのバイナリをインストールするには、«–root=」および「–image=» ディレクトリまたはディスク イメージを操作するには、«--install-source=» インストールするフォントを定義する «--efi-boot-option-description=» ブート エントリの名前を制御します。

その他の変更点 systemd 252 から際立っているもの:

• systemd-nspawn では、「–bind=」および「–overlay=」オプションで相対ファイル パスを使用できます。 「–bind=」オプションに「rootidmap」オプションのサポートを追加して、コンテナーの root ユーザー ID をホスト側のマウントされたディレクトリーの所有者にバインドします。
• systemd-resolved は、デフォルトで OpenSSL パッケージを暗号化バックエンドとして使用します (gnutls サポートはオプションとして保持されます)。 サポートされていない DNSSEC アルゴリズムは、エラー (SERVFAIL) を返すのではなく、安全でないものとして扱われるようになりました。
• systemd-sysusers、systemd-tmpfiles、および systemd-sysctl は、資格情報ストレージ メカニズムを介して構成を渡す機能を実装します。
• 文字列をバージョン番号と比較するために、systemd-analyze に「バージョンの比較」コマンドを追加しました (「rpmdev-vercmp」および「dpkg –compare-versions」と同様)。
• 「systemd-analyze dump」コマンドにマスクでドライブをフィルタリングする機能を追加しました。
• 多段階のスリープ モード (スリープしてから休止状態、休止状態の後に休止状態) を選択すると、スタンバイ モードで費やされる時間が、残りのバッテリー寿命の予測に基づいて選択されるようになりました。
• バッテリー残量が 5% 未満になると、すぐにスリープ モードに移行します。

また、言及する価値があります 2024 年に、systemd は cgroup v1 リソース キャッピング メカニズムのサポートを停止する予定です。 systemd のバージョン 248 で廃止されました。 管理者は、cgroup v1 にリンクされたサービスを cgroup v2 に事前に移動するように注意することをお勧めします。

主な違い cgroup v2 と v1 の間 共通の cgroups 階層の使用です CPU リソースの割り当て、メモリ管理、および I/O の個別の階層ではなく、すべてのリソース タイプに対して。 階層が分かれていると、異なる階層の名前付きプロセスにルールを適用するときに、ドライバーと追加のカーネル リソース コスト間の相互作用を整理することが困難になります。

2023 年後半には、/usr がルートとは別にマウントされている場合、または /bin と /usr/bin、/lib と /usr/lib ディレクトリが分離されている場合の分割ディレクトリ階層のサポートを停止する予定です。