systemd 248은 토큰 잠금 해제에 대한 개선, 디렉토리 확장을위한 이미지 지원 등을 제공합니다.

Darkcrizt

4 분

시스템-245

예측 가능한 개발주기를 유지하면서 개발 4 개월 후 공개되었습니다. 새로운 버전의 출시 248.

이 새 버전에서e는 확장 디렉토리에 대한 이미지 지원을 제공합니다. 시스템, 유틸리티ystemd-cryptenroll, 뿐만 아니라 TPM2 칩 및 FIDO2 토큰을 사용하여 LUKS2를 잠금 해제하는 기능, 격리 된 IPC 식별자 공간에서 드라이브를 시작하는 등의 작업이 가능합니다.

systemd 248의 주요 새로운 기능

이 새 버전에서 시스템 확장 이미지의 개념이 구현되었습니다. 지정된 디렉토리가 읽기 전용으로 마운트 된 경우에도 디렉토리 계층을 확장하고 런타임에 추가 파일을 추가하는 데 사용할 수 있습니다. 시스템 확장 이미지가 마운트되면 해당 콘텐츠는 OverlayFS를 사용하여 계층 구조에 오버레이됩니다.

눈에 띄는 또 다른 변화는e는 이미지를 연결, 연결 해제,보기 및 업데이트하는 새로운 유틸리티 systemd-sysext를 제안했습니다. 시스템 확장과 systemd-sysext.service 서비스가 추가되어 부팅시 이미 설치된 이미지를 자동으로 마운트합니다. 유닛의 경우 ExtensionImages 구성이 구현되어 시스템 확장 이미지를 개별 격리 된 서비스의 FS 네임 스페이스 계층에 연결하는 데 사용할 수 있습니다.

Systemd-cryptsetup은 PKCS # 11 토큰에서 URI를 추출하는 기능을 추가합니다. JSON 형식의 LUKS2 메타 데이터 헤더에서 암호화 된 키, 암호화 된 장치의 공개 정보를 장치 자체에 통합 할 수 있습니다. 외부 파일을 포함하지 않고 TPM2 칩을 사용하여 LUKS2 암호화 파티션 잠금 해제를 지원합니다. 및 FIDO2 토큰, 이전에 지원 된 PKCS # 11 토큰에 추가됩니다. libfido2로드는 dlopen ()을 통해 수행됩니다. 즉, 가용성은 하드 코딩 된 종속성이 아닌 즉석에서 확인됩니다.

또한 systemd 248에서 systemd-networkd는 BATMAN 메시 프로토콜에 대한 지원을 추가했습니다. («모바일 애드혹 네트워킹에 대한 더 나은 접근 방식), 분산 네트워크를 만들 수 있습니다., 인접 노드를 통해 연결되는 각 노드.

또한 건망증에 대한 조기 대응 메커니즘의 구현이 안정화되었습니다. systemd-oomd 시스템 및 DefaultMemoryPressureDurationSec 옵션을 사용하여 드라이브에 영향을주기 전에 리소스 해제를 기다리는 시간을 설정합니다. Systemd-oomd는 PSI (Pressure Stall Information) 커널 하위 시스템을 사용하며 자원 부족으로 인한 지연 현상 감지 가능 시스템이 아직 위험 상태에 있지 않고 캐시를 크게 자르고 데이터를 스왑 파티션으로 이동하지 않는 단계에서 리소스 집약적 인 프로세스를 선택적으로 종료합니다.

PrivateIPC 매개 변수 추가단위 파일의 격리 된 IPC 공간에서 프로세스 시작을 구성 할 수 있습니다. 자체 식별자와 메시지 대기열이 있습니다. 이미 생성 된 IPC 식별자 공간에 드라이브를 연결하기 위해 IPCNamespacePath 옵션이 제공됩니다.

동안 사용 가능한 커널의 경우 시스템 호출 테이블의 자동 생성이 구현되었습니다. seccomp 필터의 경우.

눈에 띄는 기타 변경 사항 :

  • systemd-distribu 유틸리티는 TPM2 칩을 사용하여 암호화 된 파티션을 활성화하는 기능을 추가했습니다 (예 : 최초 부팅시 암호화 된 / var 파티션 생성).
  • systemd-cryptenroll 유틸리티를 추가하여 TPM2, FIDO2 및 PKCS # 11 토큰을 LUKS 파티션에 바인딩하고 토큰을 고정 해제 및 확인하고 예비 키를 바인딩하고 액세스 암호를 설정합니다.
  • 파일 시스템의 특정 부분에 noexec 플래그를 적용하기 위해 ExecPaths 및 NoExecPaths 설정이 추가되었습니다.
  • 커널 명령 줄 매개 변수- "root = tmpfs"를 추가하여 Tmpfs를 사용하여 루트 파티션을 RAM에있는 임시 저장소에 마운트 할 수 있습니다.
  • 노출 된 환경 변수가있는 블록은 이제 커널 명령 줄 및 단위 파일 설정뿐 아니라 system.conf 또는 user.conf의 새로운 ManagerEnvironment 옵션을 통해 구성 할 수 있습니다.
  • 컴파일 타임에 execve () 대신 fexecve () 시스템 호출을 사용하여 프로세스를 시작하여 보안 컨텍스트 확인과 적용 사이의 지연을 줄일 수 있습니다.

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.