systemd 248 dilengkapi dengan penambahbaikan untuk membuka kunci token, sokongan imej untuk mengembangkan direktori dan banyak lagi

Darkcrizt

Minit 4

sistemd-245

Meneruskan kitaran pembangunan yang dapat diramalkan, setelah 4 bulan pembangunannya dilancarkan pelancaran versi baru sistemd 248.

Dalam versi baru ini se menyediakan sokongan imej untuk mengembangkan direktori sistem, utiliti systemd-cryptenroll, dan juga keupayaan untuk membuka kunci LUKS2 menggunakan cip TPM2 dan token FIDO2, lancarkan pemacu di ruang pengecam IPC yang terpencil, dan banyak lagi.

Ciri baru utama sistemd 248

Dalam versi baru ini konsep imej peluasan sistem dilaksanakan, yang dapat digunakan untuk memperluas hierarki direktori dan menambahkan fail tambahan pada waktu berjalan, walaupun direktori yang ditentukan dipasang hanya baca. Apabila gambar peluasan sistem dipasang, kandungannya dilapisi dalam hierarki menggunakan OverlayFS.

Perubahan lain yang menonjol ialah se telah mencadangkan sistem utiliti baru-sysext untuk menyambung, memutuskan sambungan, melihat dan mengemas kini gambar sambungan sistem, ditambah perkhidmatan systemd-sysext.service telah ditambahkan untuk memasang gambar yang sudah dipasang secara automatik pada waktu boot. Untuk unit, konfigurasi ExtensionImages dilaksanakan, yang dapat digunakan untuk menghubungkan gambar peluasan sistem ke hierarki ruang nama FS bagi perkhidmatan terpencil individu.

Systemd-cryptsetup menambah keupayaan untuk mengekstrak URI dari token PKCS # 11 dan kunci yang disulitkan dari header metadata LUKS2 dalam format JSON, yang membolehkan maklumat terbuka peranti yang disulitkan disepadukan ke dalam peranti itu sendiri tanpa melibatkan fail luaran, sebagai tambahan memberikan sokongan untuk membuka kunci partisi yang dienkripsi LUKS2 menggunakan cip TPM2 dan token FIDO2, sebagai tambahan kepada token PKCS # 11 yang disokong sebelumnya. Memuat libfido2 dilakukan melalui dlopen (), iaitu ketersediaan diperiksa dengan cepat, bukan sebagai ketergantungan yang keras.

Juga, dalam systemd 248 systemd-networkd telah menambahkan sokongan untuk protokol mesh BATMAN («Pendekatan yang Lebih Baik Ke Rangkaian Adhoc Mudah Alih), yang membolehkan anda membuat rangkaian yang terdesentralisasi, setiap nod di mana ia menghubungkan melalui nod yang berdekatan.

Ia juga diketengahkan bahawa pelaksanaan mekanisme tindak balas awal terhadap pelupa telah stabil pada sistem systemd-oomd, serta pilihan DefaultMemoryPressureDurationSec untuk menetapkan masa untuk menunggu pembebasan sumber sebelum mempengaruhi pemacu. Systemd-oomd menggunakan subsistem kernel PSI (Pressure Stall Information) dan memungkinkan untuk mengesan kemunculan kelewatan kerana kekurangan sumber dan secara selektif mematikan proses intensif sumber daya pada tahap di mana sistem belum berada dalam keadaan kritikal dan tidak mula memangkas cache dengan banyak dan memindahkan data ke partisi swap.

Menambah parameter PrivateIPCItu membolehkan anda mengkonfigurasi pelancaran proses di ruang IPC yang terpencil dalam fail unit dengan pengecam dan barisan mesejnya sendiri. Untuk menyambungkan pemacu ke ruang pengenal IPC yang sudah dibuat, pilihan IPCNamespacePath disediakan.

manakala untuk kernel yang tersedia, penjanaan automatik jadual panggilan sistem dilaksanakan untuk penapis seccomp.

Daripada perubahan lain yang menonjol:

  • Utiliti systemd-distribu telah menambahkan kemampuan untuk mengaktifkan partisi yang dienkripsi menggunakan cip TPM2, misalnya untuk membuat partisi yang dienkripsi / var pada boot pertama.
  • Menambah utiliti systemd-cryptenroll untuk mengikat TPM2, FIDO2, dan PKCS # 11 token ke partisi LUKS, serta untuk melepaskan dan melihat token, mengikat kunci ganti, dan menetapkan kata laluan akses.
  • Tetapan ExecPaths dan NoExecPaths ditambahkan untuk menerapkan bendera noexec ke bahagian tertentu dari sistem file.
  • Menambah parameter baris perintah kernel - "root = tmpfs", yang membolehkan partisi root dipasang ke penyimpanan sementara yang terletak di RAM menggunakan Tmpfs.
  • Blok dengan pemboleh ubah persekitaran yang terdedah kini dapat dikonfigurasi melalui pilihan ManagerEnvironment baru di system.conf atau user.conf, bukan hanya melalui baris perintah kernel dan tetapan fail unit.
  • Pada waktu kompilasi, anda boleh menggunakan panggilan sistem fexecve () dan bukannya execve () untuk memulakan proses untuk mengurangkan kelewatan antara memeriksa konteks keselamatan dan menerapkannya.

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.