systemd 252 komt met UKI-ondersteuning, verbeteringen en meer

Darkcrizt

5 minuten

systemd

systemd is een set systeembeheerdaemons, bibliotheken en hulpprogramma's die zijn ontworpen als een centraal configuratie- en beheerplatform voor interfaces met de systeemkernel. 

Na vijf maanden ontwikkeling de release van de nieuwe versie van systemd 252 werd aangekondigd, versie waarin de belangrijkste verandering in de nieuwe versie was de integratie van ondersteuning voor een gemoderniseerd opstartproces, waarmee niet alleen de kernel en bootloader kunnen worden geverifieerd, maar ook de componenten van de onderliggende systeemomgeving met behulp van digitale handtekeningen.

De voorgestelde methode omvat het gebruik van een UKI unified kernel-image (Unified kernel image) on load, dat een driver combineert voor het laden van de kernel vanuit UEFI (UEFI boot stub), een Linux kernel image, en de initrd systeemomgeving geladen in het geheugen, gebruikt voor initiële initialisatie in de vorige fase naar de FS root mount .

Trusted Boot
Gerelateerd artikel:
Ze stellen voor om het Linux-opstartproces te moderniseren

Vooral de voordelen systemd-cryptsetup, systemd-cryptenroll en systemd-creds zijn aangepast om deze informatie te gebruiken, zodat u ervoor kunt zorgen dat gecodeerde schijfpartities zijn gebonden aan een digitaal ondertekende kernel (in dit geval wordt toegang tot de gecodeerde partitie alleen geboden als de UKI-image de digitale handtekeningverificatie heeft doorstaan ​​op basis van de parameters die in de TPM).

Bovendien wordt het hulpprogramma systemd-pcrphase meegeleverd, waarmee u de binding van verschillende opstartfasen aan parameters die in het geheugen zijn geplaatst door cryptoprocessors die de TPM 2.0-specificatie ondersteunen (u kunt bijvoorbeeld de partitiedecoderingssleutel LUKS2 alleen beschikbaar maken in de initrd-afbeelding en blokkeer de toegang ertoe bij volgende downloads).

Belangrijkste nieuwe kenmerken van systemd 252

Andere veranderingen die opvallen in systemd 252, is dat se zorgde ervoor dat de standaard locale C.UTF-8 is als er geen andere landinstelling is opgegeven in de configuratie.

Naast het in systemd 252 ook de mogelijkheid geïmplementeerd om een ​​vooraf ingestelde volledige service uit te voeren ("systemctl preset") tijdens de eerste keer opstarten. Het inschakelen van voorinstellingen tijdens het opstarten vereist een build met de optie "-Dfirst-boot-full-preset", maar het is de bedoeling dat dit standaard wordt ingeschakeld in toekomstige releases.

Gebruik in gebruikersbeheereenheden de CPU-broncontroller, wat het mogelijk maakte om ervoor te zorgen dat de CPUWeight-instelling wordt toegepast op alle slice-eenheden die worden gebruikt om het systeem in slices te verdelen (app.slice, background.slice, session.slice) om bronnen te isoleren tussen verschillende gebruikersservices, die strijden om CPU-bronnen. CPUWeight ondersteunt ook een "inactieve" waarde om de juiste lease-modus te activeren.

Aan de andere kant, in het initialisatieproces (PID 1), de mogelijkheid toegevoegd om inloggegevens uit SMBIOS-velden te importeren (Type 11, "OEM-providerketens") en definieert ze via qemu_fwcfg, wat het verstrekken van referenties aan virtuele machines vereenvoudigt en de noodzaak voor tools van derden zoals cloud-init en ontsteking elimineert.

Tijdens het afsluiten is de logica voor het ontkoppelen van virtuele bestandssystemen (proc, sys) gewijzigd en informatie over processen die het ontkoppelen van het bestandssysteem blokkeren, wordt in het logboek opgeslagen.

De sd-bootloader heeft de mogelijkheid toegevoegd om in gemengde modus op te starten, met een 64-bits Linux-kernel van 32-bits UEFI-firmware. Experimentele mogelijkheid toegevoegd om automatisch SecureBoot-sleutels toe te passen van bestanden op ESP (EFI-systeempartitie).

Nieuwe opties toegevoegd aan het bootctl-hulpprogramma "–all-architecturen" om binaire bestanden te installeren voor alle ondersteunde EFI-architecturen, «–root=" en "–image=» om met een map of schijfkopie te werken, «--install-source=» om het te installeren lettertype te definiëren, «--efi-boot-optie-beschrijving=» om de namen van opstartitems te beheren.

Van de andere veranderingen die zich onderscheiden van systemd 252:

  • systemd-nspawn staat het gebruik van relatieve bestandspaden toe in de opties "–bind=" en "–overlay=". Ondersteuning toegevoegd voor de 'rootidmap'-optie aan de "–bind="-optie om de rootgebruikers-ID op de container te binden aan de eigenaar van de gekoppelde map aan de hostzijde.
  • systemd-resolved gebruikt standaard het OpenSSL-pakket als de encryptie-backend (gnutls-ondersteuning blijft als optie behouden). Niet-ondersteunde DNSSEC-algoritmen worden nu als onveilig behandeld in plaats van een fout te retourneren (SERVFAIL).
  • systemd-syusers, systemd-tmpfiles en systemd-sysctl implementeren de mogelijkheid om configuratie door te geven via het opslagmechanisme voor referenties.
  • Commando 'vergelijk versies' toegevoegd aan systemd-analyze om strings te vergelijken met versienummers (vergelijkbaar met 'rpmdev-vercmp' en 'dpkg –compare-versions').
  • De mogelijkheid toegevoegd om schijven op masker te filteren aan de opdracht 'systemd-analyze dump'.
  • Bij het kiezen van een slaapmodus met meerdere fasen (slaap dan slaapstand, slaapstand na slaapstand), wordt de tijd die in de stand-bymodus wordt doorgebracht nu geselecteerd op basis van de voorspelling van de resterende levensduur van de batterij.
  • Een onmiddellijke overgang naar de slaapmodus wordt gemaakt wanneer de batterij minder dan 5% is opgeladen.

Het is ook het vermelden waard dat in 2024 is systemd van plan om te stoppen met het ondersteunen van het cgroup v1 resource capping-mechanisme, verouderd in versie 248 van systemd. Beheerders wordt aangeraden om op voorhand zorg te dragen voor verhuisdiensten die gekoppeld zijn aan cgroup v1 naar cgroup v2.

Het belangrijkste verschil: tussen cgroups v2 en v1 is het gebruik van een gemeenschappelijke cgroup-hiërarchie voor alle resourcetypen, in plaats van afzonderlijke hiërarchieën voor CPU-resourcetoewijzing, geheugenbeheer en I/O. Afzonderlijke hiërarchieën leiden tot problemen bij het organiseren van de interactie tussen stuurprogramma's en tot extra kosten voor kernelbronnen bij het toepassen van regels voor een benoemd proces in verschillende hiërarchieën.

In de tweede helft van 2023 is het de bedoeling om te stoppen met het ondersteunen van gesplitste directoryhiërarchieën, wanneer /usr afzonderlijk van root wordt gemount, of /bin en /usr/bin, /lib en /usr/lib-directories worden gescheiden.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Luix zei
    geleden 1 jaar

    meer rotzooi van lennart..

    Reageer op luix
  2.   anoniem zei
    geleden 1 jaar

    De man is een werknemer ... en hij is een goede werknemer ... hij voldoet perfect aan zijn baas.

    Reageer op anoniem