Fortsetter med en forutsigbar utviklingssyklus, etter 4 måneders utvikling ble den avduket lanseringen av den nye versjonen av systemd 248.
I denne nye versjonen se gir bildestøtte for utvidende kataloger systemet, verktøyet systemd-kryptenroll, samt muligheten til å låse opp LUKS2 ved hjelp av TPM2-brikker og FIDO2-tokens, lanserer stasjoner i et isolert IPC-identifikasjonsrom og mye mer.
De viktigste nye funksjonene i systemd 248
I denne nye versjonen konseptet med systemutvidelsesbilder ble implementert, som kan brukes til å utvide kataloghierarkiet og legge til flere filer ved driftstid, selv om de angitte katalogene er montert skrivebeskyttet. Når et systemutvidelsesbilde er montert, legges innholdet i hierarkiet ved hjelp av OverlayFS.
En annen endring som skiller seg ut er at se har foreslått et nytt verktøy system-sysext for å koble til, koble fra, vise og oppdatere bilder systemutvidelser, pluss systemd-sysext.service-tjenesten er lagt til for å montere allerede installerte bilder automatisk ved oppstart. For enheter implementeres ExtensionImages-konfigurasjonen, som kan brukes til å koble systemutvidelsesbilder til FS-navnehierarkiet for individuelle isolerte tjenester.
Systemd-cryptsetup legger til muligheten til å trekke ut URI fra PKCS # 11-token og den krypterte nøkkelen fra LUKS2 metadataoverskriften i JSON-format, som tillater at den åpne informasjonen til den krypterte enheten integreres i selve enheten uten å involvere eksterne filer, i tillegg gir støtte for å låse opp LUKS2-krypterte partisjoner ved hjelp av TPM2-brikker og FIDO2-tokens, i tillegg til de tidligere støttede PKCS # 11-tokens. Lasting av libfido2 skjer via dlopen (), dvs. tilgjengeligheten blir sjekket i farta, ikke som en hardkodet avhengighet.
Også i systemd 248 systemd-networkd har lagt til støtte for BATMAN mesh-protokollen («Better Approach To Mobile Adhoc Networking), som lar deg opprette desentraliserte nettverk, hver node der den kobles gjennom nabo noder.
Det er også fremhevet at implementeringen av den tidlige responsmekanismen mot glemsomhet er stabilisert på systemd-oomd-systemet, så vel som alternativet DefaultMemoryPressureDurationSec for å angi tiden for å vente på frigjøring av ressurser før du påvirker en stasjon. Systemd-oomd bruker kjernedelsystemet PSI (Pressure Stall Information) og gjør det mulig å oppdage utseendet på forsinkelser på grunn av mangel på ressurser og selektivt å slå av ressurskrevende prosesser på et stadium der systemet ennå ikke er i kritisk tilstand og ikke begynner å trimme hurtigbufferen og flytte data til byttepartisjonen.
Lagt til PrivateIPC-parameterAt lar deg konfigurere lanseringen av prosesser i et isolert IPC-rom i en enhetsfil med egne identifikatorer og meldingskø. For å koble en stasjon til et allerede opprettet IPC-identifikasjonsrom, er alternativet IPCNamespacePath gitt.
Mens for tilgjengelige kjerner ble den automatiske genereringen av systemanropstabeller implementert for seccomp filtre.
Av andre endringer som skiller seg ut:
- Systemd-distribu-verktøyet har lagt til muligheten til å aktivere krypterte partisjoner ved hjelp av TPM2-brikker, for eksempel for å lage en kryptert / var-partisjon ved første oppstart.
- Lagt til systemd-cryptenroll-verktøyet for å binde TPM2, FIDO2 og PKCS # 11-tokens til LUKS-partisjoner, samt å løsne og vise tokens, binde reservenøkler og angi et tilgangspassord.
- ExecPaths og NoExecPaths-innstillinger ble lagt til for å bruke noexec-flagget på bestemte deler av filsystemet.
- Lagt til en kjerne kommandolinjeparameter - "root = tmpfs", som gjør at rotpartisjonen kan monteres på midlertidig lagring i RAM ved hjelp av Tmpfs.
- En blokk med eksponerte miljøvariabler kan nå konfigureres gjennom det nye ManagerEnvironment-alternativet i system.conf eller user.conf, ikke bare gjennom kjernekommandolinjen og enhetsfilinnstillingene.
- På kompileringstidspunktet kan du bruke fexecve () systemanrop i stedet for execve () for å starte prosesser for å redusere forsinkelsen mellom å sjekke sikkerhetskonteksten og bruke den.