systemd 248 vine cu îmbunătățiri pentru deblocarea simbolurilor, suport pentru imagini pentru extinderea directoarelor și multe altele

Darkcrizt

Minute 4

systemd-245

Continuând cu un ciclu de dezvoltare previzibil, după 4 luni de dezvoltare a fost dezvăluit lansarea noii versiuni a sistemd 248.

În această nouă versiune se oferă suport pentru imagine pentru extinderea directoarelor sistem, utilitarul systemd-cryptenroll, la fel de bine ca capacitatea de a debloca LUKS2 folosind jetoane TPM2 și jetoane FIDO2, lansați unități într-un spațiu de identificare IPC izolat și multe altele.

Principalele caracteristici noi ale systemd 248

În această nouă versiune a fost implementat conceptul de imagini de extensie a sistemului, care poate fi utilizat pentru a extinde ierarhia de directoare și pentru a adăuga fișiere suplimentare în timpul rulării, chiar dacă directoarele specificate sunt montate numai în citire. Când este montată o imagine de extensie de sistem, conținutul său este suprapus în ierarhie utilizând OverlayFS.

O altă schimbare care iese în evidență este că sA propus un nou utilitar systemd-sysext pentru conectarea, deconectarea, vizualizarea și actualizarea imaginilor extensiile de sistem, plus serviciul systemd-sysext.service au fost adăugate pentru a monta automat imaginile deja instalate la boot. Pentru unități, este implementată configurația ExtensionImages, care poate fi utilizată pentru a lega imaginile de extensie de sistem la ierarhia spațiului de nume FS al serviciilor izolate individuale.

Systemd-cryptsetup adaugă capacitatea de a extrage URI-ul din simbolul PKCS # 11 și cheia criptată din antetul de metadate LUKS2 în format JSON, care permite ca informațiile deschise ale dispozitivului criptat să fie integrate în dispozitivul însuși fără a implica fișiere externe, în plus oferă suport pentru deblocarea partițiilor criptate LUKS2 folosind cipuri TPM2 și jetoane FIDO2, pe lângă jetoanele PKCS # 11 acceptate anterior. Încărcarea libfido2 se face prin dlopen (), adică disponibilitatea este verificată din mers, nu ca o dependență codificată.

De asemenea, în systemd 248 systemd-networkd a adăugat suport pentru protocolul mesh BATMAN («O mai bună abordare a rețelei mobile adhoc), care vă permite să creați rețele descentralizate, fiecare nod unde se conectează prin noduri învecinate.

De asemenea, se evidențiază faptul că implementarea mecanismului de răspuns timpuriu la uitare a fost stabilizată pe sistemul systemd-oomd, precum și opțiunea DefaultMemoryPressureDurationSec pentru a seta timpul de așteptare pentru eliberarea resurselor înainte de a afecta o unitate. Systemd-oomd folosește subsistemul kernel PSI (Pressure Stall Information) și permite detectarea apariției întârzierilor din cauza lipsei de resurse și închiderea selectivă a proceselor care consumă resurse într-o etapă în care sistemul nu este încă într-o stare critică și nu începe să tundă puternic memoria cache și să mute datele în partiția de swap.

S-a adăugat parametrul PrivateIPCvă permite să configurați lansarea proceselor într-un spațiu IPC izolat într-un fișier unitate cu proprii identificatori și coadă de mesaje. Pentru a conecta o unitate la un spațiu de identificare IPC deja creat, este furnizată opțiunea IPCNamespacePath.

În timp ce pentru nucleele disponibile, a fost implementată generarea automată de tabele de apeluri de sistem pentru filtre seccomp.

Dintre alte schimbări care se remarcă:

  • Utilitarul systemd-distribution a adăugat capacitatea de a activa partiții criptate folosind cipuri TPM2, de exemplu pentru a crea o partiție criptată / var la prima pornire.
  • S-a adăugat utilitarul systemd-cryptenroll pentru a lega jetoanele TPM2, FIDO2 și PKCS # 11 la partițiile LUKS, precum și pentru a deconecta și vizualiza jetoane, lega cheile de rezervă și seta o parolă de acces.
  • Setările ExecPaths și NoExecPaths au fost adăugate pentru a aplica semnalizatorul noexec anumitor părți ale sistemului de fișiere.
  • S-a adăugat un parametru de linie de comandă a nucleului - „root = tmpfs”, care permite partiției rădăcină să fie montată pe stocarea temporară situată în RAM folosind Tmpfs.
  • Un bloc cu variabile de mediu expuse poate fi acum configurat prin noua opțiune ManagerEnvironment din system.conf sau user.conf, nu doar prin linia de comandă a nucleului și setările fișierului de unitate.
  • La compilare, puteți utiliza apelul de sistem fexecve () în loc de execve () pentru a porni procesele pentru a reduce întârzierea dintre verificarea contextului de securitate și aplicarea acestuia.

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: AB Internet Networks 2008 SL
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.