systemd 252 vine cu suport UKI, îmbunătățiri și multe altele

Darkcrizt

Minute 5

systemd

systemd este un set de daemoni de administrare a sistemului, biblioteci și instrumente concepute ca o platformă centrală de configurare și administrare pentru interfața cu nucleul sistemului. 

După cinci luni de dezvoltare a fost anunțată lansarea noii versiuni de systemd 252, versiune în care schimbarea cheie în noua versiune a fost integrarea Suport pentru un proces de boot modernizat, care permite verificarea nu numai a nucleului și a bootloader-ului, ci și a componentelor mediului de sistem subiacent folosind semnături digitale.

Metoda propusă implică utilizarea unei imagini kernel unificate UKI (Imagine unificată a nucleului) la încărcare, care combină un driver pentru încărcarea nucleului din UEFI (UEFI boot stub), o imagine a kernelului Linux și mediul de sistem initrd încărcat în memorie, utilizat pentru inițializarea inițială în etapa anterioară la montarea rădăcină FS .

Cizme de încredere
Articol asociat:
Ei propun să modernizeze procesul de pornire Linux

În special, beneficiile systemd-cryptsetup, systemd-cryptenroll și systemd-creds au fost adaptate pentru a utiliza aceste informații, astfel încât să vă puteți asigura că partițiile de disc criptate sunt legate la un nucleu semnat digital (în acest caz, accesul la partiția criptată este oferit numai dacă imaginea UKI a trecut verificarea semnăturii digitale pe baza parametrilor plasați în TPM).

În plus, este inclus utilitarul systemd-pcrphase, care vă permite să controlați legarea diferitelor etape de pornire la parametrii plasați în memorie de către criptoprocesoarele care acceptă specificația TPM 2.0 (de exemplu, puteți face ca cheia de decriptare a partiției LUKS2 să fie disponibilă numai în imaginea initrd și blocați accesul la aceasta la descărcări ulterioare).

Principalele caracteristici noi ale systemd 252

Alte modificări care ies în evidență în systemd 252, este că sM-am asigurat că localul implicit este C.UTF-8 dacă nu este specificată nicio altă locație în configurație.

În plus față de acesta, în systemd 252, de asemenea a implementat capacitatea de a efectua o operațiune prestabilită completă ("systemctl preset") în timpul primei porniri. Activarea presetărilor la pornire necesită o construcție cu opțiunea „-Dfirst-boot-full-preset”, dar este planificat să fie activată implicit în versiunile viitoare.

În unitățile de gestionare a utilizatorilor utilizați controlerul de resurse CPU, ceea ce a făcut posibilă asigurarea faptului că setarea CPUWeight este aplicată tuturor unităților de slice utilizate pentru a partiționa sistemul în slice (app.slice, background.slice, session.slice) pentru a izola resursele între diferite servicii de utilizator, concurând pentru resursele CPU. CPUWeight acceptă, de asemenea, o valoare „inactiv” pentru a declanșa modul de închiriere adecvat.

Pe de altă parte, în procesul de inițializare (PID 1), a adăugat posibilitatea de a importa acreditări din câmpurile SMBIOS (Tipul 11, „lanțuri de furnizori OEM”), precum și definirea acestora prin qemu_fwcfg, care simplifică furnizarea acreditărilor către mașinile virtuale și elimină nevoia de instrumente terțe, cum ar fi cloud -init și ignition.

În timpul opririi, logica pentru demontarea sistemelor de fișiere virtuale (proc, sys) a fost modificată, iar informațiile despre procesele care blochează demontarea sistemului de fișiere sunt salvate în jurnal.

Încărcătorul SD a adăugat capacitatea de a porni în modul mixt, rulează un nucleu Linux pe 64 de biți din firmware-ul UEFI pe 32 de biți. S-a adăugat capacitatea experimentală de a aplica automat cheile SecureBoot din fișierele aflate pe ESP (EFI System Partition).

S-au adăugat noi opțiuni la utilitarul bootctl „–all-architectures” pentru a instala binare pentru toate arhitecturile EFI acceptate, «–root=" și „–image=» pentru a lucra cu un director sau o imagine de disc, «--install-source=» pentru a defini fontul de instalat, «--efi-boot-option-description=» pentru a controla numele intrărilor de boot.

Dintre celelalte schimbări care ies în evidență de systemd 252:

  • systemd-nspawn permite utilizarea căilor de fișiere relative în opțiunile „–bind=" și „–overlay=". S-a adăugat suport pentru opțiunea „rootidmap” la opțiunea „–bind=" pentru a lega ID-ul utilizatorului rădăcină de pe container la proprietarul directorului montat pe partea gazdă.
  • systemd-resolved folosește pachetul OpenSSL ca backend de criptare în mod implicit (suportul gnutls este păstrat ca opțiune). Algoritmii DNSSEC neacceptați sunt acum tratați ca nesiguri în loc să returneze o eroare (SERVFAIL).
  • systemd-sysusers, systemd-tmpfiles și systemd-sysctl implementează capacitatea de a trece configurația prin mecanismul de stocare a acreditărilor.
  • S-a adăugat comanda „compara versiuni” la systemd-analyze pentru a compara șirurile cu numerele de versiune (similar cu „rpmdev-vercmp” și „dpkg –compare-versions”).
  • S-a adăugat posibilitatea de a filtra unitățile după mască la comanda „systemd-analyze dump”.
  • Când alegeți un mod de repaus în mai multe etape (dormire, apoi hibernare, hibernare după hibernare), timpul petrecut în modul de așteptare este acum selectat pe baza prognozei de viață rămasă a bateriei.
  • O tranziție instantanee la modul de repaus se face atunci când bateria este încărcată cu mai puțin de 5%.

De asemenea, merită menționat faptul că în 2024, systemd intenționează să nu mai susțină mecanismul de limitare a resurselor cgroup v1, depreciat în versiunea 248 a systemd. Administratorii sunt sfătuiți să aibă grijă de mutarea serviciilor legate de cgroup v1 la cgroup v2 în avans.

Diferența cheie între cgroups v2 și v1 este utilizarea unei ierarhii comune cgroups pentru toate tipurile de resurse, mai degrabă decât ierarhii separate pentru alocarea resurselor CPU, gestionarea memoriei și I/O. Ierarhiile separate duc la dificultăți în organizarea interacțiunii dintre drivere și costuri suplimentare cu resursele nucleului atunci când se aplică reguli pentru un proces numit în ierarhii diferite.

În a doua jumătate a anului 2023, este planificat să nu mai accepte ierarhiile de directoare divizate, atunci când /usr este montat separat de rădăcină, sau directoarele /bin și /usr/bin, /lib și /usr/lib sunt separate.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: AB Internet Networks 2008 SL
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   luix el a spus
    hace Ani 1

    mai mult gunoi de la lennart..

    Răspunde la luix
  2.   anonim el a spus
    hace Ani 1

    Tipul este un angajat... și este un angajat bun... se conformează perfect cu șeful său.

    Răspunde la anonim