Продолжая предсказуемый цикл разработки, после 4 месяцев разработки он был представлен запуск новой версии Кирилл 248.
В этой новой версии se обеспечивает поддержку изображений для расширения каталогов система, утилита systemd-cryptenroll, так же хорошо как возможность разблокировки LUKS2 с помощью микросхем TPM2 и токенов FIDO2, запуск дисков в изолированном пространстве идентификаторов IPC и многое другое.
Основные новые возможности systemd 248
В этой новой версии реализована концепция системных расширений образов, который можно использовать для расширения иерархии каталогов и добавления дополнительных файлов во время выполнения, даже если указанные каталоги смонтированы только для чтения. Когда образ системного расширения монтируется, его содержимое накладывается в иерархии с помощью OverlayFS.
Еще одно важное изменение:Компания e предложила новую утилиту systemd-sysext для подключения, отключения, просмотра и обновления образов. Системные расширения, а также служба systemd-sysext.service была добавлена для автоматического монтирования уже установленных образов во время загрузки. Для модулей реализована конфигурация ExtensionImages, которая может использоваться для связывания образов системных расширений с иерархией пространства имен FS отдельных изолированных сервисов.
Systemd-cryptsetup добавляет возможность извлекать URI из токена PKCS # 11. и зашифрованный ключ из заголовка метаданных LUKS2 в формате JSON, который позволяет интегрировать открытую информацию зашифрованного устройства в само устройство без привлечения внешних файлов, кроме того обеспечивает поддержку разблокировки зашифрованных разделов LUKS2 с помощью микросхем TPM2 и токены FIDO2 в дополнение к ранее поддерживаемым токенам PKCS # 11. Загрузка libfido2 выполняется через dlopen (), т.е. доступность проверяется на лету, а не как жестко заданная зависимость.
Также в systemd 248 systemd-networkd добавил поддержку ячеистого протокола BATMAN. («Лучший подход к мобильной специальной сети»), позволяет создавать децентрализованные сети, каждый узел, к которому он подключается через соседние узлы.
Также подчеркивается, что реализация механизма раннего реагирования на забывчивость была стабилизирована в системе systemd-oomd, а также параметр DefaultMemoryPressureDurationSec для установки времени ожидания освобождения ресурсов перед воздействием на диск. Systemd-oomd использует подсистему ядра PSI (Pressure Stall Information) и позволяет выявить появление задержек из-за нехватки ресурсов и выборочное завершение ресурсоемких процессов на этапе, когда система еще не находится в критическом состоянии и не начинает сильно сокращать кэш и перемещать данные в раздел подкачки.
Добавлен параметр PrivateIPCчто позволяет настроить запуск процессов в изолированном пространстве IPC в единичном файле со своими идентификаторами и очередью сообщений. Для подключения диска к уже созданному пространству идентификаторов IPC предоставляется опция IPCNamespacePath.
В то время как для доступных ядер реализована автоматическая генерация таблиц системных вызовов для фильтров seccomp.
Из другие выделяющиеся изменения:
- Утилита systemd-distribu добавила возможность активировать зашифрованные разделы с помощью микросхем TPM2, например, для создания зашифрованного раздела / var при первой загрузке.
- Добавлена утилита systemd-cryptenroll для привязки токенов TPM2, FIDO2 и PKCS # 11 к разделам LUKS, а также для открепления и просмотра токенов, привязки запасных ключей и установки пароля доступа.
- Параметры ExecPaths и NoExecPaths были добавлены для применения флага noexec к определенным частям файловой системы.
- Добавлен параметр командной строки ядра - «root = tmpfs», который позволяет монтировать корневой раздел во временное хранилище, расположенное в ОЗУ, с помощью Tmpfs.
- Блок с открытыми переменными среды теперь можно настроить с помощью новой опции ManagerEnvironment в system.conf или user.conf, а не только через командную строку ядра и параметры файла модуля.
- Во время компиляции вы можете использовать системный вызов fexecve () вместо execve () для запуска процессов, чтобы уменьшить задержку между проверкой контекста безопасности и его применением.