systemd 248 включает улучшения для разблокировки токенов, поддержку изображений для расширения каталогов и многое другое.

Даркризт | | Программное обеспечение Linux

Нет комментариев

системд-245

Продолжая предсказуемый цикл разработки, после 4 месяцев разработки он был представлен запуск новой версии Кирилл 248.

В этой новой версии se обеспечивает поддержку изображений для расширения каталогов система, утилита systemd-cryptenroll, так же хорошо как возможность разблокировки LUKS2 с помощью микросхем TPM2 и токенов FIDO2, запуск дисков в изолированном пространстве идентификаторов IPC и многое другое.

Основные новые возможности systemd 248

В этой новой версии реализована концепция системных расширений образов, который можно использовать для расширения иерархии каталогов и добавления дополнительных файлов во время выполнения, даже если указанные каталоги смонтированы только для чтения. Когда образ системного расширения монтируется, его содержимое накладывается в иерархии с помощью OverlayFS.

Еще одно важное изменение:Компания e предложила новую утилиту systemd-sysext для подключения, отключения, просмотра и обновления образов. Системные расширения, а также служба systemd-sysext.service была добавлена ​​для автоматического монтирования уже установленных образов во время загрузки. Для модулей реализована конфигурация ExtensionImages, которая может использоваться для связывания образов системных расширений с иерархией пространства имен FS отдельных изолированных сервисов.

Systemd-cryptsetup добавляет возможность извлекать URI из токена PKCS # 11. и зашифрованный ключ из заголовка метаданных LUKS2 в формате JSON, который позволяет интегрировать открытую информацию зашифрованного устройства в само устройство без привлечения внешних файлов, кроме того обеспечивает поддержку разблокировки зашифрованных разделов LUKS2 с помощью микросхем TPM2 и токены FIDO2 в дополнение к ранее поддерживаемым токенам PKCS # 11. Загрузка libfido2 выполняется через dlopen (), т.е. доступность проверяется на лету, а не как жестко заданная зависимость.

Также в systemd 248 systemd-networkd добавил поддержку ячеистого протокола BATMAN. («Лучший подход к мобильной специальной сети»), позволяет создавать децентрализованные сети, каждый узел, к которому он подключается через соседние узлы.

Также подчеркивается, что реализация механизма раннего реагирования на забывчивость была стабилизирована в системе systemd-oomd, а также параметр DefaultMemoryPressureDurationSec для установки времени ожидания освобождения ресурсов перед воздействием на диск. Systemd-oomd использует подсистему ядра PSI (Pressure Stall Information) и позволяет выявить появление задержек из-за нехватки ресурсов и выборочное завершение ресурсоемких процессов на этапе, когда система еще не находится в критическом состоянии и не начинает сильно сокращать кэш и перемещать данные в раздел подкачки.

Добавлен параметр PrivateIPCчто позволяет настроить запуск процессов в изолированном пространстве IPC в единичном файле со своими идентификаторами и очередью сообщений. Для подключения диска к уже созданному пространству идентификаторов IPC предоставляется опция IPCNamespacePath.

В то время как для доступных ядер реализована автоматическая генерация таблиц системных вызовов для фильтров seccomp.

Из другие выделяющиеся изменения:

  • Утилита systemd-distribu добавила возможность активировать зашифрованные разделы с помощью микросхем TPM2, например, для создания зашифрованного раздела / var при первой загрузке.
  • Добавлена ​​утилита systemd-cryptenroll для привязки токенов TPM2, FIDO2 и PKCS # 11 к разделам LUKS, а также для открепления и просмотра токенов, привязки запасных ключей и установки пароля доступа.
  • Параметры ExecPaths и NoExecPaths были добавлены для применения флага noexec к определенным частям файловой системы.
  • Добавлен параметр командной строки ядра - «root = tmpfs», который позволяет монтировать корневой раздел во временное хранилище, расположенное в ОЗУ, с помощью Tmpfs.
  • Блок с открытыми переменными среды теперь можно настроить с помощью новой опции ManagerEnvironment в system.conf или user.conf, а не только через командную строку ядра и параметры файла модуля.
  • Во время компиляции вы можете использовать системный вызов fexecve () вместо execve () для запуска процессов, чтобы уменьшить задержку между проверкой контекста безопасности и его применением.

Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.