systemd 248 включает улучшения для разблокировки токенов, поддержку изображений для расширения каталогов и многое другое.

системд-245

Продолжая предсказуемый цикл разработки, после 4 месяцев разработки он был представлен запуск новой версии Кирилл 248.

В этой новой версии se обеспечивает поддержку изображений для расширения каталогов система, утилита systemd-cryptenroll, так же хорошо как возможность разблокировки LUKS2 с помощью микросхем TPM2 и токенов FIDO2, запуск дисков в изолированном пространстве идентификаторов IPC и многое другое.

Основные новые возможности systemd 248

В этой новой версии реализована концепция системных расширений образов, который можно использовать для расширения иерархии каталогов и добавления дополнительных файлов во время выполнения, даже если указанные каталоги смонтированы только для чтения. Когда образ системного расширения монтируется, его содержимое накладывается в иерархии с помощью OverlayFS.

Еще одно важное изменение:Компания e предложила новую утилиту systemd-sysext для подключения, отключения, просмотра и обновления образов. Системные расширения, а также служба systemd-sysext.service была добавлена ​​для автоматического монтирования уже установленных образов во время загрузки. Для модулей реализована конфигурация ExtensionImages, которая может использоваться для связывания образов системных расширений с иерархией пространства имен FS отдельных изолированных сервисов.

Systemd-cryptsetup добавляет возможность извлекать URI из токена PKCS # 11. и зашифрованный ключ из заголовка метаданных LUKS2 в формате JSON, который позволяет интегрировать открытую информацию зашифрованного устройства в само устройство без привлечения внешних файлов, кроме того обеспечивает поддержку разблокировки зашифрованных разделов LUKS2 с помощью микросхем TPM2 и токены FIDO2 в дополнение к ранее поддерживаемым токенам PKCS # 11. Загрузка libfido2 выполняется через dlopen (), т.е. доступность проверяется на лету, а не как жестко заданная зависимость.

Также в systemd 248 systemd-networkd добавил поддержку ячеистого протокола BATMAN. («Лучший подход к мобильной специальной сети»), позволяет создавать децентрализованные сети, каждый узел, к которому он подключается через соседние узлы.

Также подчеркивается, что реализация механизма раннего реагирования на забывчивость была стабилизирована в системе systemd-oomd, а также параметр DefaultMemoryPressureDurationSec для установки времени ожидания освобождения ресурсов перед воздействием на диск. Systemd-oomd использует подсистему ядра PSI (Pressure Stall Information) и позволяет выявить появление задержек из-за нехватки ресурсов и выборочное завершение ресурсоемких процессов на этапе, когда система еще не находится в критическом состоянии и не начинает сильно сокращать кэш и перемещать данные в раздел подкачки.

Добавлен параметр PrivateIPCчто позволяет настроить запуск процессов в изолированном пространстве IPC в единичном файле со своими идентификаторами и очередью сообщений. Для подключения диска к уже созданному пространству идентификаторов IPC предоставляется опция IPCNamespacePath.

В то время как для доступных ядер реализована автоматическая генерация таблиц системных вызовов для фильтров seccomp.

Из другие выделяющиеся изменения:

  • Утилита systemd-distribu добавила возможность активировать зашифрованные разделы с помощью микросхем TPM2, например, для создания зашифрованного раздела / var при первой загрузке.
  • Добавлена ​​утилита systemd-cryptenroll для привязки токенов TPM2, FIDO2 и PKCS # 11 к разделам LUKS, а также для открепления и просмотра токенов, привязки запасных ключей и установки пароля доступа.
  • Параметры ExecPaths и NoExecPaths были добавлены для применения флага noexec к определенным частям файловой системы.
  • Добавлен параметр командной строки ядра - «root = tmpfs», который позволяет монтировать корневой раздел во временное хранилище, расположенное в ОЗУ, с помощью Tmpfs.
  • Блок с открытыми переменными среды теперь можно настроить с помощью новой опции ManagerEnvironment в system.conf или user.conf, а не только через командную строку ядра и параметры файла модуля.
  • Во время компиляции вы можете использовать системный вызов fexecve () вместо execve () для запуска процессов, чтобы уменьшить задержку между проверкой контекста безопасности и его применением.

Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.