systemd — это набор демонов, библиотек и инструментов системного администрирования, разработанных как центральная платформа конфигурации и администрирования для взаимодействия с ядром системы.
После пяти месяцев разработки анонсирован выход новой версии systemd 252, версия, в которой ключевым изменением в новой версии стала интеграция Поддержка для модернизированный процесс загрузки, что позволяет проверять не только ядро и загрузчик, но и компоненты базовой системной среды с помощью цифровых подписей.
Предлагаемый метод предполагает использование унифицированного образа ядра UKI (Унифицированный образ ядра) при загрузке, который объединяет драйвер для загрузки ядра из UEFI (загрузочная заглушка UEFI), образ ядра Linux и загруженную в память системную среду initrd, используемую для начальной инициализации на предыдущем этапе до корневого монтирования ФС .
В частности, преимущества systemd-cryptsetup, systemd-cryptenroll и systemd-creds были адаптированы использовать эту информацию, поэтому вы можете убедиться, что зашифрованные разделы диска привязаны к ядру с цифровой подписью (в этом случае доступ к зашифрованному разделу предоставляется только в том случае, если образ UKI прошел проверку на основе цифровой подписи). в ТПМ).
Кроме того, в комплект входит утилита systemd-pcrphase, позволяющая управлять привязкой различных стадий загрузки к параметрам, размещаемым в памяти криптопроцессорами, поддерживающими спецификацию TPM 2.0 (например, можно сделать так, чтобы ключ расшифровки раздела LUKS2 был доступен только в образе initrd и заблокировать доступ к нему при последующих загрузках).
Основные новые возможности systemd 252
Другие изменения, которые выделяются в systemd 252, заключаются в том, чтоe убедитесь, что локаль по умолчанию C.UTF-8 если в конфигурации не указана другая локаль.
Кроме него в systemd 252 еще и реализована возможность выполнения полной сервисной предустановки операции ("предустановка systemctl") во время первой загрузки. Для включения пресетов во время загрузки требуется сборка с параметром «-Dfirst-boot-full-preset», но в будущих выпусках планируется включить его по умолчанию.
В блоках управления пользователями используйте контроллер ресурсов ЦП., что позволило обеспечить применение параметра CPUWeight ко всем блокам слайсов, используемым для разделения системы на слайсы (app.slice, background.slice, session.slice) для изоляции ресурсов между разными пользовательскими сервисами, конкурирующими за ресурсы ЦП. CPUWeight также поддерживает значение «idle» для запуска надлежащего режима аренды.
С другой стороны, в процессе инициализации (PID 1), добавлена возможность импорта учетных данных из полей SMBIOS (Тип 11, «цепочки OEM-поставщиков»), а также их определение с помощью qemu_fwcfg, что упрощает предоставление учетных данных для виртуальных машин и устраняет необходимость в сторонних инструментах, таких как облачная инициализация и зажигание.
При выключении изменена логика размонтирования виртуальных файловых систем (proc, sys), а в лог сохраняется информация о процессах, блокирующих размонтирование файловой системы.
В загрузчик sd добавлена возможность загрузки в смешанном режиме, запуск 64-битного ядра Linux из 32-битной прошивки UEFI. Добавлена экспериментальная возможность автоматического применения ключей SecureBoot из файлов, расположенных в ESP (системный раздел EFI).
Добавлены новые параметры в утилиту bootctl «-all-architectures». установить двоичные файлы для всех поддерживаемых архитектур EFI, «--root=" и "-image=» для работы с каталогом или образом диска, «--install-источник=» чтобы определить шрифт для установки, «–efi-boot-опция-описание =» для управления именами загрузочных записей.
Из других изменений которые выделяются из systemd 252:
- systemd-nspawn позволяет использовать относительные пути к файлам в параметрах «–bind=» и «–overlay=». Добавлена поддержка параметра «rootidmap» для параметра «–bind =», чтобы привязать идентификатор пользователя root в контейнере к владельцу смонтированного каталога на стороне хоста.
- systemd-resolved использует пакет OpenSSL в качестве бэкенда шифрования по умолчанию (поддержка gnutls сохраняется как опция). Неподдерживаемые алгоритмы DNSSEC теперь рассматриваются как небезопасные, а не возвращают ошибку (SERVFAIL).
- systemd-sysusers, systemd-tmpfiles и systemd-sysctl реализуют возможность передачи конфигурации через механизм хранения учетных данных.
- В systemd-analyze добавлена команда «сравнить версии» для сравнения строк с номерами версий (аналогично «rpmdev-vercmp» и «dpkg –compare-versions»).
- В команду systemd-analyze dump добавлена возможность фильтровать диски по маске.
- При выборе многоступенчатого спящего режима (сон, затем гибернация, гибернация после гибернации) время, проведенное в режиме ожидания, теперь выбирается на основе прогноза оставшегося времени работы от батареи.
- Мгновенный переход в спящий режим производится при заряде аккумулятора менее 5%.
Также стоит отметить, что в 2024 году systemd планирует прекратить поддержку механизма ограничения ресурсов cgroup v1, устарело в версии 248 systemd. Администраторам рекомендуется заранее позаботиться о переносе служб, связанных с cgroup v1, на cgroup v2.
Ключевое отличие между контрольными группами v2 и v1 это использование общей иерархии cgroups для всех типов ресурсов, а не отдельные иерархии для выделения ресурсов ЦП, управления памятью и ввода-вывода. Отдельные иерархии приводят к сложностям организации взаимодействия между драйверами и дополнительным затратам ресурсов ядра при применении правил для именованного процесса в разных иерархиях.
Во второй половине 2023 года планируется прекратить поддержку разделенных иерархий каталогов, когда /usr монтируется отдельно от root, или каталоги /bin и /usr/bin, /lib и /usr/lib разделены.
очередной бред от леннарта..
Этот парень наемный работник… и он хороший работник… он прекрасно подчиняется своему работодателю.