systemd je sada démonov správy systému, knižníc a nástrojov navrhnutých ako centrálna konfiguračná a administračná platforma na prepojenie s jadrom systému.
Po piatich mesiacoch vývoja bolo oznámené vydanie novej verzie systemd 252, verzia v ktorej kľúčovou zmenou v novej verzii bola integrácia podpora pre modernizovaný proces zavádzania, čo umožňuje overiť nielen jadro a bootloader, ale aj komponenty základného systémového prostredia pomocou digitálnych podpisov.
Navrhovaná metóda zahŕňa použitie jednotného obrazu jadra UKI (Unified kernel image) pri načítaní, ktorý kombinuje ovládač na načítanie jadra z UEFI (UEFI boot stub), obraz jadra Linuxu a systémové prostredie initrd načítané do pamäte, ktoré sa používa na počiatočnú inicializáciu v predchádzajúcej fáze do koreňového pripojenia FS .
Najmä výhody systemd-cryptsetup, systemd-cryptenroll a systemd-creds boli prispôsobené použiť tieto informácie, aby ste sa mohli uistiť, že zašifrované diskové oddiely sú naviazané na digitálne podpísané jadro (v tomto prípade je prístup k zašifrovanému oddielu poskytnutý iba vtedy, ak obraz UKI prešiel overením na základe digitálneho podpisu). v TPM).
Okrem toho je zahrnutá pomôcka systemd-pcrphase, ktorá vám umožňuje ovládať viazanie rôznych fáz zavádzania na parametre umiestnené v pamäti kryptoprocesormi, ktoré podporujú špecifikáciu TPM 2.0 (napríklad môžete nastaviť, aby bol dešifrovací kľúč oddielu LUKS2 dostupný len v initrd obrázku a zablokovať k nemu prístup pri následných stiahnutiach).
Hlavné nové vlastnosti systému 252
Ďalšie zmeny, ktoré vynikajú v systemd 252, je to, že sUistite sa, že predvolené miestne nastavenie je C.UTF-8 ak v konfigurácii nie je zadané žiadne iné miestne nastavenie.
Okrem toho v systemd 252 tiež implementovala schopnosť vykonávať prednastavenú operáciu plnej služby ("systemctl preset") počas prvého zavádzania. Povolenie predvolieb v čase zavádzania vyžaduje zostavenie s možnosťou „-Dfirst-boot-full-preset“, ale plánuje sa, že v budúcich vydaniach bude štandardne povolené.
V jednotkách správy používateľov používajte radič prostriedkov CPU, čo umožnilo zabezpečiť, aby sa nastavenie CPUWeight použilo na všetky jednotky segmentov používané na rozdelenie systému na segmenty (app.slice, background.slice, session.slice) na izoláciu zdrojov medzi rôznymi používateľskými službami, ktoré súťažia o zdroje CPU. CPUWeight tiež podporuje hodnotu "nečinnosti" na spustenie správneho režimu prenájmu.
Na druhej strane v procese inicializácie (PID 1), pridala možnosť importovať poverenia z polí SMBIOS (Typ 11, „reťazce poskytovateľov OEM“), ako aj ich definovanie pomocou qemu_fwcfg, čo zjednodušuje poskytovanie poverení virtuálnym počítačom a eliminuje potrebu nástrojov tretích strán, ako je cloud-init a zapaľovanie.
Počas vypínania sa zmenila logika odpájania virtuálnych súborových systémov (proc, sys) a do protokolu sa ukladajú informácie o procesoch blokujúcich odpojenie súborového systému.
Sd bootloader pridal možnosť zavádzania v zmiešanom režime, so systémom 64-bitového linuxového jadra z 32-bitového firmvéru UEFI. Pridaná experimentálna schopnosť automaticky aplikovať kľúče SecureBoot zo súborov umiestnených v ESP (EFI System Partition).
Pridané nové možnosti do pomôcky bootctl „–all-architectures“ nainštalovať binárne súbory pre všetky podporované architektúry EFI, «–root=“ a „–image=» pracovať s obrazom adresára alebo disku, «--install-source=» na definovanie písma, ktoré sa má nainštalovať, «--efi-boot-option-description=» na ovládanie názvov zavádzacích položiek.
Z ďalších zmien ktoré sa odlišujú od systemd 252:
- systemd-nspawn umožňuje použitie relatívnych ciest k súborom v možnostiach „–bind=“ a „–overlay=“. Pridaná podpora pre voľbu 'rootidmap' k voľbe "–bind=" na naviazanie ID užívateľa root v kontajneri na vlastníka pripojeného adresára na strane hostiteľa.
- systemd-resolved štandardne používa balík OpenSSL ako šifrovací backend (podpora gnutls je zachovaná ako možnosť). Nepodporované algoritmy DNSSEC sa teraz považujú za nezabezpečené namiesto toho, aby vracali chybu (SERVFAIL).
- systemd-sysusers, systemd-tmpfiles a systemd-sysctl implementujú schopnosť odovzdať konfiguráciu cez mechanizmus ukladania poverení.
- Pridaný príkaz „porovnať verzie“ do systemd-analyze na porovnanie reťazcov s číslami verzií (podobne ako „rpmdev-vercmp“ a „dpkg –compare-versions“).
- Do príkazu „systemd-analyze dump“ bola pridaná možnosť filtrovania jednotiek podľa masky.
- Pri výbere viacstupňového režimu spánku (spánok, potom hibernácia, hibernácia po hibernácii) sa teraz čas strávený v pohotovostnom režime vyberá na základe prognózy zostávajúcej výdrže batérie.
- Okamžitý prechod do režimu spánku sa vykoná, keď je batéria nabitá na menej ako 5 %.
Za zmienku stojí aj to v roku 2024 systemd plánuje prestať podporovať mechanizmus na obmedzenie zdrojov cgroup v1, zastarané vo verzii 248 systemd. Správcom sa odporúča, aby sa vopred postarali o presun služieb spojených s cgroup v1 do cgroup v2.
Kľúčový rozdiel medzi cgroups v2 a v1 je použitie spoločnej hierarchie cgroups pre všetky typy prostriedkov, a nie oddelené hierarchie pre prideľovanie prostriedkov CPU, správu pamäte a I/O. Oddelené hierarchie vedú k ťažkostiam pri organizovaní interakcie medzi ovládačmi a dodatočným nákladom na zdroje jadra pri aplikácii pravidiel pre pomenovaný proces v rôznych hierarchiách.
V druhej polovici roku 2023 sa plánuje ukončenie podpory rozdelených hierarchií adresárov, keď sa /usr pripojí oddelene od rootu, alebo sa oddelia adresáre /bin a /usr/bin, /lib a /usr/lib.
viac odpadu od lennarta..
Ten chlap je zamestnanec... a je to dobrý zamestnanec... dokonale sa podriaďuje svojmu šéfovi.