systemd 248 vjen me përmirësime për zhbllokimin e shenjave, mbështetjen e imazheve për zgjerimin e drejtorive dhe më shumë

Darkcrizt

Minuta 4

systemd-245

Duke vazhduar me një cikël zhvillimi të parashikueshëm, pas 4 muajsh zhvillimi u zbulua lansimi i versionit të ri të sistemd 248.

Në këtë version të ri se siguron mbështetjen e imazhit për zgjerimin e drejtorive sistemi, ndërmarrja systemd-kriptenroll, si dhe aftësia për të zhbllokuar LUKS2 duke përdorur patate të skuqura TPM2 dhe shenjat FIDO2, nisin disqet në një hapësirë ​​të izoluar të identifikuesit IPC, dhe shumë më tepër.

Karakteristikat kryesore të reja të systemd 248

Në këtë version të ri u implementua koncepti i imazheve të zgjerimit të sistemit, i cili mund të përdoret për të zgjeruar hierarkinë e direktorive dhe për të shtuar skedarë shtesë në kohën e ekzekutimit, edhe nëse drejtoritë e specifikuara janë montuar vetëm për lexim. Kur montohet një imazh i zgjerimit të sistemit, përmbajtja e tij mbivendoset në hierarki duke përdorur OverlayFS.

Një ndryshim tjetër që bie në sy është se se ka propozuar një pajisje të re system-sysext për të lidhur, shkëputur, shikuar dhe azhurnuar imazhe zgjerimet e sistemit, plus shërbimi systemd-sysext.service është shtuar për të montuar automatikisht imazhet e instaluara tashmë në kohën e nisjes. Për njësitë, është implementuar konfigurimi i ExtensionImages, i cili mund të përdoret për të lidhur imazhet e shtrirjes së sistemit me hierarkinë e hapësirës së emrave FS të shërbimeve individuale të izoluara.

Sistemi i kriptuar shton aftësinë për të nxjerrë URI nga shenja PKCS # 11 dhe çelësi i koduar nga koka e meta të dhënave LUKS2 në formatin JSON, e cila lejon që informacioni i hapur i pajisjes së koduar të integrohet në vetë pajisjen pa përfshirë skedarë të jashtëm, përveç kësaj siguron mbështetje për zhbllokimin e ndarjeve të koduara LUKS2 duke përdorur patate të skuqura TPM2 dhe argumentet FIDO2, përveç shenjave të mbështetura më parë PKCS # 11. Ngarkimi i libfido2 bëhet përmes dlopen (), domethënë, disponueshmëria kontrollohet gjatë fluturimit, jo si një varësi e koduar fort.

Gjithashtu, në systemd 248 systemd-networkd ka shtuar mbështetjen për protokollin rrjetë BATMAN («Qasje më e mirë ndaj rrjeteve mobile adhoc), e cila ju lejon të krijoni rrjete të decentralizuara, secila nyje ku lidhet përmes nyjeve fqinje.

Theksohet gjithashtu se zbatimi i mekanizmit të reagimit të hershëm ndaj harresës është stabilizuar në sistemin systemd-oomd, si dhe opsionin DefaultMemoryPressureDurationSec për të vendosur kohën për të pritur lëshimin e burimeve para se të ndikoni në një disk. Systemd-oomd përdor nënsistemin e bërthamës PSI (Pressure Stall Information) lejon të zbulojë shfaqjen e vonesave për shkak të mungesës së burimeve dhe mbylljen selektive të proceseve që kërkojnë shumë burime në një fazë ku sistemi nuk është akoma në një gjendje kritike dhe nuk fillon të shkurtojë shumë memorjen e fshehtë dhe të transferojë të dhënat në ndarjen swap.

Shtuar parametri PrivateIPCju lejon të konfiguroni fillimin e proceseve në një hapësirë ​​të izoluar IPC në një skedar njësie me identifikuesit e vet dhe radhën e mesazhit. Për të lidhur një disk me një hapësirë ​​identifikuese IPC tashmë të krijuar, ofrohet opsioni IPCNamespacePath.

Mientras que për kernelët e disponueshëm, u zbatua gjenerimi automatik i tabelave të thirrjeve të sistemit për filtrat e seccomp.

ndryshime të tjera që bien në sy:

  • Shërbimi systemd-distribu ka shtuar aftësinë për të aktivizuar ndarjet e koduara duke përdorur patate të skuqura TPM2, për shembull, për të krijuar një ndarje të koduar / var në nisjen e parë.
  • Shtoi programin systemd-cryptenroll për të lidhur shenjat TPM2, FIDO2 dhe PKCS # 11 në ndarjet LUKS, si dhe për të hequr dhe parë argumentet, për të lidhur çelësat rezervë dhe për të vendosur një fjalëkalim hyrjeje.
  • Cilësimet e ExecPaths dhe NoExecPaths u shtuan për të aplikuar flamurin noexec në pjesë të veçanta të sistemit të skedarëve.
  • Shtoi një parametër të rreshtit komandues të kernelit - "root = tmpfs", i cili lejon që ndarja rrënjë të montohet në ruajtje të përkohshme të vendosur në RAM duke përdorur Tmpfs.
  • Një bllok me ndryshore të mjedisit të ekspozuar tani mund të konfigurohet përmes opsionit të ri ManagerEn Environment në system.conf ose user.conf, jo vetëm përmes rreshtit të komandës së kernelit dhe cilësimeve të skedarit të njësisë.
  • Në kohën e përpilimit, mund të përdorni thirrjen e sistemit fexecve () në vend të ekzekutoni () për të filluar proceset për të zvogëluar vonesën midis kontrollit të kontekstit të sigurisë dhe zbatimit të tij.

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.