Continuando con un ciclo de desarrollo predecible, después de 4 meses de desarrollo se dio a conocer el lanzamiento de la nueva versión de systemd 248.
En esta nueva versión se proporciona soporte para imágenes para expandir directorios del sistema, la utilidad systemd-cryptenroll, asi como también la capacidad de desbloquear LUKS2 usando chips TPM2 y tokens FIDO2, lanzar unidades en un espacio de identificador IPC aislado y mucho más.
Principales novedades de systemd 248
En esta nueva versión se implementó el concepto de imágenes de extensión del sistema, que se pueden usar para expandir la jerarquía de los directorios y agregar archivos adicionales en runtimes, incluso si los directorios especificados están montados como de solo lectura. Cuando se monta una imagen de extensión del sistema, su contenido se superpone en la jerarquía usando OverlayFS.
Otro cambio que se destaca, es que se ha propuesto una nueva utilidad systemd-sysext para conectar, desconectar, ver y actualizar imágenes de extensiones del sistema, además de que se ha agregado el servicio systemd-sysext.service para montar automáticamente imágenes ya instaladas en el momento del arranque. Para las unidades, se implementa la configuración ExtensionImages, que se puede utilizar para vincular imágenes de extensión del sistema a la jerarquía del espacio de nombres FS de servicios aislados individuales.
Systemd-cryptsetup agrega la capacidad de extraer el URI del token PKCS # 11 y la clave cifrada del encabezado de metadatos LUKS2 en formato JSON, lo que permite integrar la información abierta del dispositivo cifrado en el propio dispositivo sin involucrar archivos externos, además proporciona soporte para desbloquear particiones cifradas LUKS2 usando chips TPM2 y tokens FIDO2, además de los tokens PKCS# 11 previamente admitidos. La carga de libfido2 se realiza a través de dlopen(), es decir la disponibilidad se comprueba sobre la marcha, no en forma de dependencia codificada.
Además, en systemd 248 systemd-networkd ha añadido soporte para el protocolo mesh BATMAN («Better Approach To Mobile Adhoc Networking), que permite crear redes descentralizadas, cada nodo en el que se conecta a través de nodos vecinos.
También se destaca que se ha estabilizado la implementación del mecanismo de respuesta temprana a la falta de memoria en el sistema systemd-oomd, asi como también la opción DefaultMemoryPressureDurationSec para establecer el tiempo de espera para la liberación de recursos antes de afectar una unidad. Systemd-oomd utiliza el subsistema de kernel PSI (Pressure Stall Information) y permite detectar la aparición de retrasos debido a la falta de recursos y cerrar selectivamente los procesos que consumen muchos recursos en una etapa en la que el sistema aún no está en un estado crítico y no lo hace comenzar a recortar intensamente la caché y desplazar los datos a la partición de intercambio.
Se agregó el parámetro PrivateIPC, que permite configurar el lanzamiento de procesos en un espacio IPC aislado en un archivo unitario con sus propios identificadores y cola de mensajes. Para conectar una unidad a un espacio de identificador de IPC ya creado, se ofrece la opción IPCNamespacePath.
Mientras que para los kernels disponibles, se implementó la generación automática de tablas de llamadas al sistema para filtros seccomp.
De los demás cambios que se destacan:
- La utilidad systemd-repart ha agregado la capacidad de activar particiones encriptadas usando chips TPM2, por ejemplo, para crear una partición /var encriptada en el primer arranque.
- Se agregó la utilidad systemd-cryptenroll para vincular tokens TPM2, FIDO2 y PKCS# 11 a particiones LUKS, así como para desanclar y ver tokens, vincular claves de repuesto y establecer una contraseña de acceso.
- Se agregaron configuraciones de ExecPaths y NoExecPaths para aplicar el indicador noexec a partes específicas del sistema de archivos.
- Se agregó un parámetro de línea de comando del kernel – «root=tmpfs», que permite montar la partición raíz en un almacenamiento temporal ubicado en la RAM usando Tmpfs.
- Un bloque con variables de entorno expuestas ahora se puede configurar a través de la nueva opción ManagerEnvironment en system.conf o user.conf, no solo a través de la línea de comandos del kernel y la configuración del archivo de unidad.
- En tiempo de compilación, es posible usar la llamada al sistema fexecve() en lugar de execve() para iniciar procesos para reducir el retraso entre verificar el contexto de seguridad y aplicarlo.