Öngörülebilir bir geliştirme döngüsü ile devam etmek, 4 aylık geliştirmeden sonra açıklandı yeni sürümünün lansmanı sistem 248.
Bu yeni sürümdee, dizinleri genişletmek için görüntü desteği sağlar sistem, yardımcı program ssistemd-cryptenrollyanı sıra TPM2 yongaları ve FIDO2 belirteçleri kullanarak LUKS2'nin kilidini açma yeteneği, sürücüleri izole bir IPC tanımlayıcı alanında başlatın ve çok daha fazlasını yapın.
Systemd 248'in başlıca yeni özellikleri
Bu yeni versiyonda sistem uzantısı görüntüleri kavramı uygulandı, belirtilen dizinler salt okunur olarak bağlanmış olsa bile, dizin hiyerarşisini genişletmek ve çalışma zamanlarında ek dosyalar eklemek için kullanılabilir. Bir sistem uzantısı görüntüsü monte edildiğinde, içeriği OverlayFS kullanılarak hiyerarşide kaplanır.
Öne çıkan bir diğer değişiklik dee, görüntüleri bağlamak, bağlantıyı kesmek, görüntülemek ve güncellemek için yeni bir yardımcı program sistemi önerdi sistem uzantıları ve ayrıca systemd-sysext.service hizmeti, önceden yüklenmiş görüntüleri önyükleme sırasında otomatik olarak bağlamak için eklenmiştir. Birimler için, sistem uzantısı görüntülerini ayrı ayrı yalıtılmış hizmetlerin FS ad alanı hiyerarşisine bağlamak için kullanılabilen ExtensionImages yapılandırması uygulanır.
Systemd-cryptsetup, URI'yi PKCS # 11 belirtecinden çıkarma yeteneği ekler ve JSON biçiminde LUKS2 meta veri başlığından şifrelenmiş anahtar; şifrelenmiş cihazın açık bilgilerinin cihazın kendisine entegre edilmesini sağlar ek olarak harici dosyaları dahil etmeden TPM2 yongaları kullanarak LUKS2 şifreli bölümlerin kilidini açmak için destek sağlar ve FIDO2 belirteçleri, önceden desteklenen PKCS # 11 belirteçlerine ek olarak. Libfido2'nin yüklenmesi, dlopen () aracılığıyla yapılır, yani kullanılabilirlik sabit kodlanmış bir bağımlılık olarak değil, anında kontrol edilir.
Ayrıca sistemd 248'de systemd-networkd, BATMAN ağ protokolü için destek ekledi («Mobil Adhoc Ağına Daha İyi Yaklaşım), merkezi olmayan ağlar oluşturmanıza izin verir, komşu düğümler aracılığıyla bağlandığı her düğüm.
Ayrıca vurgulanmıştır ki unutkanlığa erken müdahale mekanizmasının uygulanması stabilize edildi systemd-oomd sisteminde ve bir sürücüyü etkilemeden önce kaynakların serbest bırakılması için bekleme süresini ayarlamak için DefaultMemoryPressureDurationSec seçeneğinde. Systemd-oomd, PSI (Pressure Stall Information) çekirdek alt sistemini kullanır ve kaynak yetersizliğinden kaynaklanan gecikmelerin görünümünü tespit etmeye izin verir ve sistemin henüz kritik bir durumda olmadığı ve önbelleği büyük ölçüde kırpmaya ve verileri takas bölümüne taşımaya başlamadığı bir aşamada kaynak yoğun süreçleri seçici olarak kapatmak.
PrivateIPC parametresi eklendiO bir birim dosyasında yalıtılmış bir IPC alanında işlemlerin başlatılmasını yapılandırmanıza olanak tanır kendi tanımlayıcıları ve mesaj kuyruğu ile. Bir sürücüyü önceden oluşturulmuş bir IPC tanımlayıcı alanına bağlamak için IPCNamespacePath seçeneği sağlanır.
Süre mevcut çekirdekler için, sistem çağrı tablolarının otomatik olarak oluşturulması uygulandı seccomp filtreleri için.
Of the öne çıkan diğer değişiklikler:
- Systemd-distribu yardımcı programı, örneğin ilk önyüklemede şifrelenmiş / var bölümü oluşturma gibi TPM2 yongalarını kullanarak şifrelenmiş bölümleri etkinleştirme yeteneği ekledi.
- TPM2, FIDO2 ve PKCS # 11 belirteçlerini LUKS bölümlerine bağlamak, belirteçleri ayırmak ve görüntülemek, yedek anahtarları bağlamak ve bir erişim parolası ayarlamak için systemd-cryptenroll yardımcı programı eklendi.
- Noexec bayrağını dosya sisteminin belirli bölümlerine uygulamak için ExecPaths ve NoExecPaths ayarları eklenmiştir.
- Bir çekirdek komut satırı parametresi eklendi - "root = tmpfs", kök bölümün Tmpfs kullanılarak RAM'de bulunan geçici depolamaya bağlanmasına olanak tanır.
- Açık ortam değişkenlerine sahip bir blok artık system.conf veya user.conf içindeki yeni ManagerEnvironment seçeneği aracılığıyla yapılandırılabilir, yalnızca çekirdek komut satırı ve birim dosyası ayarları aracılığıyla değil.
- Derleme zamanında, güvenlik bağlamını kontrol etme ve uygulama arasındaki gecikmeyi azaltmak için işlemleri başlatmak için execve () yerine fexecve () sistem çağrısını kullanabilirsiniz.