Tiếp tục với một chu kỳ phát triển có thể dự đoán được, sau 4 tháng phát triển, nó đã được công bố sự ra mắt của phiên bản mới của hệ thốngd 248.
Trong phiên bản mới này se cung cấp hỗ trợ hình ảnh để mở rộng thư mục hệ thống, tiện ích systemd-cryptenroll, cũng như khả năng mở khóa LUKS2 bằng chip TPM2 và mã thông báo FIDO2, khởi chạy các ổ đĩa trong không gian định danh IPC cô lập và hơn thế nữa.
Các tính năng mới chính của systemd 248
Trong phiên bản mới này khái niệm về hình ảnh mở rộng hệ thống đã được triển khai, có thể được sử dụng để mở rộng phân cấp thư mục và thêm các tệp bổ sung trong thời gian chạy, ngay cả khi các thư mục được chỉ định được gắn kết chỉ đọc. Khi một hình ảnh mở rộng hệ thống được gắn kết, nội dung của nó sẽ được phủ lên trong hệ thống phân cấp bằng cách sử dụng OverlayFS.
Một thay đổi khác nổi bật là se đã đề xuất một systemd-sysext tiện ích mới để kết nối, ngắt kết nối, xem và cập nhật hình ảnh phần mở rộng hệ thống, cộng với dịch vụ systemd-sysext.service đã được thêm vào để tự động gắn kết các hình ảnh đã được cài đặt tại thời điểm khởi động. Đối với các đơn vị, cấu hình ExtensionImages được triển khai, có thể được sử dụng để liên kết các hình ảnh mở rộng hệ thống với hệ thống phân cấp không gian tên FS của các dịch vụ riêng lẻ.
Systemd-cryptsetup thêm khả năng trích xuất URI từ mã thông báo PKCS # 11 và khóa được mã hóa từ tiêu đề siêu dữ liệu LUKS2 ở định dạng JSON, cho phép thông tin mở của thiết bị được mã hóa được tích hợp vào chính thiết bị mà không liên quan đến các tệp bên ngoài, ngoài ra cung cấp hỗ trợ để mở khóa phân vùng được mã hóa LUKS2 bằng chip TPM2 và mã thông báo FIDO2, ngoài mã thông báo PKCS # 11 được hỗ trợ trước đó. Việc tải libfido2 được thực hiện thông qua dlopen (), tức là tính khả dụng được kiểm tra ngay lập tức, không phải là phụ thuộc được mã hóa cứng.
Ngoài ra, trong systemd 248 systemd-networkd đã hỗ trợ thêm cho giao thức lưới BATMAN («Phương pháp tiếp cận tốt hơn với mạng quảng cáo di động), cho phép bạn tạo các mạng phi tập trung, mỗi nút nơi nó kết nối thông qua các nút lân cận.
Nó cũng được nhấn mạnh rằng việc thực hiện cơ chế phản ứng sớm với chứng hay quên đã được ổn định trên hệ thống systemd-oomd, cũng như tùy chọn DefaultMemoryPressureDurationSec để đặt thời gian chờ giải phóng tài nguyên trước khi ảnh hưởng đến ổ đĩa. Systemd-oomd sử dụng hệ thống con của hạt nhân PSI (Thông tin về quầy áp suất) và cho phép phát hiện sự xuất hiện của sự chậm trễ do thiếu tài nguyên và tắt có chọn lọc các quy trình sử dụng nhiều tài nguyên ở giai đoạn mà hệ thống chưa ở trạng thái quan trọng và không bắt đầu cắt bớt bộ nhớ cache và di chuyển dữ liệu sang phân vùng hoán đổi.
Đã thêm thông số PrivateIPCĐó cho phép bạn định cấu hình khởi chạy các quy trình trong một không gian IPC cô lập trong một tệp đơn vị với số nhận dạng riêng và hàng đợi tin nhắn. Để kết nối ổ đĩa với không gian định danh IPC đã được tạo, tùy chọn IPCNamespacePath được cung cấp.
Trong khi đối với các hạt nhân có sẵn, quá trình tạo bảng lệnh gọi hệ thống tự động đã được triển khai cho bộ lọc seccomp.
Của những thay đổi nổi bật khác:
- Tiện ích systemd-Distribu đã thêm khả năng kích hoạt các phân vùng được mã hóa bằng cách sử dụng chip TPM2, chẳng hạn như để tạo phân vùng được mã hóa / var trong lần khởi động đầu tiên.
- Đã thêm tiện ích systemd-cryptenroll để liên kết mã thông báo TPM2, FIDO2 và PKCS # 11 vào phân vùng LUKS, cũng như để bỏ ghim và xem mã thông báo, liên kết khóa dự phòng và đặt mật khẩu truy cập.
- Cài đặt ExecPaths và NoExecPaths đã được thêm vào để áp dụng cờ noexec cho các phần cụ thể của hệ thống tệp.
- Đã thêm tham số dòng lệnh hạt nhân - "root = tmpfs", cho phép phân vùng gốc được gắn vào bộ nhớ tạm thời nằm trong RAM bằng Tmpfs.
- Giờ đây, một khối có các biến môi trường tiếp xúc có thể được định cấu hình thông qua tùy chọn ManagerEnosystem mới trong system.conf hoặc user.conf, không chỉ thông qua dòng lệnh kernel và cài đặt tệp đơn vị.
- Tại thời điểm biên dịch, bạn có thể sử dụng lệnh gọi hệ thống fexecve () thay vì thực thi () để bắt đầu các quy trình nhằm giảm độ trễ giữa việc kiểm tra ngữ cảnh bảo mật và áp dụng nó.