systemd là một tập hợp các daemon, thư viện và công cụ quản trị hệ thống được thiết kế như một nền tảng quản trị và cấu hình trung tâm để giao tiếp với nhân hệ thống.
Sau năm tháng phát triển việc phát hành phiên bản mới của systemd 252 đã được công bố, phiên bản trong đó thay đổi quan trọng trong phiên bản mới là tích hợp hỗ trợ cho một quy trình khởi động hiện đại hóa, cho phép xác minh không chỉ hạt nhân và bộ nạp khởi động, mà còn cả các thành phần của môi trường hệ thống cơ bản bằng cách sử dụng chữ ký số.
Phương pháp được đề xuất liên quan đến việc sử dụng hình ảnh hạt nhân thống nhất UKI (Hình ảnh hạt nhân hợp nhất) khi tải, kết hợp trình điều khiển để tải hạt nhân từ UEFI (gốc khởi động UEFI), hình ảnh hạt nhân Linux và môi trường hệ thống initrd được tải vào bộ nhớ, được sử dụng để khởi tạo ban đầu ở giai đoạn trước cho gắn kết gốc FS .
Đặc biệt, những lợi ích systemd-cryptsetup, systemd-cryptenroll và systemd-creds đã được điều chỉnh để sử dụng thông tin này, vì vậy bạn có thể đảm bảo rằng các phân vùng đĩa được mã hóa được liên kết với một hạt nhân được ký điện tử (trong trường hợp này, quyền truy cập vào phân vùng được mã hóa chỉ được cung cấp nếu hình ảnh UKI đã vượt qua xác minh chữ ký số dựa trên các tham số được đặt trong TPM).
Ngoài ra, tiện ích systemd-pcrphase được bao gồm, cho phép bạn kiểm soát sự ràng buộc của các giai đoạn khởi động khác nhau với các tham số được đặt trong bộ nhớ bởi các bộ xử lý mật mã hỗ trợ đặc tả TPM 2.0 (ví dụ: bạn có thể đặt khóa giải mã phân vùng LUKS2 chỉ khả dụng trong hình ảnh initrd và chặn quyền truy cập vào nó trong các lần tải xuống tiếp theo).
Các tính năng mới chính của systemd 252
Những thay đổi khác nổi bật trong systemd 252, đó là se đã đảm bảo ngôn ngữ mặc định là C.UTF-8 nếu không có ngôn ngữ nào khác được chỉ định trong cấu hình.
Ngoài nó trong systemd 252 cũng triển khai khả năng thực hiện một hoạt động dịch vụ đặt trước đầy đủ ("cài đặt trước systemctl") trong lần khởi động đầu tiên. Việc kích hoạt cài đặt trước tại thời điểm khởi động yêu cầu bản dựng có tùy chọn "-Dfirst-boot-full-preset", nhưng nó được lên kế hoạch bật theo mặc định trong các bản phát hành trong tương lai.
Trong các đơn vị quản lý người dùng, hãy sử dụng bộ điều khiển tài nguyên CPU, giúp đảm bảo rằng cài đặt CPUWeight được áp dụng cho tất cả các đơn vị lát được sử dụng để phân vùng hệ thống thành các phần (app.slice, background.slice, session.slice) để cô lập tài nguyên giữa các dịch vụ người dùng khác nhau, cạnh tranh tài nguyên CPU. CPUWeight cũng hỗ trợ giá trị "nhàn rỗi" để kích hoạt chế độ thuê thích hợp.
Mặt khác, trong quá trình khởi tạo (PID 1), đã thêm khả năng nhập thông tin đăng nhập từ các trường SMBIOS (Loại 11, "Chuỗi nhà cung cấp OEM") cũng như xác định chúng qua qemu_fwcfg, giúp đơn giản hóa việc cấp phép thông tin xác thực cho các máy ảo và loại bỏ nhu cầu về các công cụ của bên thứ ba như đám mây-đơn vị và đánh lửa.
Trong quá trình tắt máy, logic để ngắt kết nối hệ thống tệp ảo (proc, sys) đã được thay đổi và thông tin về các quy trình chặn việc ngắt kết nối hệ thống tệp được lưu vào nhật ký.
Bộ nạp khởi động sd đã thêm khả năng khởi động ở chế độ hỗn hợp, chạy nhân Linux 64-bit từ chương trình cơ sở 32-bit UEFI. Đã thêm khả năng thử nghiệm để tự động áp dụng khóa SecureBoot từ các tệp nằm trên ESP (Phân vùng hệ thống EFI).
Đã thêm các tùy chọn mới vào tiện ích bootctl “–all-architecture” để cài đặt mã nhị phân cho tất cả các kiến trúc EFI được hỗ trợ, «–Root = ”và“ –image =»Để làm việc với thư mục hoặc hình ảnh đĩa,«--install-source =»Để xác định phông chữ để cài đặt,«–Efi-boot-option-description =»Để kiểm soát tên của các mục khởi động.
Những thay đổi khác nổi bật so với systemd 252:
- systemd-nspawn cho phép sử dụng các đường dẫn tệp tương đối trong các tùy chọn “–bind =” và “–overlay =”. Đã thêm hỗ trợ cho tùy chọn 'rootidmap' vào tùy chọn "–bind =" để liên kết ID người dùng gốc trên vùng chứa với chủ sở hữu của thư mục được gắn kết ở phía máy chủ.
- systemd-Resolution sử dụng gói OpenSSL làm chương trình phụ trợ mã hóa theo mặc định (hỗ trợ gnutls được giữ lại như một tùy chọn). Các thuật toán DNSSEC không được hỗ trợ hiện được coi là không an toàn thay vì trả về lỗi (SERVFAIL).
- systemd-sysusers, systemd-tmpfiles và systemd-sysctl triển khai khả năng chuyển cấu hình thông qua cơ chế lưu trữ thông tin xác thực.
- Đã thêm lệnh 'so sánh các phiên bản' vào systemd-analysis để so sánh các chuỗi với số phiên bản (tương tự như 'rpmdev-vercmp' và 'dpkg –compare-version').
- Đã thêm khả năng lọc ổ đĩa bằng mặt nạ vào lệnh 'systemd-analysis dump'.
- Khi chọn chế độ ngủ nhiều giai đoạn (ngủ sau đó ngủ đông, ngủ đông sau ngủ đông), thời gian dành cho chế độ chờ hiện được chọn dựa trên dự báo thời lượng pin còn lại.
- Chuyển đổi ngay lập tức sang chế độ ngủ được thực hiện khi chỉ còn dưới 5% pin.
Cũng cần nhắc lại rằng vào năm 2024, systemd có kế hoạch ngừng hỗ trợ cơ chế giới hạn tài nguyên cgroup v1, không dùng nữa trong phiên bản 248 của systemd. Các quản trị viên nên quan tâm trước các dịch vụ di chuyển được liên kết với cgroup v1 sang cgroup v2.
Sự khác biệt chính giữa các nhóm v2 và v1 là việc sử dụng một hệ thống phân cấp cgroups chung cho tất cả các loại tài nguyên, thay vì phân cấp riêng biệt để phân bổ tài nguyên CPU, quản lý bộ nhớ và I / O. Các phân cấp riêng biệt dẫn đến khó khăn trong việc tổ chức tương tác giữa các trình điều khiển và chi phí tài nguyên hạt nhân bổ sung khi áp dụng các quy tắc cho một quy trình được đặt tên trong các phân cấp khác nhau.
Vào nửa cuối năm 2023, dự kiến sẽ ngừng hỗ trợ phân cấp thư mục chia nhỏ, khi / usr được gắn kết riêng với thư mục gốc, hoặc các thư mục / bin và / usr / bin, / lib và / usr / lib được tách biệt.
thêm rác từ lennart ..
Anh ấy là một nhân viên ... và anh ấy là một nhân viên tốt ... anh ấy hoàn toàn tuân thủ chủ nhân của mình.