继续进行可预测的开发周期, 经过4个月的开发,它终于面世了 新版本的发布 248。
在这个新版本中e为扩展目录提供图像支持 系统,实用程序系统密码,以及 使用TPM2芯片和FIDO2令牌解锁LUKS2的能力,在隔离的IPC标识符空间中启动驱动器等等。
systemd 248的主要新功能
在这个新版本中 实施了系统扩展映像的概念, 即使指定的目录是只读安装的,它也可以用于扩展目录层次结构并在运行时添加其他文件。 挂载系统扩展映像时,其内容将使用OverlayFS覆盖在层次结构中。
另一个引人注目的变化是e提出了一个新的实用程序systemd-sysext来连接,断开连接,查看和更新映像 系统扩展以及systemd-sysext.service服务已添加,可以在引导时自动挂载已安装的映像。 对于单元,将实现ExtensionImages配置,该配置可用于将系统扩展映像链接到单个隔离服务的FS名称空间层次结构。
Systemd-cryptsetup增加了从PKCS#11令牌中提取URI的功能 以及来自LUKS2元数据标头的JSON格式的加密密钥, 允许将加密设备的开放信息集成到设备本身中 不涉及外部文件 提供使用TPM2芯片解锁LUKS2加密分区的支持 和先前支持的PKCS#2令牌以及FIDO11令牌。 libfido2的加载是通过dlopen()完成的,即,动态检查可用性,而不是将其作为硬编码的依赖项。
另外,在systemd 248中 systemd-networkd增加了对BATMAN网状协议的支持 («更好的移动自组织网络方法),其中 允许您创建去中心化网络,它通过相邻节点连接的每个节点。
还强调了 健忘的早期反应机制的实施已稳定 在systemd-oomd系统上,以及DefaultMemoryPressureDurationSec选项可设置在影响驱动器之前等待资源释放的时间。 Systemd-oomd使用PSI(压力失速信息)内核子系统,并且 允许检测由于缺乏资源而出现的延迟现象 在系统尚未处于关键状态且尚未开始大量调整缓存并将数据移至交换分区的阶段,有选择地关闭资源密集型进程。
添加了PrivateIPC参数该 允许您在单位文件中的隔离IPC空间中配置进程启动 带有自己的标识符和消息队列。 要将驱动器连接到已创建的IPC标识符空间,请提供IPCNamespacePath选项。
而 对于可用内核,实现了系统调用表的自动生成 用于seccomp过滤器。
, 其他突出的变化:
- systemd-distribution实用程序增加了使用TPM2芯片激活加密分区的功能,例如,在首次启动时创建加密/ var分区。
- 添加了systemd-cryptenroll实用程序,用于将TPM2,FIDO2和PKCS#11令牌绑定到LUKS分区,以及取消固定和查看令牌,绑定备用密钥并设置访问密码。
- 添加了ExecPaths和NoExecPaths设置以将noexec标志应用于文件系统的特定部分。
- 添加了内核命令行参数-“ root = tmpfs”,该参数允许使用Tmpfs将根分区安装到位于RAM中的临时存储中。
- 现在,可以通过system.conf或user.conf中新的ManagerEnvironment选项配置具有公开环境变量的块,而不仅仅是通过内核命令行和单位文件设置。
- 在编译时,可以使用fexecve()系统调用而不是execve()启动进程,以减少检查安全上下文与应用安全上下文之间的延迟。