systemd 是一组系统管理守护进程、库和工具,设计为与 Linux 操作系统内核接口的中央管理和配置平台。
经过三个半月的开发,新版 systemd 253 发布,其中包含实用程序 包含“ukify”以编译、验证和生成统一内核映像的签名 (UKI, Unified Kernel Image),结合了从UEFI(UEFI boot stub)加载内核的驱动程序、Linux内核镜像和加载到initrd内存中的系统环境,用于在挂载FS root之前的阶段进行初始初始化。
效用 替换了之前由“dracut –uefi”命令提供的功能 并通过自动计算 PE 文件中的偏移量、initrd 合并、签署可嵌入内核映像、使用 sbsign 创建合并映像、确定内核名称的启发式方法、使用引导屏幕进行映像验证以及添加由生成的签名 PCR 策略等功能对其进行补充systemd-measure 实用程序。
另一个引人注目的变化是 systemd-boot 修改了伪随机数生成器的初始化 内核和磁盘后端。 添加了对不仅从 ESP(EFI 系统分区)加载内核的支持,例如从固件加载内核或直接从 QEMU 加载内核。 此外,还提供了 SMBIOS 参数分析,以确定在虚拟化环境中的启动。 已实施新的“if secure”模式,UEFI 安全启动证书仅在被认为安全(在虚拟机中运行)时从 ESP 加载。
效用 bootctl 在所有 EFI 系统上实现系统令牌生成, 除了在虚拟化环境中。 添加了“kernel-identify”和“kernel-inspect”命令以显示内核映像类型以及有关命令行选项和内核版本的信息,“unlink”以删除与第一个引导记录类型关联的文件,“cleanup”以删除所有文件来自 ESP 和 XBOOTLDR 上的“entry-token”目录,与第一个引导条目类型无关。 提供了 KERNEL_INSTALL_CONF_ROOT 变量的处理。
参数 “OpenFile”已添加到用于在 FS 中打开任意文件的服务 (或连接到 Unix 套接字)并将关联的文件描述符传递给正在运行的进程(例如,当您需要为非特权用户组织对文件的访问时)。
En systemd-cryptenroll, 通过注册新密钥,可以使用 FIDO2 令牌解锁加密分区 (–unlock-fido2-device) 无需输入密码。 存储用户指定的 PIN 和 salt 以增加暴力破解的难度。
, 其他突出的变化:
- 添加了对使用 overlayfs 而不是 tmpfs 的内存不足 initrd 环境的支持。 对于这样的环境,systemd 不会在根文件系统更改后删除 initrd 中的所有文件。
- 添加了 ReloadLimitIntervalSec 和 ReloadLimitBurst 设置,以及内核命令行选项(systemd.reload_limit_interval_sec 和 /systemd.reload_limit_burst)以限制后台进程重启率。
- 对于驱动器,实现“MemoryZSwapMax”选项以设置 memory.zswap.max 属性,该属性确定最大 zswap 大小。
- 对于单元,实现了“LogFilterPatterns”选项,它允许您设置正则表达式来过滤日志中显示的信息(可用于排除某些输出或仅保存某些数据)。
- “systemctl list-dependencies”命令现在处理“–type”和“–state”选项,“systemctl kexec”命令增加了对基于 Xen 管理程序的环境的支持。
- 在 [DHCPv4] 部分的 .network 文件中添加了对 SocketPriority 和 QuickAck 选项 RouteMetric=high|medium|low 的支持。
- systemd-journal-remote 允许 MaxUse、KeepFree、MaxFileSize 和 MaxFiles 设置来限制磁盘空间消耗。
- 添加了对 systemd-cryptsetup 的支持,以向 FIDO2 令牌发送主动请求以确定它们在身份验证之前的存在。
- 向 crypttab 添加了新参数 tpm2-measure-bank 和 tpm2-measure-pcr。
最后,如果您有兴趣了解更多,可以咨询 以下链接中提供了详细信息。