systemd 259: Musl-support, run0-styrke og farvel til System V

Centrale punkter:
  • Delvis understøttelse af Musl libc (kræver manuel konfiguration i Meson).
  • run0 --empower tillader privilegerede handlinger uden at ændre brugerens UID.
  • Bekræftet udfasning af System V-scripts og øgede krav (Kernel 5.10+).
  • libsystemd indlæser nu eksterne biblioteker ved hjælp af dlopen() for at reducere afhængigheder.
  • Journallagring er nu som standard 'permanent'.
David Y. NaranjoOpdateret den

4 minutter

systemd

Efter lidt over tre måneders udvikling, lanceringen af den nye version af systemd 259. Denne opdatering introducerer ændringer i systemarkitekturen, der fremhæver åbenheden over for alternative standardbiblioteker, mere stringent rettighedsstyring og strengere tekniske krav til fremtidige versioner.

En af de mest omtalte bevægelser i denne cyklus er overgangen til større modularitet og eliminering af ældre afhængigheder, hvilket baner vejen for et Linux-økosystem, der definitivt bevæger sig væk fra standarderne fra de seneste årtier.

Vigtigste nye funktioner i systemd 259

Den nye systemd version 259 skiller sig ud ved at være den første version med delvis kompatibilitet med Musl, det populære C-standardbibliotek i letvægtsdistributioner og indlejrede miljøer. Denne integration Det administreres via libc-indstillingen i Meson-byggesystemet. Men fordi Musl ikke implementerer NSS-funktionaliteten (Name Service Switch), forbliver flere systemd-komponenter deaktiverede i denne konfiguration.

Blandt de enbemærkelsesværdige fravær ved kompilering med Musl de er nss-systemd, nss-resolve, systemd-homed, systemd-userdbd og DynamicUser-parameterenDerudover er det ikke muligt at køre systemd-nspawn uden rettigheder under dette bibliotek. Udviklerne har advaret om, at opretholdelse af denne understøttelse i fremtidige versioner vil afhænge af fællesskabets efterspørgsel og stabiliteten af ​​eventuelle yderligere kompatibilitetslag, der udvikles.

En anden ny funktion i den nye version er i run0-værktøjet, designet som et moderne og sikkert alternativ til sudo, som har modtaget den nye mulighed – styrke. Denne funktion Det giver dig mulighed for at logge ind med forhøjede rettigheder. uden at skulle ændre brugeridentifikatoren (UID) til root.

Udover det, i stedet for at uddelegere den fulde kontrol gennem brugerskift bruger –empower kernekapacitetsindikatorer, såsom CAP_SYS_ADMIN, at give de strengt nødvendige tilladelser at foretage privilegerede systemkald. Derudover integreres de resulterende processer i en specifik gruppe, der giver dem adgang til Polkit-handlinger, hvilket opretholder en mere robust adskillelse af privilegier end den traditionelle sudo-model.

Slutningen på en æra: Farvel til System V og nye krav

systemd 259 markerer begyndelsen på enden for kompatibilitet med System V-servicescriptsDet er blevet annonceret, at ældre komponenter som systemd-sysv-generator, systemd-rc-local-generator og systemd-sysv-install vil blive fjernet permanent i den næste version.

Sammen med denne oprydning af gammel kode er minimumskravene til softwaren i systemd-økosystemet blevet hævet betydeligt:

  • Linux-kerne: Minimumversion 5.10.
  • Glibc: 2.34.
  • OpenSSL: 3.0.0.
  • Util-linux: 2.37.
  • Andet: Python 3.9.0, cryptsetup 2.4.0 og libseccomp 2.4.0.

Modularitet og dynamisk indlæsning i libsystemd

Como en del af et initiativ til at mindske afhængighed direkte ved opstart, libsystemd bruger nu dynamisk indlæsning via dlopen() For biblioteker som libacl, libblkid, libseccomp, libselinux og libmount vil systemet kun indlæse disse biblioteker i hukommelsen, når deres specifikke funktioner kræves af en proces, hvilket optimerer ressourceforbruget. Derudover er libcap-funktionaliteten blevet integreret direkte i libsystemd, hvilket forenkler afhængighedskæden.

El Loghåndtering har ændret sin standardkonfiguration: journallagringstilstanden (tidsskrift) skifter fra "automatisk" til "vedvarende", uanset om mappen /var/log/journal eksisterede tidligere.

Inden for netværk og virtualisering:

  • systemd-networkd og systemd-nspawn: Understøttelse af NAT-regler ved hjælp af iptables er fjernet, hvilket efterlader nftables som den eneste kompatible mulighed.
  • systemd-løst: Det tillader nu brugen af ​​lokale hooks (hooks) i /run/systemd/resolve.hook/ til at gribe ind i anmodninger om navnefortolkning.
  • systemd-importeret: Logikken til at arbejde med TAR-filer er blevet integreret direkte. Desuden kan både `importd` og `machined` nu køres på brugerniveau, hvilket muliggør billedhåndtering i brugerens lokale mappe (`~/.local/state/machines/`).

Andre innovationer

Den protokolbaserede API Varlink har modtaget forbedringer, der giver adgang til tjenesteindstillinger og mulighed for at foretage IPC-opkald. såsom Reload() og Reexecute(). For systemadministratorer vil det være meget nyttigt at inkludere OOMKills-egenskaben i tjenester, da det vil give dem mulighed for at spore, hvor mange gange en proces blev afsluttet på grund af mangel på hukommelse direkte fra systemd-værktøjerne.

Endelig bliver systemstartprocessen mere moderne med fjernelsen af ​​understøttelse af TPM 1.2 i systemd-boot, hvilket fokuserer alle sikkerhedsindsatser på TPM 2.0-standarden.

Hvis du er interesseret i at vide mere om det, kan du konsultere detaljer i følgende link.