systemd 259: Musl-tuki, run0-voimavaraus ja hyvästit System V:lle

Avainkohdat:
  • Osittainen tuki Musl libc:lle (vaatii manuaalisen konfiguroinnin Mesonissa).
  • run0 --empower sallii etuoikeutetut toiminnot muuttamatta käyttäjän UID:tä.
  • System V -skriptien vanhentuminen ja lisääntyneet vaatimukset (ydin 5.10+) vahvistettu.
  • libsystemd lataa nyt ulkoisia kirjastoja dlopen()-funktiolla riippuvuuksien vähentämiseksi.
  • Lokitiedostojen tallennus on nyt oletusarvoisesti "pysyvä".
David Y. NaranjoPäivitetty

4 minuuttia

systemd

Hieman yli kolmen kuukauden kehitystyön jälkeen käynnistäminen uuden version järjestelmä 259. Tämä päivitys tuo muutoksia järjestelmäarkkitehtuuriin, korostaen avoimuutta vaihtoehtoisille standardikirjastoille, tiukempaa käyttöoikeuksien hallintaa ja tiukempia teknisiä vaatimuksia tuleville versioille.

Yksi tämän syklin puhutuimmista liikkeistä on siirtyminen kohti suurempaa modulaarisuutta ja vanhojen riippuvuuksien poistaminen, mikä tasoittaa tietä Linux-ekosysteemille, joka on lopullisesti etääntymässä menneiden vuosikymmenten standardeista.

Systemd 259: n tärkeimmät uudet ominaisuudet

Uusi systemd-versio 259 erottuu joukosta olemalla ensimmäinen versio, joka lisää osittaisen yhteensopivuuden Muslin kanssa, suosittu C-standardikirjasto kevyissä jakeluissa ja sulautetuissa ympäristöissä. Tämä integraatio Sitä hallitaan Mesonin käännösjärjestelmän libc-asetuksella. Koska Musl ei kuitenkaan toteuta NSS (Name Service Switch) -toimintoa, useat systemd-komponentit pysyvät poissa käytöstä tässä kokoonpanossa.

joukossahuomattavia puutteita Muslilla käännettäessä ne ovat nss-systemd, nss-resolve, systemd-homed, systemd-userdbd ja DynamicUser-parametriLisäksi systemd-nspawn-komentosarjaa ei voi ajaa ilman tämän kirjaston käyttöoikeuksia. Kehittäjät ovat varoittaneet, että tuen ylläpitäminen tulevissa versioissa riippuu yhteisön kysynnästä ja mahdollisten kehitettävien yhteensopivuuskerrosten vakaudesta.

Toinen uuden version ominaisuus on run0-apuohjelmassa, joka on suunniteltu moderniksi ja turvalliseksi vaihtoehdoksi sudolle, joka on saanut uusi vaihtoehto – voimaannuttaminen. Tämä toiminto Sen avulla voit kirjautua sisään korotetuilla oikeuksilla. ilman, että käyttäjätunnusta (UID) tarvitsee muuttaa root-käyttäjäksi.

Sen lisäksi sen sijaan, että delegoisimme täydellisen hallinnan käyttäjän vaihdon kautta –empower käyttää ytimen ominaisuusindikaattoreita, kuten CAP_SYS_ADMIN, myöntää ehdottoman välttämättömät luvat tehdä etuoikeutettuja järjestelmäkutsuja. Lisäksi tuloksena olevat prosessit integroidaan tiettyyn ryhmään, joka myöntää niille pääsyn Polkit-toimintoihin, mikä ylläpitää vankempaa oikeuksien erottelua kuin perinteinen sudo-malli.

Aikakauden loppu: Hyvästit System V:lle ja uusille vaatimuksille

systemd 259 merkitsee lopun alkua yhteensopivuus System V -palveluskriptitOn ilmoitettu, että seuraavassa versiossa vanhat komponentit, kuten systemd-sysv-generator, systemd-rc-local-generator ja systemd-sysv-install, poistetaan pysyvästi.

Vanhan koodin siivouksen ohella systemd-ekosysteemin vähimmäisohjelmistovaatimuksia on nostettu merkittävästi:

  • Linux-ydin: Vähintään versio 5.10.
  • Glibc: 2.34.
  • OpenSSL: 3.0.0.
  • Util-linux: 2.37.
  • Muut: Python 3.9.0, cryptsetup 2.4.0 ja libseccomp 2.4.0.

Modulaarisuus ja dynaaminen lataus libsystemd:ssä

Como osa aloitetta riippuvuuksien vähentämiseksi suoraan käynnistyksen yhteydessä, libsystemd käyttää nyt dynaamista latausta dlopen()-funktion kautta Kirjastojen, kuten libacl, libblkid, libseccomp, libselinux ja libmount, kohdalla järjestelmä lataa nämä kirjastot muistiin vain silloin, kun prosessi vaatii niiden tiettyjä toimintoja, mikä optimoi resurssien käyttöä. Lisäksi libcap-toiminnallisuus on integroitu suoraan libsystemd:hen, mikä yksinkertaistaa riippuvuusketjua.

El Lokien käsittelyn oletuskokoonpano on muuttunut: päiväkirjan tallennustila (Päiväkirja) muuttuu "automaattisesta" "pysyväksi"riippumatta siitä, onko /var/log/journal-hakemisto aiemmin ollut olemassa.

Verkkojen ja virtualisoinnin alalla:

  • systemd-networkd ja systemd-nspawn: NAT-sääntöjen tuki iptables-kirjastoa käyttäen on poistettu, jolloin nftables on ainoa yhteensopiva vaihtoehto.
  • systemd-ratkaistu: Se sallii nyt paikallisten koukkujen (hooks) käytön /run/systemd/resolve.hook/-tiedostossa nimenselvityspyyntöihin puuttumiseksi.
  • systemd-importd: TAR-tiedostojen käsittelylogiikka on integroitu natiivisti. Lisäksi sekä `importd`- että `machined`-komentoja voidaan nyt suorittaa käyttäjätasolla, mikä mahdollistaa kuvien hallinnan käyttäjän paikallisessa hakemistossa (`~/.local/state/machines/`).

Muut innovaatiot

Protokollapohjainen API Varlinkiin tehtiin parannuksia, joiden avulla voi käyttää palveluasetuksia ja soittaa IPC-puheluita. kuten Reload() ja Reexecute(). Järjestelmänvalvojille OOMKills-ominaisuuden sisällyttäminen palveluihin on erittäin hyödyllistä, koska sen avulla he voivat seurata suoraan systemd-työkaluista, kuinka monta kertaa prosessi on lopetettu muistin puutteen vuoksi.

Lopuksi järjestelmän käynnistysprosessista tulee nykyaikaisempi, kun TPM 1.2 -tuki poistetaan systemd-bootista, ja kaikki tietoturvatoimet keskitetään TPM 2.0 -standardiin.

Jos olet kiinnostunut tietämään asiasta lisää, voit ottaa yhteyttä yksityiskohdat seuraavassa linkissä.