systemd 259: Podrška za Musl, osnaživanje run0 i zbogom System V

Ključne točke:
  • Djelomična podrška za Musl libc (zahtijeva ručnu konfiguraciju u Mesonu).
  • run0 --empower omogućuje privilegirane radnje bez promjene UID-a korisnika.
  • Potvrđeno ukidanje podrške za System V skripte i povećani zahtjevi (Kernel 5.10+).
  • libsystemd sada učitava vanjske biblioteke koristeći dlopen() kako bi se smanjile ovisnosti.
  • Pohrana dnevnika sada je prema zadanim postavkama 'trajna'.
David Y. NaranjoAžurirano dana

4 minuta

systemd

Nakon nešto više od tri mjeseca razvoja, pokretanje nova verzija sustav 259. Ovo ažuriranje uvodi promjene u arhitekturu sustava, ističući otvorenost prema alternativnim standardnim bibliotekama, rigoroznije upravljanje privilegijama i strože tehničke zahtjeve za buduće verzije.

Jedan od najspominjanijih pokreta u ovom ciklusu je prijelaz prema većoj modularnosti i uklanjanju naslijeđenih ovisnosti, što otvara put Linux ekosustavu koji se definitivno udaljava od standarda prošlih desetljeća.

Glavne nove značajke systemd 259

Nova verzija systemd-a 259 ističe se kao prva verzija koja dodaje djelomičnu kompatibilnost s Muslom, popularna C standardna biblioteka u laganim distribucijama i ugrađenim okruženjima. Ova integracija Upravlja se putem opcije libc u Meson sustavu za izgradnju. Međutim, budući da Musl ne implementira funkcionalnost NSS-a (Name Service Switch), nekoliko systemd komponenti ostaje onemogućeno u ovoj konfiguraciji.

Međuznačajni izostanci prilikom kompajliranja s Muslom oni su nss-systemd, nss-resolve, systemd-homed, systemd-userdbd i parametar DynamicUserNadalje, nije moguće pokrenuti systemd-nspawn bez privilegija unutar ove biblioteke. Programeri su upozorili da će održavanje ove podrške u budućim verzijama ovisiti o potražnji zajednice i stabilnosti svih dodatnih slojeva kompatibilnosti koji se razviju.

Još jedna nova značajka nove verzije je u uslužnom programu run0, osmišljen kao moderna i sigurna alternativa za sudo, koji je dobio nova opcija – osnaživanje. Ova funkcija Omogućuje vam prijavu s povišenim privilegijama. bez potrebe za promjenom korisničkog identifikatora (UID) u root.

Osim toga, umjesto delegiranja potpune kontrole putem promjene korisnika, –empower koristi indikatore mogućnosti kernela, kao što je CAP_SYS_ADMIN, izdati strogo potrebne dozvole za upućivanje privilegiranih sistemskih poziva. Osim toga, rezultirajući procesi integrirani su u određenu grupu koja im daje pristup Polkit akcijama, održavajući robusniju podjelu privilegija od tradicionalnog sudo modela.

Kraj jedne ere: Zbogom Systemu V i novim zahtjevima

systemd 259 označava početak kraja za kompatibilnost s Servisne skripte System VNajavljeno je da će u sljedećoj verziji naslijeđene komponente poput systemd-sysv-generator, systemd-rc-local-generator i systemd-sysv-install biti trajno uklonjene.

Uz ovo čišćenje starog koda, minimalni softverski zahtjevi za systemd ekosustav su značajno povećani:

  • Linux kernel: Minimalna verzija 5.10.
  • Glibc: 2.34.
  • OpenSSL: 3.0.0.
  • Utility-linux: 2.37.
  • Ostalo: Python 3.9.0, cryptsetup 2.4.0 i libseccomp 2.4.0.

Modularnost i dinamičko učitavanje u libsystemd-u

Como dio inicijative za smanjenje ovisnosti direktno pri pokretanju, libsystemd sada koristi dinamičko učitavanje putem dlopen() funkcije Za biblioteke kao što su libacl, libblkid, libseccomp, libselinux i libmount, sustav će učitati te biblioteke u memoriju samo kada proces zahtijeva njihove specifične funkcije, optimizirajući korištenje resursa. Osim toga, funkcionalnost libcap integrirana je izravno u libsystemd, pojednostavljujući lanac ovisnosti.

El Obrada zapisnika promijenila je svoju zadanu konfiguraciju: način pohrane dnevnika (Časopis) promjene iz "automatskog" u "trajno", bez obzira na to je li direktorij /var/log/journal prethodno postojao.

U području mreža i virtualizacije:

  • systemd-networkd i systemd-nspawn: Podrška za NAT pravila koja koriste iptables je uklonjena, ostavljajući nftables kao jedinu kompatibilnu opciju.
  • systemd-riješeno: Sada omogućuje korištenje lokalnih kuka (hookova) u /run/systemd/resolve.hook/ za intervenciju u zahtjevima za razrješavanje imena.
  • systemd-importd: Logika za rad s TAR datotekama je izvorno integrirana. Nadalje, i `importd` i `machined` sada se mogu pokrenuti na razini korisnika, što omogućuje upravljanje slikama u lokalnom direktoriju korisnika (`~/.local/state/machines/`).

Ostale inovacije

API temeljen na protokolu Varlink je dobio poboljšanja koja omogućuju pristup postavkama usluge i upućivanje IPC poziva. kao što su Reload() i Reexecute(). Za administratore sustava, uključivanje svojstva OOMKills u usluge bit će vrlo korisno, jer će im omogućiti praćenje koliko je puta proces prekinut zbog nedostatka memorije izravno iz systemd alata.

Konačno, proces pokretanja sustava postaje moderniji uklanjanjem podrške za TPM 1.2 u systemd-bootu, usmjeravajući sve sigurnosne napore na standard TPM 2.0.

Ako ste zainteresirani za više informacija o tome, možete konzultirati pojedinosti na sljedećem linku.