systemd 259: Musl atbalsts, run0 pilnvarošana un atvadīšanās no System V

Galvenie punkti:
  • Daļējs Musl libc atbalsts (nepieciešama manuāla konfigurācija Meson valodā).
  • run0 --empower ļauj veikt privileģētas darbības, nemainot lietotāja UID.
  • Apstiprināta System V skriptu novecošana un paaugstinātas prasības (Kernel 5.10+).
  • libsystemd tagad ielādē ārējās bibliotēkas, izmantojot dlopen(), lai samazinātu atkarības.
  • Žurnāla glabāšana tagad pēc noklusējuma ir “pastāvīga”.
David Y. NaranjoAtjaunināts

4 Minutos

systemd

Pēc nedaudz vairāk kā trīs mēnešu ilgas izstrādes, uzsākšana jaunā versija sistēma 259. Šis atjauninājums ievieš izmaiņas sistēmas arhitektūrā, izceļot atvērtību alternatīvām standarta bibliotēkām, stingrāku privilēģiju pārvaldību un stingrākas tehniskās prasības nākamajām versijām.

Viena no visvairāk apspriestajām kustībām šajā ciklā ir pāreja uz lielāku modularitāti un mantoto atkarību likvidēšanu, kas paver ceļu Linux ekosistēmai, kas noteikti attālinās no iepriekšējo desmitgažu standartiem.

Sistēmas 259 galvenās jaunās iespējas

Jaunā systemd versija 259 izceļas ar to, ka ir pirmā versija, kas pievieno daļēju saderību ar Musl, populārā C standarta bibliotēka vieglās distribūcijās un iegultās vidēs. Šī integrācija To pārvalda, izmantojot libc opciju Meson būvēšanas sistēmā. Tomēr, tā kā Musl neievieš NSS (Name Service Switch) funkcionalitāti, vairāki systemd komponenti šajā konfigurācijā paliek atspējoti.

Starp aievērojamas nepilnības, kompilējot ar Musl atrasts nss-systemd, nss-resolve, systemd-homed, systemd-userdbd un DynamicUser parametrsTurklāt systemd-nspawn nav iespējams palaist bez privilēģijām šajā bibliotēkā. Izstrādātāji ir brīdinājuši, ka šī atbalsta saglabāšana turpmākajās versijās būs atkarīga no kopienas pieprasījuma un visu izstrādāto papildu saderības slāņu stabilitātes.

Vēl viena jaunās versijas funkcija ir run0 utilitātē, kas izstrādāta kā moderna un droša alternatīva sudo, kas ir saņēmusi jaunā iespēja – pilnvarošana. Šī funkcija Tas ļauj jums pieteikties ar paaugstinātām privilēģijām. bez nepieciešamības mainīt lietotāja identifikatoru (UID) uz root.

Bez tam, nevis deleģējot pilnīgu kontroli pārslēdzot lietotājus, –empower izmanto kodola iespēju indikatorus, piemēram, CAP_SYS_ADMIN, piešķirt absolūti nepieciešamās atļaujas lai veiktu privileģētus sistēmas izsaukumus. Turklāt iegūtie procesi tiek integrēti noteiktā grupā, kas tiem piešķir piekļuvi Polkit darbībām, saglabājot stabilāku privilēģiju atdalīšanu nekā tradicionālajā sudo modelī.

Ēras beigas: atvadīšanās no System V un jaunajām prasībām

systemd 259 iezīmē beigu sākumu saderība ar System V pakalpojumu skriptiIr paziņots, ka nākamajā versijā tādi mantoti komponenti kā systemd-sysv-generator, systemd-rc-local-generator un systemd-sysv-install tiks neatgriezeniski noņemti.

Līdz ar šo vecā koda attīrīšanu ir ievērojami paaugstinātas minimālās programmatūras prasības systemd ekosistēmai:

  • Linux kodols: Vismaz 5.10 versija.
  • Glibc: 2.34.
  • OpenSSL: 3.0.0.
  • Util-linux: 2.37.
  • Citi: Python 3.9.0, cryptsetup 2.4.0 un libseccomp 2.4.0.

Modularitāte un dinamiskā ielāde libsystemd vidē

Como daļa no iniciatīvas atkarību mazināšanai tieši palaišanas laikā, libsystemd tagad izmanto dinamisko ielādi, izmantojot dlopen() Tādas bibliotēkas kā libacl, libblkid, libseccomp, libselinux un libmount sistēma ielādēs šīs bibliotēkas atmiņā tikai tad, ja procesam būs nepieciešamas to specifiskās funkcijas, optimizējot resursu izmantošanu. Turklāt libcap funkcionalitāte ir integrēta tieši libsystemd, vienkāršojot atkarību ķēdi.

El Žurnālu apstrādes noklusējuma konfigurācija ir mainīta: žurnāla glabāšanas režīms (Žurnāls) mainās no "automātiski" uz "pastāvīgi"neatkarīgi no tā, vai direktorijs /var/log/journal iepriekš pastāvēja.

Tīklu un virtualizācijas jomā:

  • systemd-networkd un systemd-nspawn: Atbalsts NAT noteikumiem, izmantojot iptables, ir noņemts, atstājot nftables kā vienīgo saderīgo opciju.
  • systemd atrisināts: Tagad tas ļauj izmantot lokālos āķus (hooks) failā /run/systemd/resolve.hook/, lai iejauktos nosaukumu atrisināšanas pieprasījumos.
  • systemd-importd: TAR failu darba loģika ir integrēta dzimti. Turklāt gan `importd`, gan `machined` tagad var palaist lietotāja līmenī, ļaujot pārvaldīt attēlus lietotāja lokālajā direktorijā (`~/.local/state/machines/`).

Citi jauninājumi

Uz protokolu balstīta API Varlink saņēma uzlabojumus, lai nodrošinātu piekļuvi pakalpojumu iestatījumiem un IPC zvanu veikšanu. piemēram, Reload() un Reexecute(). Sistēmu administratoriem OOMKills rekvizīta iekļaušana pakalpojumos būs ļoti noderīga, jo tā ļaus viņiem tieši no systemd rīkiem izsekot, cik reižu process tika pārtraukts atmiņas trūkuma dēļ.

Visbeidzot, sistēmas sāknēšanas process kļūst modernāks, noņemot atbalstu TPM 1.2 no systemd-boot, koncentrējot visus drošības pasākumus uz TPM 2.0 standartu.

Ja vēlaties uzzināt vairāk par to, varat konsultēties ar sīkāka informācija šajā saitē.