systemd 259: Sokongan Musl, kuasakan run0, dan selamat tinggal kepada Sistem V

Perkara utama:
  • Sokongan separa untuk Musl libc (memerlukan konfigurasi manual dalam Meson).
  • run0 --empower membenarkan tindakan istimewa tanpa mengubah UID pengguna.
  • Penamatan skrip Sistem V yang disahkan dan peningkatan keperluan (Kernel 5.10+).
  • libsystemd kini memuatkan pustaka luaran menggunakan dlopen() untuk mengurangkan kebergantungan.
  • Storan jurnal kini 'berterusan' secara lalai.
David Y. NaranjoDikemas kini pada

Minit 4

sistem

Selepas lebih kurang tiga bulan pembangunan, pelancaran versi baru dari sistemd 259. Kemas kini ini memperkenalkan perubahan pada seni bina sistem, menonjolkan keterbukaan kepada pustaka standard alternatif, pengurusan keistimewaan yang lebih ketat dan keperluan teknikal yang lebih ketat untuk versi akan datang.

Salah satu pergerakan yang paling banyak diperkatakan dalam kitaran ini ialah peralihan ke arah modulariti yang lebih besar dan penghapusan kebergantungan legasi, membuka jalan untuk ekosistem Linux yang secara pastinya beralih daripada piawaian dekad yang lalu.

Ciri baru utama sistemd 259

Versi systemd baharu 259 menonjol kerana menjadi versi pertama yang menambah keserasian separa dengan Musl, pustaka piawai C yang popular dalam pengedaran ringan dan persekitaran terbenam. Integrasi ini Ia diuruskan melalui pilihan libc dalam sistem binaan Meson. Walau bagaimanapun, oleh kerana Musl tidak melaksanakan fungsi NSS (Name Service Switch), beberapa komponen systemd kekal dinyahdayakan dalam konfigurasi ini.

Antara yangketidakhadiran yang ketara semasa menyusun dengan Musl mereka nss-systemd, nss-resolve, systemd-homed, systemd-userdbd dan parameter DynamicUserTambahan pula, tidak mungkin untuk menjalankan systemd-nspawn tanpa keistimewaan di bawah pustaka ini. Pembangun telah memberi amaran bahawa mengekalkan sokongan ini dalam versi akan datang akan bergantung pada permintaan komuniti dan kestabilan sebarang lapisan keserasian tambahan yang dibangunkan.

Satu lagi ciri baharu versi baharu ialah dalam utiliti run0, direka bentuk sebagai alternatif moden dan selamat kepada sudo, yang telah diterima pilihan baharu – memperkasakan. Fungsi ini Ia membolehkan anda log masuk dengan keistimewaan yang tinggi. tanpa perlu menukar pengecam pengguna (UID) kepada root.

Selain itu, bukannya mewakilkan kawalan sepenuhnya melalui pertukaran pengguna, –empower menggunakan penunjuk keupayaan kernel, seperti CAP_SYS_ADMIN, untuk memberikan permit yang sangat diperlukan untuk membuat panggilan sistem istimewa. Di samping itu, proses yang terhasil disepadukan ke dalam kumpulan tertentu yang memberikan mereka akses kepada tindakan Polkit, mengekalkan pemisahan keistimewaan yang lebih mantap berbanding model sudo tradisional.

Penghujung era: Selamat tinggal kepada Sistem V dan keperluan baharu

systemd 259 menandakan permulaan pengakhiran untuk keserasian dengan Skrip perkhidmatan Sistem VTelah diumumkan bahawa dalam versi seterusnya, komponen legasi seperti systemd-sysv-generator, systemd-rc-local-generator dan systemd-sysv-install akan dialih keluar secara kekal.

Bersamaan dengan pembersihan kod lama ini, keperluan perisian minimum untuk ekosistem systemd telah dinaikkan dengan ketara:

  • Kernel Linux: Versi minimum 5.10.
  • Glibc: 2.34.
  • OpenSSL: 3.0.0.
  • Util-linux: 2.37.
  • Lain-lain: Python 3.9.0, cryptsetup 2.4.0 dan libseccomp 2.4.0.

Modulariti dan pemuatan dinamik dalam libsystemd

Como sebahagian daripada inisiatif untuk mengurangkan kebergantungan terus semasa permulaan, libsystemd kini menggunakan pemuatan dinamik melalui dlopen() Bagi pustaka seperti libacl, libblkid, libseccomp, libselinux dan libmount, sistem hanya akan memuatkan pustaka ini ke dalam memori apabila fungsi khususnya diperlukan oleh sesuatu proses, sekali gus mengoptimumkan penggunaan sumber. Selain itu, fungsi libcap telah disepadukan terus ke dalam libsystemd, memudahkan rantaian kebergantungan.

El Pengendalian log telah mengubah konfigurasi lalainya: mod penyimpanan jurnal (Jurnal) perubahan daripada "automatik" kepada "berterusan", tanpa mengira sama ada direktori /var/log/journal telah wujud sebelum ini atau tidak.

Dalam bidang rangkaian dan virtualisasi:

  • systemd-networkd dan systemd-nspawn: Sokongan untuk peraturan NAT menggunakan iptables telah dialih keluar, meninggalkan nftables sebagai satu-satunya pilihan yang serasi.
  • diselesaikan sistemd: Ia kini membenarkan penggunaan cangkuk setempat (hook) dalam /run/systemd/resolve.hook/ untuk campur tangan dalam permintaan penyelesaian nama.
  • systemd-importd: Logik untuk bekerja dengan fail TAR telah disepadukan secara asli. Tambahan pula, kedua-dua `importd` dan `machined` kini boleh dijalankan pada peringkat pengguna, membolehkan pengurusan imej dalam direktori setempat pengguna (`~/.local/state/machines/`).

Inovasi lain

API berasaskan protokol Varlink menerima penambahbaikan untuk membolehkan akses kepada tetapan perkhidmatan dan membuat panggilan IPC seperti Reload() dan Reexecute(). Bagi pentadbir sistem, penyertaan sifat OOMKills dalam perkhidmatan akan sangat berguna, kerana ia akan membolehkan mereka menjejaki berapa kali proses ditamatkan kerana kekurangan memori terus daripada alat sistem.

Akhirnya, proses but sistem menjadi lebih moden dengan penyingkiran sokongan untuk TPM 1.2 dalam systemd-boot, memfokuskan semua usaha keselamatan pada standard TPM 2.0.

Jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh merujuk kepada perincian dalam pautan berikut.