systemd 259: Mbështetje Musl, fuqizim run0 dhe lamtumirë System V

Pikat kryesore:
  • Mbështetje e pjesshme për Musl libc (kërkon konfigurim manual në Meson).
  • run0 --empower lejon veprime të privilegjuara pa ndryshuar UID-në e përdoruesit.
  • Konfirmohet mospërdorimi i skripteve të System V dhe kërkesa të rritura (Kernel 5.10+).
  • libsystemd tani ngarkon libraritë e jashtme duke përdorur dlopen() për të zvogëluar varësitë.
  • Ruajtja e ditarit tani është 'e përhershme' si parazgjedhje.
David Y. NaranjoPërditësuar më

Minuta 4

systemd

Pas pak më shumë se tre muajsh zhvillimi, nisja e versioni i ri i sistemd 259. Ky përditësim sjell ndryshime në arkitekturën e sistemit, duke theksuar hapjen ndaj bibliotekave standarde alternative, menaxhimin më rigoroz të privilegjeve dhe kërkesa teknike më të rrepta për versionet e ardhshme.

Një nga lëvizjet më të përfolura në këtë cikël është kalimi drejt modularitetit më të madh dhe eliminimit të varësive të trashëguara, duke hapur rrugën për një ekosistem Linux që po largohet përfundimisht nga standardet e dekadave të kaluara.

Karakteristikat kryesore të reja të systemd 259

Versioni i ri i systemd 259 dallohet për të qenë versioni i parë për të shtuar përputhshmëri të pjesshme me Musl, biblioteka standarde e njohur C në shpërndarje të lehta dhe mjedise të integruara. Ky integrim Menaxhohet përmes opsionit libc në sistemin e ndërtimit Meson. Megjithatë, për shkak se Musl nuk e implementon funksionalitetin NSS (Name Service Switch), disa komponentë systemd mbeten të çaktivizuar në këtë konfigurim.

Midis njëmungesa të dukshme gjatë përpilimit me Musl ata janë nss-systemd, nss-resolve, systemd-homed, systemd-userdbd dhe parametri DynamicUserPër më tepër, nuk është e mundur të ekzekutohet systemd-nspawn pa privilegje në këtë bibliotekë. Zhvilluesit kanë paralajmëruar se ruajtja e kësaj mbështetjeje në versionet e ardhshme do të varet nga kërkesa e komunitetit dhe stabiliteti i çdo shtrese shtesë të përputhshmërisë që zhvillohet.

Një tjetër veçori e re e versionit të ri është në programin run0, i projektuar si një alternativë moderne dhe e sigurt ndaj sudo-s, e cila ka marrë opsioni i ri - fuqizimi. Ky funksion Ju lejon të identifikoheni me privilegje të larta. pa pasur nevojë të ndryshoni identifikuesin e përdoruesit (UID) në root.

Përveç kësaj, në vend të delegimit të kontrollit të plotë përmes ndërrimit të përdoruesve, –empower përdor treguesit e aftësive të kernelit, siç është CAP_SYS_ADMIN, për të dhënë lejet e domosdoshme për të bërë thirrje të privilegjuara të sistemit. Përveç kësaj, proceset që rezultojnë integrohen në një grup specifik që u jep atyre akses në veprimet e Polkit, duke ruajtur një ndarje më të fortë të privilegjeve sesa modeli tradicional sudo.

Fundi i një epoke: Lamtumirë System V dhe kërkesave të reja

systemd 259 shënon fillimin e fundit për përputhshmëria me Skriptet e shërbimit të System VËshtë njoftuar se në versionin e ardhshëm, komponentët e vjetër si systemd-sysv-generator, systemd-rc-local-generator dhe systemd-sysv-install do të hiqen përgjithmonë.

Së bashku me këtë pastrim të kodit të vjetër, kërkesat minimale të softuerit për ekosistemin systemd janë rritur ndjeshëm:

  • Bërthama e Linux-it: Versioni minimal 5.10.
  • Glibc: 2.34.
  • OpenSSL: 3.0.0.
  • Util-linux: 2.37.
  • Të tjera: Python 3.9.0, cryptsetup 2.4.0 dhe libseccomp 2.4.0.

Modulariteti dhe ngarkimi dinamik në libsystemd

Como pjesë e një iniciative për të zvogëluar varësitë direkt në fillim, libsystemd tani përdor ngarkim dinamik nëpërmjet dlopen() Për librari të tilla si libacl, libblkid, libseccomp, libselinux dhe libmount, sistemi do t'i ngarkojë këto librari në memorie vetëm kur funksionet e tyre specifike kërkohen nga një proces, duke optimizuar përdorimin e burimeve. Përveç kësaj, funksionaliteti i libcap është integruar direkt në libsystemd, duke thjeshtuar zinxhirin e varësisë.

El Trajtimi i regjistrave ka ndryshuar konfigurimin e tij të parazgjedhur: modaliteti i ruajtjes së ditarit (Ditar) ndryshon nga "automatik" në "i përhershëm", pavarësisht nëse direktoria /var/log/journal ekzistonte më parë.

Në fushën e rrjeteve dhe virtualizimit:

  • systemd-networkd dhe systemd-nspawn: Mbështetja për rregullat NAT duke përdorur iptables është hequr, duke lënë nftables si opsionin e vetëm të pajtueshëm.
  • sistemd-zgjidhur: Tani lejon përdorimin e grepave lokalë (hooks) në /run/systemd/resolve.hook/ për të ndërhyrë në kërkesat për zgjidhjen e emrave.
  • systemd-importuar: Logjika për të punuar me skedarët TAR është integruar në mënyrë native. Për më tepër, si `importd` ashtu edhe `machined` tani mund të ekzekutohen në nivelin e përdoruesit, duke lejuar menaxhimin e imazheve në direktorinë lokale të përdoruesit (`~/.local/state/machines/`).

Risi të tjera

API-ja e bazuar në protokoll Varlink mori përmirësime për të lejuar qasje në cilësimet e shërbimit dhe për të bërë thirrje IPC siç janë Reload() dhe Reexecute(). Për administratorët e sistemit, përfshirja e vetisë OOMKills në shërbime do të jetë shumë e dobishme, pasi do t'u lejojë atyre të gjurmojnë se sa herë është ndërprerë një proces për shkak të mungesës së kujtesës direkt nga mjetet systemd.

Së fundmi, procesi i nisjes së sistemit bëhet më modern me heqjen e mbështetjes për TPM 1.2 në systemd-boot, duke i përqendruar të gjitha përpjekjet e sigurisë në standardin TPM 2.0.

Nëse jeni të interesuar të dini më shumë rreth tij, mund të konsultoheni me detajet në lidhjen vijuese.