systemd 259: Musl desteği, run0'ın güçlendirilmesi ve System V'ye veda.

Anahtar noktaları:
  • Musl libc için kısmi destek (Meson'da manuel yapılandırma gerektirir).
  • run0 --empower komutu, kullanıcı UID'sini değiştirmeden ayrıcalıklı işlemler yapılmasına olanak tanır.
  • System V komut dosyalarının kullanımının sonlandırılacağı ve gereksinimlerin artırılacağı doğrulandı (Çekirdek 5.10+).
  • libsystemd artık bağımlılıkları azaltmak için harici kütüphaneleri dlopen() kullanarak yüklüyor.
  • Günlük kayıtlarının saklanması artık varsayılan olarak 'kalıcı'dır.
David Y. NaranjoGüncelleme tarihi

4 minutos

systemd

Üç ayı biraz aşan bir geliştirme sürecinin ardından, lansmanı yeni versiyonu sistem 259. Bu güncelleme, sistem mimarisine değişiklikler getirerek alternatif standart kütüphanelere açıklığı, daha sıkı yetki yönetimini ve gelecekteki sürümler için daha katı teknik gereksinimleri vurgulamaktadır.

Bu döngüde en çok konuşulan hareketlerden biri, daha fazla modülerliğe ve eski bağımlılıkların ortadan kaldırılmasına doğru geçiş olup, bu da Linux ekosisteminin geçmiş on yılların standartlarından kesin olarak uzaklaşmasının yolunu açmaktadır.

Systemd 259'in başlıca yeni özellikleri

Yeni systemd sürümü 259, şu özellikleriyle öne çıkıyor: Musl ile kısmi uyumluluk ekleyen ilk sürüm.Hafif dağıtımlarda ve gömülü ortamlarda yaygın olarak kullanılan C standart kütüphanesinin bu entegrasyonu. Bu işlem, Meson derleme sistemindeki libc seçeneği aracılığıyla yönetilir. Ancak Musl, NSS (Ad Hizmeti Değiştirme) işlevini uygulamadığı için bu yapılandırmada birçok systemd bileşeni devre dışı kalmaktadır.

Bunlar arasındaMusl ile derleme yaparken dikkat çekici eksiklikler bulundu nss-systemd, nss-resolve, systemd-homed, systemd-userdbd ve DynamicUser parametresiAyrıca, bu kütüphane altında systemd-nspawn'ı ayrıcalıksız çalıştırmak mümkün değildir. Geliştiriciler, bu desteğin gelecekteki sürümlerde sürdürülmesinin topluluk talebine ve geliştirilecek ek uyumluluk katmanlarının istikrarına bağlı olacağı konusunda uyarıda bulundular.

Yeni sürümün bir diğer yeni özelliği ise şudur: run0 yardımcı programındaSudo'ya modern ve güvenli bir alternatif olarak tasarlanan ve birçok beğeni toplayan bir uygulama. Yeni seçenek – güçlendirme. bu fonksiyon Bu, daha yüksek ayrıcalıklarla oturum açmanıza olanak tanır. Kullanıcı kimliğini (UID) root olarak değiştirmeye gerek kalmadan.

Bunun yanı sıra, tam kontrolü devretmek yerine Kullanıcı değiştirme yoluyla, –empower, CAP_SYS_ADMIN gibi çekirdek yetenek göstergelerini kullanır. Kesinlikle gerekli olan izinleri vermek Ayrıcalıklı sistem çağrıları yapmak için kullanılır. Ek olarak, ortaya çıkan süreçler, Polkit eylemlerine erişim sağlayan belirli bir gruba entegre edilir ve geleneksel sudo modeline göre daha sağlam bir ayrıcalık ayrımı sağlanır.

Bir dönemin sonu: Sistem V'ye veda ve yeni gereksinimler

systemd 259, sonun başlangıcını işaret ediyor. uyumluluk ile System V servis komut dosyalarıYeni sürümde systemd-sysv-generator, systemd-rc-local-generator ve systemd-sysv-install gibi eski bileşenlerin kalıcı olarak kaldırılacağı duyuruldu.

Eski kodların temizlenmesiyle birlikte, systemd ekosistemi için minimum yazılım gereksinimleri de önemli ölçüde artırıldı:

  • Linux Çekirdeği: Minimum sürüm 5.10.
  • Glibc: 2.34.
  • OpenSSL: 3.0.0.
  • Util-linux: 2.37.
  • Diğer: Python 3.9.0, cryptsetup 2.4.0 ve libseccomp 2.4.0.

libsystemd'de modülerlik ve dinamik yükleme

Como bağımlılıkları azaltmaya yönelik bir girişimin parçası doğrudan başlangıç ​​aşamasında, libsystemd artık dlopen() aracılığıyla dinamik yükleme kullanıyor. libacl, libblkid, libseccomp, libselinux ve libmount gibi kütüphaneler için sistem, kaynak kullanımını optimize etmek amacıyla, yalnızca belirli işlevleri bir işlem tarafından gerektiğinde bu kütüphaneleri belleğe yükleyecektir. Ayrıca, libcap işlevselliği doğrudan libsystemd'ye entegre edilerek bağımlılık zinciri basitleştirilmiştir.

El Günlük kaydı işleme varsayılan yapılandırmasını değiştirdi: Günlük depolama modu (Dergi) "Otomatik"ten "kalıcı"ya değişiklikler/var/log/journal dizininin daha önce var olup olmamasına bakılmaksızın.

Ağlar ve sanallaştırma alanında:

  • systemd-networkd ve systemd-nspawn: iptables kullanarak NAT kurallarına yönelik destek kaldırıldı ve böylece uyumlu tek seçenek olarak nftables kaldı.
  • systemd-çözümlendi: Artık /run/systemd/resolve.hook/ dosyasındaki yerel kancaların (hooks) isim çözümleme isteklerine müdahale etmesine olanak tanıyor.
  • systemd-imported: TAR dosyalarıyla çalışma mantığı yerel olarak entegre edilmiştir. Ayrıca, hem `importd` hem de `machined` artık kullanıcı düzeyinde çalıştırılabiliyor ve bu da kullanıcının yerel dizininde (`~/.local/state/machines/`) görüntü yönetimine olanak tanıyor.

Diğer yenilikler

Protokol tabanlı API Varlink, servis ayarlarına erişime ve IPC çağrıları yapmaya olanak tanıyan geliştirmeler aldı. Reload() ve Reexecute() gibi fonksiyonlar da bu kapsamda yer almaktadır. Sistem yöneticileri için, servislerde OOMKills özelliğinin bulunması çok faydalı olacaktır, çünkü bu özellik sayesinde bir işlemin bellek yetersizliği nedeniyle kaç kez sonlandırıldığını doğrudan systemd araçlarından takip edebileceklerdir.

Son olarak, systemd-boot'ta TPM 1.2 desteğinin kaldırılmasıyla sistem önyükleme süreci daha modern bir hale geliyor ve tüm güvenlik çalışmaları TPM 2.0 standardına odaklanıyor.

Bu konuda daha fazla bilgi edinmekle ilgileniyorsanız, danışabilirsiniz. ayrıntılar aşağıdaki bağlantıda.