5го марта разработчики postmarketOS, дистрибутива Linux для смартфонов, основанного на Alpine Linux, объявили о добавлении в него поддержки системного менеджера systemd вместо использовавшегося ранее OpenRC.

( читать дальше... )

>>> Подробности

В OpenSUSE Tumbleweed (пока в качестве опции) вводится поддержка загрузчика systemd-boot как альтернативы GNU GRUB. По официальной версии разработчиков, переход на Systemd-Boot даст возможность повысить скорость загрузки и усилить безопасность загрузочного процесса. Разработчики также ожидают, что переход на systemd-boot даст упрощение и повышение эффективности работы с полнодисковым шифрованием, а также упростит работу со снапшотами в файловой системе Btrfs.

Следует иметь в виду, что systemd-boot не поддерживает Master Boot Record. Если в будущем systemd-boot останется единственным вариантом загрузки, запустить OpenSUSE на старых ПК без эмулятора UEFI, вроде Clover, будет невозможно.

>>> Подробности

Вышла новая версия свободного системного менеджера systemd.

Изменения, нарушающие обратную совместимость:

• Теперь монтирование отдельного раздела /usr/ поддерживается только на этапе initramfs.

• Опции SuspendMode=, HibernateState= и HybridSleepState= из секции [Sleep] в systemd-sleep.conf объявлены устаревшими и не оказывают влияния на поведение системы.

( читать дальше... )

>>> Что нового (GitHub)

Релиз системного менеджера systemd версии 254.

Некоторые изменения:

• В systemctl добавлена новая команда list-paths, которая выводит список всех активных .path юнитов

• Механизм soft reboot и команда systemctl soft-reboot. В отличие от обычной перезагрузки, soft reboot перезагружает только userspace. За счет отсутствия необходимости заново инициализировать оборудование и загружать ядро этот механизм позволяет уменьшить время простоя при обновлении

• Опция StartupMemoryMax и другие параметры, ограничивающие потребление памяти при инициализации демона

• Супервизор теперь может формировать очередь POSIX-сигналов для демона, используя вызов sigqueue()

• systemctl поддерживает опцию –when= для команд перезагрузки или выключения (poweroff, halt, reboot, etc). Это позволяет назначить время срабатывания команды в стиле классической команды shutdown.

• Новая опция RestartMode, определяющая поведение юнита при аварийном завершении и перезапуске. Если RestartMode=direct, systemd не будет уведомлять зависимые юниты, пока не перезапустит демон, либо не изменит его статус на failed, если все попытки активировать его заново оказались безуспешны

• Для .service файлов добавлена логическая опция RootEphemeral. Если RootEphemeral=true, systemd создает временную копию образа диска или системных файлов на корневом разделе. После завершения работы демона эта копия удаляется. По возможности используется рефлинки[Примечание 1] (XFS/btrfs) или снапшоты (btrfs)

Также разработчики предупреждают, что некоторые функции помечены как устаревшие (deprecated) и будут удалены в версии 255 или позже:

• Версия 255 не будет поддерживать монтирование раздела /usr на позднем этапе загрузки системы. Рекомендуется монтировать /usr на этапе initramfs

• В 2024 году разработчики планируют удалить поддержку cgroups v1

• Поддержка скриптов SysVinit будет удалена в следующем релизе

• Устаревшей так же помечена переменная SystemdOptions. bootctl systemd-efi-options будет выводить предупреждение

Примечание 1: Рефлинки в XFS

>>> NEWS на GitHub

Cвободный (GPLv2+) системный менеджер GNU/Linux породил очередной релиз и, опосредовано, новость для LOR.

В данной версии:

• мультикаст DNS включён по умолчанию на всех интерфейсах
• утилита ukify для работы с UKI (Unified Kernel Image)
• опция юнита LogFilterPatterns= для фильтрации логов юнита с помощью регулярных выражений
• опция юнита OpenFile= позволяющая открыть произвольный файл (или unix-сокет) и передать файловый дескриптор процессу, запущенному юнитом
• systemd-boot напрямую инициализирует RNG ядра
• systemd-dissect обзавёлся опцией --discover для поиска DDI (Discoverable Disk Images)
• hostnamectl показывает время окончания поддержки ОС, используя данные из /etc/os-release
• systemd-sysusers автоматически создаёт /etc в случае его отсутствия

Спеки для UKI, DDI и других малознакомых аббревиатур из данной новости можно почитать в UAPI Group Specifications

Кроме того, анонсировано удаление поддержки cgroup v1 и split-usr (использование отдельных каталогов /usr/lib и /lib и т.п.) до конца этого года.

В выпуске есть и множество других новшеств, достойных эмоционального комментария завсегдатаев :)

>>> Подробности

Cвободный (GPLv2+) системный менеджер GNU/Linux доставил нам очередной релиз и возможность его коллективного обсуждения.

( читать дальше... )

>>> Подробности

Компания Microsoft объявила о готовности запуска systemd в дистрибутивах для Windows с WSL. Поддержка systemd позволила упростить требования к дистрибутивам и приблизить предоставляемую в WSL среду к обычному оборудованию.

Раньше в WSL использовался предоставляемый Microsoft обработчик инициализации, запускаемый под PID 1 и обеспечивающий настройку инфраструктуры для организации взаимодействия между Linux и Windows. Теперь вместо этого обработчика может использоваться штатный systemd.

Примечание: версия WSL должна быть 0.67.6 или новее.

Предыдущая новость на ЛОР связанная с этой темой: Леннарт Поттеринг ушёл из RedHat в Microsoft

>>> Подробности

Леннарт Поттеринг (Lennart Poettering), создавший такие проекты, как Avahi (реализация протокола ZeroConf), звуковой сервер PulseAudio и системный менеджер systemd, уволился из компании Red Hat, в которой работал с 2008 года и руководил разработкой systemd. В качестве нового места работы называется компания Microsoft, деятельность Леннарта в которой также будет связана с разработкой systemd.

Компания Microsoft использует systemd в своём дистрибутиве CBL-Mariner, который развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft.

>>> Подробности (OpenNET)

Представлен релиз systemd 251 — свободного (GPLv2+) системного менеджера GNU/Linux.

Основные изменения:

• повышены требования к окружению (Linux kernel 4.15 c опцией CLOCK_BOOTTIME, С11 с расширениями GNU) - поскольку разработчики systemd тщательно заботятся об обратной совместимости, заголовочные файлы по-прежнему C89

• sd-boot сохраняет хэш командной строки ядра по-умолчанию в TPM PCR 12 вместо PCR 8 для улучшения совместимости с Grub, который активно использует данный регистр

• в Boot Loader Specification добавлен файл /loader/entries.srel с описанием формата записей в /loader/entries/directory в ESP

• юниты, прибитые systemd-oomd, получат соответствующий статус oom-kill

• множество Private*= и Protect*= опций теперь доступно и для пользовательского инстанса системного менеджера (при наличии user namespaces в системе)

• опция LoadCredential= теперь поддерживает папки /etc/credstore/, /run/credstore/, /usr/lib/credstore/ - см https://systemd.io/CREDENTIALS/

• документированы экспортные форматы journal - см. https://systemd.io/JOURNAL_EXPORT_FORMATS/

• новая команда udevadm lock позволяет получить эксклюзивный доступ к блочному устройству на время выполнения критических операций - см. https://systemd.io/BLOCK_DEVICE_LOCKING/

• добавлен юнит systemd-networkd-wait-online@<interface>.service для удобного ожидания появления сети на определённом интерфейсе

• новая опция сборки default-user-shell= позволяет задать пользовательскую оболочку в явном виде вместо окаянного bash

• сервис systemd-timesyncd обзавёлся D-Bus API

• новый (экспериментальный) сервис systemd-sysupdate для атомарного (типа A/B) обновления

И множество любопытных новшеств, заслуживающих пристального изучения экспертами ЛОР :)

>>> Подробности

Благодаря исследователям безопасности из компании Microsoft, были выявлены две уязвимости CVE-2022-29799 и CVE-2022-29800 в сервисе networkd-dispatcher, в связке позволяющие получить права root. Уязвимости было присвоено кодовое имя Nimbuspwn.

Networkd-dispatcher разрабатывается отдельно от systemd, но применяется во многих дистрибутивах Linux, использующих для настройки параметров сети фоновый процесс systemd-networkd. Связанный с networkd-dispatcher фоновый процесс выполняется с правами root и принимает сигналы о событиях через шину D-Bus. Информация о событиях, связанных с изменением состояния сетевых соединений, отправляется сервисом systemd-networkd. Проблема в том, что непривилегированные пользователи могут сформировать событие о несуществующем состоянии и инициировать запуск своего скрипта, который будет выполнен с правами root.

Кроме того, изучение работы networkd-dispatcher привело к обнаружению ряда других проблем: выход за пределы директории, гонки из-за символических ссылок и из-за модификации данных — все это может быть использовано в злонамеренных целях.

>>> Подробности

В systemd-tmpfiles выявлена уязвимость, позволяющая вызвать неконтролируемую рекурсию и отказ в обслуживании системы. Для этого во время загрузки необходимо создать в /tmp большое количество вложенных подкаталогов. Исправление в Fedora и RHEL пока на стадии тестирования, в Ubuntu и Suse уязвимость закрыта.

При создании тысяч вложенных каталогов выполнение операции systemd-tmpfiles --remove приводит к аварийному завершению из-за исчерпания стека. Обычно утилита systemd-tmpfiles в одном вызове выполняет операции удаления и создания каталогов (systemd-tmpfiles --create --remove --boot --exclude-prefix=/dev), при этом вначале выполняется удаление, а потом создание, т.е. крах на стадии удаления приведёт к тому, что не будут созданы важные для работы файлы, указанные в /usr/lib/tmpfiles.d/*.conf.

Уязвимость во Flatpak позволяет при загрузке пакета из непроверенного репозитория через манипуляции с метаданными скрыть использование повышенных прав. Еще одна уязвимость без CVE позволяет во время сборки пакета командой flatpak-builder --mirror-screenshots-url создать каталоги в ФС за пределами сборочного каталога.

>>> CVE-2021-43860

>>> CVE-2021-3997

Представлен релиз systemd 250 — системного менеджера GNU/Linux, распространяемого под лицензией GPLv2+.

( читать дальше... )

>>> Подробности

Вышел Devuan 4.0, форк Debian GNU/Linux, поставляемый без системного менеджера systemd. Пакетная база дистрибутива перешла на ветку Debian 11 Bullseye.

Проектом создано 400 пакетов, которые созданы для работы без systemd, ребрендинга или адаптации к особенностям инфраструктуры Devuan. Два пакета (devuan-baseconf, jenkins-debian-glue-buildenv-devuan) присутствуют только в Devuan и связаны с настройкой репозиториев и работой сборочной системы. В остальном Devuan совместим с Debian, за исключением ПО, требующего Systemd в обязательном порядке, и может использоваться для создания дистрибутивов без systemd. Пакеты Devuan доступны на packages.devuan.org

Рабочий стол по умолчанию — Xfce с дисплейным менеджером Slim. Поддерживается установка KDE, MATE, Cinnamon, LXQT, LXDE. По умолчанию в качестве инициализатора используется Sysvinit, доступны OpenRC и Runit. Предусмотрена возможность отвязки от D-Bus, которая позволяет создавать минималистичные конфигурации рабочего стола на базе оконных менеджеров blackbox, fluxbox, fvwm, fvwm-crystal и openbox. Для настройки сети предлагается вариант конфигуратора NetworkManager, не привязанный к systemd. Вместо Systemd-udev используется форк eudev из Gentoo. В Xfce и Mate для управление сеансами используется ConsoleKit, в остальных случаях - Elogind, вариант Logind, не привязанный к Systemd.

Новшества Devuan 4.0:

• Пакетная база - Debian Bullseye 11.1, ядро Linux - 5.10

• На выбор представлены Sysvinit, OpenRC, Runit.

• Добавлена новая тема оформления для загрузочной заставки, менеджера входа и рабочего стола.

• Реализована поддержка GDM3, SDDM помимо Slim.

• Предоставлена возможность использования без systemd всех пользовательских окружений, доступных в Debian. Добавлена поддержка LXDE.

• Для людей с проблемами со зрением предоставлена возможность голосового сопровождения процесса установки и добавлена поддержка дисплеев на базе шрифта Брайля.

>>> Подробности

Новый релиз системного менеджера GNU/Linux — systemd (лицензия GPL-v2+):

• возможность явного или автоматического выбора из нескольких root разделов в образе диска с помощью параметра --image= в systemd-nspawn, systemd-dissect и других утилитах, работающих с образами дисков

• новые опциональные параметры IMAGE_VERSION и IMAGE_ID в файле /etc/os-release

• поддержка build-id и .note.package из ELF в systemd-coredump позволяет явным образом соотнести дамп памяти с конкретным пакетом, из которого был установлен соответствующий бинарник

• поддержка UUID для событий udev, которая позволяет отслеживать конкретное событие в явном виде

• документирован сетевой протокол Journal

• домен «home.arpa» официально добавлен в качестве домена для локальных сетей согласно RFC 8375

• флаг «grow-file-system» добавлен к спецификации Discoverable Partition

• поддержка JSON с помощью интерфейса DBus и параметра командной строки в systemd-hostnamed и systemd-networkd. В дальнейшей её планируется распространить на все компоненты systemd

• автоматическое добавление хэшей паролей в shadow для пользователей systemd-homed

• поддержка добавления пользователей и групп с помощью конфигурационных файлов в формате JSON в /etc/userdb/, /run/userdb/, /run/host/userdb/ и /usr/lib/userdb/

• расширение механизма зависимостей с помощью неконфигурируемых автоматических обратных зависимостей (OnSuccessOf для OnSuccess, UpheldBy для Upholds, OnFailureOf для OnFailure и т. п.) для упрощения отслеживания и настройки зависимостей между юнитами

• по многочисленным просьбам анонимусов с LOR была документирована архитектура systemd

И множество других изменений, исправлений и улучшений.

>>> Подробности

Участник GitHub Security Lab Kevin Backhouse обнаружил уязвимость в Polkit, которая впервые появилась семь лет назад в коммите bfa5036 и с версией 0.113 попала в некоторые дистрибутивы. Она позволяет непривилегированному локальному пользователю получить права root в системе, приложив для этого минимальные усилия. Уязвимости подвержены любые дистрибутивы с установленной версией Polkit 0.113 (или более поздней). Например, такие популярные, как RHEL 8 и Ubuntu 20.04. Уязвимость была устранена 3 июня 2021 года.

Как пишет Kevin Backhouse, уязвимость очень просто эксплуатируется, для этого достаточно простых инструментов: bash, kill, и dbus-send. Кроме них, для своей статьи (PoC exploit) он так же использовал accountsservice и gnome-control-center, которые можно найти на многих системах с GUI. Следует заметить, что accountsservice и gnome-control-center не содержат уязвимость и являются просто клиентами для Polkit.

Собственно уязвимость активируется с помощью команды dbus-send (т.е. простой отправки сообщения через шину D-Bus), которую нужно завершить во время, пока Polkit ещё обрабатывает запрос. Теоретически, можно нажать Ctrl + C на клавиатуре в нужный момент, однако Kevin Backhouse не смог продемонстрировать именно такой вариант.

( читать дальше... )

>>> Подробности

Finit — простая альтернатива системам иницилизации SysV init и systemd. Он был разработан более десяти лет назад Клаудио Мацуока при помощи реверс инженеринга из EeePC fastinit. Основное внимание уделяется малым и встраиваемым системам, хотя Finit полностью работоспособен в серверных и в настольных системах.

( читать дальше... )

>>> Подробности

Новый релиз системного менеджера GNU/Linux — systemd (лицензия GPL-v2+):

• systemd-oomd добавленный в качестве экспериментального в прошлом релизе получил статус полностью поддерживаемого компонента
• systemctl status теперь показывает более няшные сиволы юникода для обозначения статуса («●», «×», «○», «↻»)
• coredumpctl теперь может вывести дамп в формате JSON
• новая утилита systemd-cryptenroll для управления TPM2 / FIDO2 / PKCS#11 токенами
  • systemd-cryptsetup теперь поддерживает разблокировку LUKS2 с помощью вышеупомянутых токенов: см. http://0pointer.net/blog/unlocking-luks2-volumes-with-tpm2-fido2-pkcs11-security-hardware-on-systemd-248.html
• новый конфигурационный файл /etc/veritytab для настройки параметров защиты dm-verity
• поддержка протокола B.A.T.M.A.N. («Better Approach to Mobile Ad-hoc Networking») в systemd-networkd для организации беспроводных одноранговых сетей
• поддержка nftables в systemd-nspawn и systemd-networkd в дополнение к iptables
• systemd-localed теперь может вызывать locale-gen для создания отсутствующих UTF-8 локалей
• поддержка RFC5001 NSID в systemd-resolved
• новая утилита systemd-sysext для управления «системными расширениями» - файлами образов, дополняющими содержимое /usr/ или /opt/ с помощью OverlayFS: см. https://www.freedesktop.org/software/systemd/man/systemd-sysext.html
• поддержка монтирования tmpfs в качестве / с помощью новой опции ядра «root=tmpfs»
• произошло переименование master в main

И множество других изменений, исправлений и улучшений.

>>> Подробности

Новый релиз известного системного менеджера мира GNU/Linux — systemd.

В данном выпуске:

• метки (tags) udev теперь относятся к устройству, а не к событию, связанному с устройством, — это нарушает обратную совместимость, но только для того, чтобы корректно обработать нарушение обратной совместимости, внесённое ещё в ядре 4.14;
• файлы PAM для systemd-user теперь по умолчанию в /usr/lib/pam.d/ (как и должно быть с версии PAM 1.2.0) вместо /etc/pam.d/;
• зависимость (runtime) от libqrencode, libpcre2, libidn/libidn2, libpwquality, libcryptsetup теперь опциональна — в случае отсутствия библиотеки соответствующая функциональность автоматически отключается;
• systemd-repart поддерживает вывод в формате JSON;
• systemd-dissect стал официально поддерживаемой утилитой со стабильным интерфейсом, соответственно по умолчанию теперь устанавливается в /usr/bin/ вместо /usr/lib/systemd/;
• systemd-nspawn теперь использует интерфейс, описанный в https://systemd.io/CONTAINER_INTERFACE ;
• убрана недокументированная опция «ConditionNull=» для юнитов;
• добавлены новые опции юнитов;
• добавлена поддержка ключей восстановления для зашифрованных образов systemd-homed, которые (ключи, а не образы) отображаются с помощью QR-кода;
• добавлена поддержка отдельного раздела /usr в https://systemd.io/DISCOVERABLE_PARTITIONS/ и systemd-repart;

И множество других, не менее любопытных изменений.

>>> Подробности

Не нуждающийся в представлении системный менеджер для GNU/Linux подготовил очередной релиз за номером 246.

В этом выпуске:

• автоматическая загрузка правил безопасности AppArmor
• поддержка проверки шифрования диска в юнитах с помощью ConditionPathIsEncrypted=/AssertPathIsEncrypted=
• поддержка проверки переменных окружения ConditionEnvironment=/AssertEnvironment=
• поддержка проверки цифровой подписи раздела (dm-verity) в .service юнитах
• возможность передачи ключей и сертификатов через сокеты AF_UNIX без необходимости сохранения в файл
• дополнительный спецификаторы в шаблонах юнитов для различных параметров из /etc/os-release
• убрана поддержка .include из юнит файлов (была объявлена устаревшей 6 лет назад)
• убрана поддержка недокументированных вариантов syslog и syslog-console для StandardError=/StandardOutput= в юнитах - вместо этого используются современные опции journal и journal+console
• автоматические ограничения на размер всех tmpfs монтируемых самим systemd (/tmp, /run…)
• дополнительные опции для systemd из команды загрузки ядра

И многое другое -см. https://github.com/systemd/systemd/blob/master/NEWS

От себя добавлю что релиз выглядит не столь новаторским как прошлый, добавивший systemd-repart, systemd-homed и userdb. Просто множество различных улучшений, удобств и исправлений.

>>> Подробности

1 июня выпущен Devuan 3 Beowulf, который соответствует Debian 10 Buster.

Devuan является форком Debian GNU/Linux без systemd, который «предоставляет пользователю контроль над системой путём избежания излишней сложности и обеспечения свободы выбора системы инициализации».

Основные особенности:

• Основан на Debian Buster (10.4) и ядре Linux 4.19.
• Добавлена поддержка ppc64el (также поддерживаются i386, amd64, armel, armhf, arm64)
• runit может использоваться вместо /sbin/init
• openrc может использоваться вместо механизма уровней работы системы в стиле System-V sysv-rc
• eudev и elogind вынесены в отдельные демоны
• Новые обои и оформление для загрузчика, менеджера дисплеев и рабочего стола.

Также начата подготовка к следующему выпуску Devuan 4.0 Chimaera, репозитории будущей версии уже открыты.

>>> Подробности и ссылки на загрузку