Представлен релиз systemd 250 — системного менеджера GNU/Linux, распространяемого под лицензией GPLv2+.

( читать дальше... )

>>> Подробности

Вышел Devuan 4.0, форк Debian GNU/Linux, поставляемый без системного менеджера systemd. Пакетная база дистрибутива перешла на ветку Debian 11 Bullseye.

Проектом создано 400 пакетов, которые созданы для работы без systemd, ребрендинга или адаптации к особенностям инфраструктуры Devuan. Два пакета (devuan-baseconf, jenkins-debian-glue-buildenv-devuan) присутствуют только в Devuan и связаны с настройкой репозиториев и работой сборочной системы. В остальном Devuan совместим с Debian, за исключением ПО, требующего Systemd в обязательном порядке, и может использоваться для создания дистрибутивов без systemd. Пакеты Devuan доступны на packages.devuan.org

Рабочий стол по умолчанию — Xfce с дисплейным менеджером Slim. Поддерживается установка KDE, MATE, Cinnamon, LXQT, LXDE. По умолчанию в качестве инициализатора используется Sysvinit, доступны OpenRC и Runit. Предусмотрена возможность отвязки от D-Bus, которая позволяет создавать минималистичные конфигурации рабочего стола на базе оконных менеджеров blackbox, fluxbox, fvwm, fvwm-crystal и openbox. Для настройки сети предлагается вариант конфигуратора NetworkManager, не привязанный к systemd. Вместо Systemd-udev используется форк eudev из Gentoo. В Xfce и Mate для управление сеансами используется ConsoleKit, в остальных случаях - Elogind, вариант Logind, не привязанный к Systemd.

Новшества Devuan 4.0:

• Пакетная база - Debian Bullseye 11.1, ядро Linux - 5.10

• На выбор представлены Sysvinit, OpenRC, Runit.

• Добавлена новая тема оформления для загрузочной заставки, менеджера входа и рабочего стола.

• Реализована поддержка GDM3, SDDM помимо Slim.

• Предоставлена возможность использования без systemd всех пользовательских окружений, доступных в Debian. Добавлена поддержка LXDE.

• Для людей с проблемами со зрением предоставлена возможность голосового сопровождения процесса установки и добавлена поддержка дисплеев на базе шрифта Брайля.

>>> Подробности

Новый релиз системного менеджера GNU/Linux — systemd (лицензия GPL-v2+):

• возможность явного или автоматического выбора из нескольких root разделов в образе диска с помощью параметра --image= в systemd-nspawn, systemd-dissect и других утилитах, работающих с образами дисков

• новые опциональные параметры IMAGE_VERSION и IMAGE_ID в файле /etc/os-release

• поддержка build-id и .note.package из ELF в systemd-coredump позволяет явным образом соотнести дамп памяти с конкретным пакетом, из которого был установлен соответствующий бинарник

• поддержка UUID для событий udev, которая позволяет отслеживать конкретное событие в явном виде

• документирован сетевой протокол Journal

• домен «home.arpa» официально добавлен в качестве домена для локальных сетей согласно RFC 8375

• флаг «grow-file-system» добавлен к спецификации Discoverable Partition

• поддержка JSON с помощью интерфейса DBus и параметра командной строки в systemd-hostnamed и systemd-networkd. В дальнейшей её планируется распространить на все компоненты systemd

• автоматическое добавление хэшей паролей в shadow для пользователей systemd-homed

• поддержка добавления пользователей и групп с помощью конфигурационных файлов в формате JSON в /etc/userdb/, /run/userdb/, /run/host/userdb/ и /usr/lib/userdb/

• расширение механизма зависимостей с помощью неконфигурируемых автоматических обратных зависимостей (OnSuccessOf для OnSuccess, UpheldBy для Upholds, OnFailureOf для OnFailure и т. п.) для упрощения отслеживания и настройки зависимостей между юнитами

• по многочисленным просьбам анонимусов с LOR была документирована архитектура systemd

И множество других изменений, исправлений и улучшений.

>>> Подробности

Участник GitHub Security Lab Kevin Backhouse обнаружил уязвимость в Polkit, которая впервые появилась семь лет назад в коммите bfa5036 и с версией 0.113 попала в некоторые дистрибутивы. Она позволяет непривилегированному локальному пользователю получить права root в системе, приложив для этого минимальные усилия. Уязвимости подвержены любые дистрибутивы с установленной версией Polkit 0.113 (или более поздней). Например, такие популярные, как RHEL 8 и Ubuntu 20.04. Уязвимость была устранена 3 июня 2021 года.

Как пишет Kevin Backhouse, уязвимость очень просто эксплуатируется, для этого достаточно простых инструментов: bash, kill, и dbus-send. Кроме них, для своей статьи (PoC exploit) он так же использовал accountsservice и gnome-control-center, которые можно найти на многих системах с GUI. Следует заметить, что accountsservice и gnome-control-center не содержат уязвимость и являются просто клиентами для Polkit.

Собственно уязвимость активируется с помощью команды dbus-send (т.е. простой отправки сообщения через шину D-Bus), которую нужно завершить во время, пока Polkit ещё обрабатывает запрос. Теоретически, можно нажать Ctrl + C на клавиатуре в нужный момент, однако Kevin Backhouse не смог продемонстрировать именно такой вариант.

( читать дальше... )

>>> Подробности

Finit — простая альтернатива системам иницилизации SysV init и systemd. Он был разработан более десяти лет назад Клаудио Мацуока при помощи реверс инженеринга из EeePC fastinit. Основное внимание уделяется малым и встраиваемым системам, хотя Finit полностью работоспособен в серверных и в настольных системах.

( читать дальше... )

>>> Подробности

Новый релиз системного менеджера GNU/Linux — systemd (лицензия GPL-v2+):

• systemd-oomd добавленный в качестве экспериментального в прошлом релизе получил статус полностью поддерживаемого компонента
• systemctl status теперь показывает более няшные сиволы юникода для обозначения статуса («●», «×», «○», «↻»)
• coredumpctl теперь может вывести дамп в формате JSON
• новая утилита systemd-cryptenroll для управления TPM2 / FIDO2 / PKCS#11 токенами
  • systemd-cryptsetup теперь поддерживает разблокировку LUKS2 с помощью вышеупомянутых токенов: см. http://0pointer.net/blog/unlocking-luks2-volumes-with-tpm2-fido2-pkcs11-security-hardware-on-systemd-248.html
• новый конфигурационный файл /etc/veritytab для настройки параметров защиты dm-verity
• поддержка протокола B.A.T.M.A.N. («Better Approach to Mobile Ad-hoc Networking») в systemd-networkd для организации беспроводных одноранговых сетей
• поддержка nftables в systemd-nspawn и systemd-networkd в дополнение к iptables
• systemd-localed теперь может вызывать locale-gen для создания отсутствующих UTF-8 локалей
• поддержка RFC5001 NSID в systemd-resolved
• новая утилита systemd-sysext для управления «системными расширениями» - файлами образов, дополняющими содержимое /usr/ или /opt/ с помощью OverlayFS: см. https://www.freedesktop.org/software/systemd/man/systemd-sysext.html
• поддержка монтирования tmpfs в качестве / с помощью новой опции ядра «root=tmpfs»
• произошло переименование master в main

И множество других изменений, исправлений и улучшений.

>>> Подробности

Новый релиз известного системного менеджера мира GNU/Linux — systemd.

В данном выпуске:

• метки (tags) udev теперь относятся к устройству, а не к событию, связанному с устройством, — это нарушает обратную совместимость, но только для того, чтобы корректно обработать нарушение обратной совместимости, внесённое ещё в ядре 4.14;
• файлы PAM для systemd-user теперь по умолчанию в /usr/lib/pam.d/ (как и должно быть с версии PAM 1.2.0) вместо /etc/pam.d/;
• зависимость (runtime) от libqrencode, libpcre2, libidn/libidn2, libpwquality, libcryptsetup теперь опциональна — в случае отсутствия библиотеки соответствующая функциональность автоматически отключается;
• systemd-repart поддерживает вывод в формате JSON;
• systemd-dissect стал официально поддерживаемой утилитой со стабильным интерфейсом, соответственно по умолчанию теперь устанавливается в /usr/bin/ вместо /usr/lib/systemd/;
• systemd-nspawn теперь использует интерфейс, описанный в https://systemd.io/CONTAINER_INTERFACE ;
• убрана недокументированная опция «ConditionNull=» для юнитов;
• добавлены новые опции юнитов;
• добавлена поддержка ключей восстановления для зашифрованных образов systemd-homed, которые (ключи, а не образы) отображаются с помощью QR-кода;
• добавлена поддержка отдельного раздела /usr в https://systemd.io/DISCOVERABLE_PARTITIONS/ и systemd-repart;

И множество других, не менее любопытных изменений.

>>> Подробности

Не нуждающийся в представлении системный менеджер для GNU/Linux подготовил очередной релиз за номером 246.

В этом выпуске:

• автоматическая загрузка правил безопасности AppArmor
• поддержка проверки шифрования диска в юнитах с помощью ConditionPathIsEncrypted=/AssertPathIsEncrypted=
• поддержка проверки переменных окружения ConditionEnvironment=/AssertEnvironment=
• поддержка проверки цифровой подписи раздела (dm-verity) в .service юнитах
• возможность передачи ключей и сертификатов через сокеты AF_UNIX без необходимости сохранения в файл
• дополнительный спецификаторы в шаблонах юнитов для различных параметров из /etc/os-release
• убрана поддержка .include из юнит файлов (была объявлена устаревшей 6 лет назад)
• убрана поддержка недокументированных вариантов syslog и syslog-console для StandardError=/StandardOutput= в юнитах - вместо этого используются современные опции journal и journal+console
• автоматические ограничения на размер всех tmpfs монтируемых самим systemd (/tmp, /run…)
• дополнительные опции для systemd из команды загрузки ядра

И многое другое -см. https://github.com/systemd/systemd/blob/master/NEWS

От себя добавлю что релиз выглядит не столь новаторским как прошлый, добавивший systemd-repart, systemd-homed и userdb. Просто множество различных улучшений, удобств и исправлений.

>>> Подробности

1 июня выпущен Devuan 3 Beowulf, который соответствует Debian 10 Buster.

Devuan является форком Debian GNU/Linux без systemd, который «предоставляет пользователю контроль над системой путём избежания излишней сложности и обеспечения свободы выбора системы инициализации».

Основные особенности:

• Основан на Debian Buster (10.4) и ядре Linux 4.19.
• Добавлена поддержка ppc64el (также поддерживаются i386, amd64, armel, armhf, arm64)
• runit может использоваться вместо /sbin/init
• openrc может использоваться вместо механизма уровней работы системы в стиле System-V sysv-rc
• eudev и elogind вынесены в отдельные демоны
• Новые обои и оформление для загрузчика, менеджера дисплеев и рабочего стола.

Также начата подготовка к следующему выпуску Devuan 4.0 Chimaera, репозитории будущей версии уже открыты.

>>> Подробности и ссылки на загрузку

15 марта представлена бета-версия дистрибутива Devuan 3 Beowulf, который соответствует Debian 10 Buster.

Devuan является форком Debian GNU/Linux без systemd, который «предоставляет пользователю контроль над системой путём избежания излишней сложности и обеспечения свободы выбора системы инициализации».

Из изменений:

• Изменено поведение su. Теперь вызов по умолчанию не меняет переменную PATH. Для старого поведения теперь требуется вызывать su -.
• Если в PulseAudio нет звука, убедитесь, что в файле /etc/pulse/client.conf.d/00-disable-autospawn.conf строка #autospawn=no закомментирована.
• Firefox-ESR не требует больше PulseAudio и может работать от ALSA.

>>> Подробности

Новый релиз пожалуй самого известного из свободных системных менеджеров.

Наиболее интересные (на мой взгляд) изменения в данном выпуске:

• systemd-homed - новый компонент, позволяющий прозрачно и удобно управлять шифрованными домашними директориями, обеспечивающий переносимость (нет необходимости заботиться о разных UID на разных системах), безопасность (бэкэнд по-умолчанию LUKS) и возможность миграции на свежеустановленные системы копированием одного файла. Во всех подробностях рассказано в https://media.ccc.de/v/ASG2019-164-reinventing-home-directories
• systemd-userdb - новый компонент, без которого нельзя было реализовать предыдущий сервис. Расширяемая база данных пользователей в JSON формате, заменяющая (в светлом будущем) и дополняющая (начиная с данного релиза) формат /etc/passwd
• пространства имён для systemd-journald - теперь можно запустить отдельную копию демона журнала (со своими лимитами, политиками и т. п.) и использовать её для группы процессов
• улучшения в поддержке SELinux
• опция ProtectClock= для защиты системного времени от модификации, аналог ProtectSystem= и прочих Protect опций
• множество улучшений в systemd-networkd в плане гибкости настройки маршрутов, QoS и т. д.
• основательно переделан сайт https://systemd.io/ - теперь отличная документация сразу под рукой
• новый логотип от Тобиаса Бернарда

И множество других изменений, который наверняка пройдут незамеченными на фоне оживлённой дискуссии по поводу homed и userd :)

>>> Подробности

7 декабря 2019 года в проекте Debian перед разработчиками был поставлен на голосование вопрос о статусе систем инициализации, отличных от systemd. Варианты, из которых проекту предстояло сделать выбор:

• F: Концентрируемся на systemd
• B: Systemd, но мы поддерживаем исследование альтернативных решений
• A: Поддержка многих систем инициализации важна
• D: Поддерживаем системы, отличные от systemd, но не блокируем из-за них прогресс
• H: Поддерживаем переносимость, но не блокируем прогресс
• E: Поддержка многих систем инициализации обязательна
• G: Поддерживаем переносимость и множественные реализации интерфейсов
• Дальнейшее обсуждение

Полный текст каждой опции можно прочитать в официальном письме секретаря Debian.

Срок голосования истек в полночь по UTC 28 декабря 2019 г.

Debian использует достаточно сложную систему голосования - метод Шульце. При голосовании каждый участник ранжирует все опции в порядке личных предпочтений.

Метод Шульце удовлетворяет критерию Кондорсе: если одна из опций победила бы при попарном сравнении каждую другую, то она и объявляется выигравшей. В данном голосовании такой опцией оказалась опция B («Systemd, но мы поддерживаем исследование альтернативных решений»). Соответственно, она и стала обязательной для исполнения.

На практике это означает, что отсутствие init-скрипта в пакете с демоном более не является багом.

>>> Подробности

Среди изменений:

• новое лого;
• сервисы теперь можно привязывать к CPU через cgroup v2, т.е. поддержка cpuset cgroups v2;
• можно определить сигнал для рестарта сервиса (RestartKillSignal);
• systemctl clean теперь работает и для юнитов типа socket, mount и swap;
• systemd теперь пытается вычитывать конфигурацию из переменной EFI SystemdOptions как альтернатива изменения параметров ядра из загрузчика;
• systemd отменяет лимиты printk, чтобы уж точно схватить все логи во время загрузки (и потом применяет свои лимиты);
• добавлена поддержка загрузки настроек из директорий типа «{unit_type}.d/», чтобы применить настройки ко всем юнитам данного типа;
• в systemctl добавлено 'stop --job-mode=triggering', чтобы останавливать и зависимые юниты;
• улучшено отображение зависимостей в Unit status. Теперь показывает зависящие юниты и юниты, от которых зависит;
• очередные улучшения для работы с PAM сессиями. Добавлено ограничение общего времени жизни сессии с принудительным разлогином;
• новая группа для системных вызовов @pkey, сразу разрешает все memory syscalls для контейнеров;
• для udev добавлена программа fido_id;
• исправления в работе udev с CDROM;
• systemd-networkd больше не создает маршрут по умолчанию для сетей 169.254.0.0/16 (диапазон для автоконфигурации);
• systemd-networkd теперь может объявлять новые IPv6 маршруты;
• systemd-networkd теперь сохраняет конфигурацию DHCP при рестарте;
• добавлены новые опции в systemd DHCPv4 и DHCPv6 сервер;
• в systemd-networkd добавлены опции для трафик шейпинга;
• поддержка devicetree-overlay;
• systemd-resolved поддерживает проверку имен через GnuTLS;
• systemd-id128 теперь может генерировать UUID;
• добавлено опциональное ограничение для юнитов, не позволяющее читать им логи ядра.

>>> Подробности

Начиная с версии 3.34 GNOME полностью перешёл на инструментарий пользовательских сессий systemd. Данное изменение полностью прозрачно как для пользователей, так и для разработчиков (XDG-autostart поддерживается) — видимо, поэтому оно и прошло незамеченным на ЛОР.

Ранее только DBUS-activated запускались с помощью пользовательских сессий, а остальное делал gnome-session. Теперь от этой лишней прослойки наконец-то избавились.

Что любопытно, в процессе миграции systemd добавил новое API для удобства разработчиков GNOME – https://github.com/systemd/systemd/pull/12424

Приятно видеть, когда открытые проекты готовы к сотрудничеству и идут навстречу пожеланиям пользователей.

От себя: перешёл на KDE по несвязанным с темой новости причинам, но по-прежнему слежу за развитием проекта и искренне надеюсь, что и остальные DE последуют за GNOME в плане унификации управления сессиями.

>>> Подробности

Разработчики Nitrux сообщили о формировании первых успешно работающих сборок, которые избавились от системы инициализации systemd. После трёх месяцев внутренних экспериментов началось тестирование сборок на основе SysVinit и OpenRC. Первоначальный вариант (SysVinit) отмечен как полностью работающий, но который не рассматривается по определённым причинам. Второй вариант (OpenRC) не поддерживает GUI и подключение к сети на данный момент. В дальнейшем планируется также попробовать создать сборки с s6-init, runit и busybox-init.

Дистрибутив Nitrux построен на базе Ubuntu и развивает собственное DE Nomad, основанное на KDE (надстройка над KDE Plasma). Для установки дополнительных приложений применяется система автономных пакетов AppImage и центр установки приложений NX Software Center. Сам дистрибутив поставляется в форме одного файла и обновляется атомарным способом с помощью собственного инструментария znx. В условиях использования AppImage, отсутствия традиционного разбиения на пакеты и атомарного обновления системы, использование systemd рассматривается как слишком усложнённое решение, так как для запуска базовых компонентов дистрибутива достаточно даже наиболее простых систем инициализации.

>>> Подробности

Леннарт Поттеринг с радостью представляет вам свой новый проект под названием systemd-homed - новый компонент systemd, который призван упростить жизнь пользователей, дав им возможность легко переносить домашние каталоги. Главная фишка проекта - создание самодостаточного окружения для пользовательских данных и отделение домашних каталогов от системных настроек, что позволяет в конечном итоге получить монтируемый файл-образ с зашифрованными данными окружения, который можно быстро перенести и развернуть на любой системе.

Презентация проекта

Полное описание в PDF

>>> Подробности

Сэм Хартман, лидер проекта Debian, пытаясь разобраться в разногласиях между мэйнтейнерами пакетов elogind (интерфейс для запуска GNOME 3 без systemd) и libsystemd, вызванных конфликтом между этими пакетами и недавним отказом команды, отвечающей за подготовку релизов, включать elogind в testing-ветку, допустил возможность поддержки в дистрибутиве нескольких систем инициализации.

Если участники проекта проголосуют за диверсификацию систем инициализации, все мэйнтейнеры будут вовлечены в совместную работу по решению этой задачи, или будут назначены специальные ответственные разработчики для работы над данной проблемой, и сопровождающие больше не смогут игнорировать альтернативную систему инициализации, отмалчиваться или затягивать процесс.

>>> Подробности

Выпущено крупное обновление широко используемой системы инициализации Linux.

Примечания к выпуску

• новый инструмент systemd-network-generator
• дополнения resolctl
• поддержка определения NUMAPolicy для служб systemd
• теперь PID1 прослушивает события о нехватки памяти ядра
• диспетчер служб теперь предоставляет ресурсы ввода-вывода, используемые модулями systemd
• поддержка MACsec в сети
• пользовательские программы BPF в cgroups
• новый сервис Pstore
• устранена уязвимость systemd-resolved ― No access controls for systemd-resolved DBUS API

Systemd 243 - это большой релиз, внесенный в большинство дистрибутивов для осенних обновлений.

>>> Подробности

После четырех лет использования systemd, основанный на Debian дистрибутив Knoppix, удалил спорную систему инициализации.

В это воскресенье (18 августа *) вышла версия 8.6 популярного линукс-дистрибутива Knoppix основанного на Debian. В основе релиза лежит вышедший 9го июля Debian 10(Buster), с рядом пакетов из веток testing и unstable для обеспечения поддержки новых видеокарт. Knoppix один из первых live-CD дистрибутивов линукс и по сей день пользующийся большой популярностью среди энтузиастов.

Релиз Knoppix 8.6 - первая публичная версия дистрибутива, отказавшаяся от systemd, системы инициализации разработаной Леннартом Пёттерингом из Red Hat, предназначенной заменить sysvinit. В то время как адаптация systemd была объектом для противоречий и критики, на данный момент systemd является выбором по умолчанию в мейнстриме. Используется в апстриме Knoppix - Debian; RHEL, CentOS и Fedora; openSUSE и SLES, а также в Mageia и в Arch.

( читать дальше... )

>>> Оригинал

Вышла новая systemd. Достойны отдельного упоминания (по мнению автора новости) следующие изменения:

• команды networkctl теперь поддерживают globbing
• публичный DNS от Cloudflare добавлен в список fallback DNS
• сгенерированные юниты .device (например посредством systemd-fstab-generator) теперь не цепляют соответствующий .mount в качестве автоматической зависимости (Wants=) - то есть подключённый девайс не обязательно будет примонтирован автоматически
• добавлена опция CPUQuotaPeriodSec= для задания отрезка времени по которому считается CPUQuota=
• новая опция юнитов ProtectHostname= предотвращает изменение имени хоста
• опция RestrictSUIDSGID= для запрета создания SUID/SGID файлов
• можно задать network namespace с помощью пути к файлу через опцию NetworkNamespacePath=
• можно создавать .socket юниты в определённом network namespace с помощью опций PrivateNetwork= и JoinsNamespaceOf=
• возможность активировать .timer юниты при изменении системного времени или часового пояса с помощью опций OnClockChange= и OnTimezoneChange=
• опция –show-transaction для ‘systemctl start’ позволяющая просмотреть что именно потребуется для активации данного юнита
• поддержка L2TP туннелей в systemd-networkd
• поддержка раздела XBOOTLDR (Extended Boot Loader) в sd-boot и bootctl монтируемого в /boot в дополнение к ESP (монтируемого в /efi или /boot/efi)
• busctl может генерировать сигналы dbus
• systemctl позволяет перезагрузку в определённую ОС (если загрузчик такое поддерживает)

И множество других любопытных новшеств и исправлений.

>>> Подробности