Леннарт Поттеринг объявил в рассылке systemd-devel о выходе новой версии systemd 237.

Основные изменения:

• кнопками зума некоторых клавиатур можно пользоваться как прокруткой;
• поведение строк типа f в systemd-tmpfiles приведено в соответствии с документацией (изменение, нарушающее совместимость с предыдущими версиями);
• journalctl наконец-то обзавелся параметром --grep;
• добавлена поддержка переменной окружения SYSTEMD_OFFLINE, которая может перевести systemd в автономный режим (без взаимодействия с сервисным менеджером);
• можно динамически создавать временные юниты .path и .socket по аналогии с типом mount;
• в systemd-mount появился параметр --owner;
• новый условный оператор ConditionControlGroupController, проверяющий доступность контроллера;
• в юниты и файлы .link, .netdev и .network добавлена поддержка условного оператора ConditionKernelVersion;
• systemd-networkd получил поддержку Prefix Delegation для DHCP6;
• расширены возможности API sd-bus и sd-event;
• долгожданная поддержка VPN WireGuard;
• в systemd-notify добавлен параметр --uid;
• новая команда systemd-analyze service-watchdogs для вывода состояния watchdog'ов;
• инновационные параметры для systemd-analyze: log-level и log-target на смену устаревшим [get,set]-log-level и [get,set]-log-target;
• в sysusers.d добавлены строки типа u для одновременного указания UID и GID.

P. S. В списке контрибьюторов замечен один из четырехзвездочных ЛОРовцев.

>>> Подробности

Lennart Poettering объявил о выпуске systemd 236 в качестве окончательной версии 2017 года.

systemd основан на принципах зависимостей, производит отслеживание процессов запущенных сервисов при помощи механизма cgroups в ядре Linux, поддерживает механизмы сокет и dbus активации сервисов и предоставляет удобный декларативный синтаксис для описания демонов и других сущностей.

В этот релиз вошли, в основном, различные исправления и улучшения внутренней логики и структуры, а также расширения уже существующей функциональности.

Основные изменения:

• Поддержка формата LUKS2 на диске для зашифрованных разделов список bootctl теперь может перечислять все доступные параметры меню загрузки.
• Улучшенная опция cgroup.
• Различные усовершенствования сети systemd-networkd.
• Поддержка установки начального сопоставления клавиатуры systemd-firstboot.
• Несколько новых аргументов командной строки systemd-resol.
• Введен модуль modprobe.d (для модуля ядра bonding.ko).
• Неизвестные «%» в файлах конфигурации теперь отклонены.
• systemd-resolved теперь поддерживает новую динамику /run/systemd/resolve/stub-resolv.conf.
• В /etc/fstab два новых варианта монтирования.
• bootctl получил новую команду «list» для перечисления всех доступных опций загрузки.
• systemctl получил новый переключатель -dry-run, который показывает, что будет сделано.
• ConditionSecurity теперь может обнаружить модуль безопасности TOMOYO.
• Ряд незначительных улучшений во всем ядре systemd.

>>> Объявление о релизе

После трех месяцев разработки вышел релиз Systemd 235. Основные изменения:

• Поддержка automake прекращена. В качестве сборщика используется Meson, использующий инструментарий ninja.
• Для unit-файлов представлены опции RuntimeDirectory и RuntimeDirectoryPreserve, позволяющие определить путь к runtime-каталогу (в иерархии /run или $XDG_RUNTIME_DIR) и поведение в отношении сохранения его содержимого после остановки unit-а. Например, указание RuntimeDirectory=foobar приведёт к размещению данных в каталоге /run/foobar и удалению после завершения работы сервиса, если для него не установлена опция RuntimeDirectoryPreserve;
• По аналогии с RuntimeDirectory для unit-ов представлены опции StateDirectory, CacheDirectory, LogsDirectory и ConfigurationDirectory, позволяющие вынести данные состояния, кэша, логов и настроек в отдельные подкаталоги в иерархиях /var/lib/, /var/cache/, /var/log/ и /etc, содержимое которых сохранится между запусками сервиса. Дополнительно добавлены вспомогательные пары опций, определяющие режим доступа к каталога - StateDirectoryMode, CacheDirectoryMode, LogsDirectoryMode, ConfigurationDirectoryMode.
• В Systemd-Jornald реализована более агрессивное кеширование из /proc/ , а также запись в /proc/, что позволило увеличить производительность записи логов при большой нагрузке. Так как метаданные читаются в асинхронном режиме, их состояние может немного запаздывать относительно выводимых в лог записей. Владельцам SSD с TLC-памятью рекомендуется быть поосторожнее.
• В unit-ы добавлена опция IPAccounting, при включении которой для сервиса добавляются счётчики с данными о трафике и числе пакетов. Данные о трафике можно посмотреть через «systemctl status» или «systemd-run --wait»;
• Обеспечено сохранение в логе сведений о потреблении ресурсов CPU и трафике. Запись создаётся при каждой остановке юнита, если включены опции CPUAccounting или IPAccounting;
• В unit-ах реализован Firewall, основанный на опциях IPAddressAllow и IPAddressDeny. Ограничения можно наложить как на входящий, так и на исходящий трафик.
• В systemd-networkd представлена серия новых настроек, задаваемых через файлы .network: Scope (область достижимости) в секции [Address], ConfigureWithoutCarrier (игнорировать статус линка при настройке) в секции [Network], Anonymize (включение опций анонимного профиля RFC 7844) в секции [DHCP], Type (определение спецмаршрутов для направления трафика в blackhole/unreachable/prohibit) в секции [Route]. Добавлена новая секция [RoutingPolicyRule] для задания правил маршрутизации;
• В файлы .netdev добавлены опции: Table в секции [VRF] для выбора используемой таблицы маршрутизации, Independent в секции [Tunnel] для настройки туннеля независимо от связанного с ним сетевого интерфейса, GroupForwardMask в секции [Bridge] для настройки распространение локальных сетевых кадров между портами сетевого моста;
• В файлах .link добавлены новые режимы работы опции WakeOnLan, добавлена настройка TCP6SegmentationOffload для включения аппаратного ускорения обработки сегментов TCP/IPv6;
• В реализацию сервера для анонса маршрутов IPv6 (Router Advertisment) добавлена поддержка отправки записей RDNSS и RDNSSL для передачи настроек DNS;
• В systemd-nspawn добавлен флаг "--system-call-filter" для добавления и удаления элементов из применяемого по умолчанию фильтра системных вызовов. Реализована возможность определения белых списков системных вызовов с запретом всех остальных (ранее предлагались черные списки);
• Добавлены новые фильтры групп системных вызовов: @aio, @sync, @chown, @setuid, @memlock, @signal и @timer, которые можно указывать через опцию SystemCallFilter или флаг "--system-call-filter";
• В опцию ExecStart для unit-файлов добавлены два новых модификатора: При указании префикса "!" команда запускается без смены идентификатора пользователя/группы (без вызова setuid/setgid/setgroups). Второй модификатор "!!" идентичен "!" за исключением того, что его действие игнорируется на системах с поддержкой наследования расширенных прав (capabilities PR_CAP_AMBIENT, появились в ядре 4.3);
• В systemd-run добавлен флаг "--pipe", при котором в вызываемый сервис systemd передаются файловые дескрипторы на STDIN/STDOUT/STDERR, что позволяет использовать его в цепочке с другими утилитами в shell с передачей данных через неименованные каналы;
• Для каждого сервиса обеспечено поддержание счётчика перезапусков, который можно посмотреть командой «systemctl show -p NRestarts сервис».
• Для unit-файлов реализована новая опция LockPersonality, позволяющая на лету привязать сервис к выбранному домену выполнения;
• В поставку добавлен файл для modprobe.d, обеспечивающий переопределение параметров модуля bonding для корректного управления интерфейсом bond0 из systemd-networkd;
• В journald.conf добавлена включенная по умолчанию настройка ReadKMsg, управляющая чтением лога ядра в systemd-journald, а также опция LineMax для задания максимального размера строки при выводе логов через STDOUT/STDERR;
• В nss-myhostname/systemd-resolved по умолчанию обеспечена генерация DNS-записей A/AAAA для хоста «_gateway» вместо ранее применяемого имени «gateway», так как оно используется для внутренних нужд некоторых дистрибутивов (старое поведение можно вернуть во время сборки);
• Добавлен новый целевой юнит для пользовательских сеансов: «getty-pre.target», который выполняется до консольного входа в систему;
• Для увеличения качества энтропии в генераторе псевдослучайных числе systemd теперь при запуске каждого виртуального окружения пытается загрузить модуль ядра virtio-rng.ko;
• В /etc/crypttab обеспечена возможность применения опции _netdev, по аналогии с /etc/fstab, для организации настройки шифрованных устройств после запуска сети; Для подключения внешних обработчиков в cryptsetup.target добавлено два целевых юнита remote-cryptsetup-pre.target и remote-cryptsetup.target, решающих те же задачи, что remote-fs.target и remote-fs-pre.target в local-fs.target;
• В сервисы добавлена опция UnsetEnvironment, позволяющая убрать любую переменную окружения, которая в обычных условиях будет передана сервису;
• Команды «systemctl poweroff», «systemctl reboot», «systemctl halt», «systemctl kexec» и «systemctl exit» теперь всегда выполняются в асинхронном режиме, т.е. сразу возвращают управление, не дожидаясь фактического завершения операции;
• В systemd-resolve добавлен флаг "--reset-server-features", при указании которого очищаются и перезапрашиваются ранее полученные сведения о возможностях вышестоящих DNS-серверов. Отправка данных в лог теперь включает сведения о всех используемых DNS-серверах.

>>> Подробности

На церемонии, ежегодно проходящей в рамках конференции Black Hat USA в Лас–Вегасе, объявлены победители премии Pwnie Awards 2017, присуждаемой за выдающиеся достижения либо провалы в области компьютерной безопасности.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

>>> Подробности

Основные изменения:

• Добавлена поддержка системы сборки Meson. Полный переход c autotools состоится в скором времени.
• Добавлен параметр JobRunningTimeoutUSec= для ограничения времени выполнения запущенного процесса.
• Реализованы новые варианты Condition* для проверки пользователя и группы.
• Улучшена поддержка V(X)LAN, IPv6 в systemd-networkd.
• systemd-logind теперь можно перезапускать без потери состояния (файловые дескрипторы сохраняются посредством FDSTORE).
• Исправлена уязвимость CVE-2017-1000082, связанная с неправильной обработкой имени пользователя.

В благодарностях упомянут один из пользователей linux.org.ru — intelfx.

>>> Подробности

Manjaro-Architect ISO - это альтернативный установочный образ Manjaro Linux, использующий консольный сетевой установщик Manjaro-Architect v0.8.13.

Будучи изначально экспериментом члена команды @Chrysostomus, этот проект начался как форк установщика Architect из Archlinux, с упором на некоторые продвинутые и экзотические варианты установки, которых не было в обычных ISO. Но вскоре сообщество уделило проекту больше внимания и за более 6 месяцев интенсивной разработки новый консольный установщик вырос в мощное средство для продвинутых и средних пользователей, набирая все больше популярности.

Что это?

Образ Manjaro-Architect ISO занимает менее 500MB и поставляется без графического окружения, но использует интерфейс командной строки для скачивания и установки последних доступных версий всех необходимых пакетов, что выглядит идеально для дистрибутива с роллинг-релизом.

Также этот вид установки предоставляет практически неограничнную гибкость: с его помощью можно установить как любую официальную или поддерживаемую сообществом редакцию Manjaro, так и специальную систему, настроенную индивидуально с выбором любого DE или WM. Предпочитаемые ядра и драйвера могут быть выбраны вручную или автоматически с помощью Manjaro Hardware Detection.

Manjaro-Architect поддерживает системы инициализации systemd и openrc, шифрование диска и множество файловых систем, включая LVM и btrfs.

Скачать образ можно здесь: https://manjaro.org/get-manjaro/

Туториал по установке: https://forum.manjaro.org/t/installation-with-manjaro-architect-iso/20429

>>> Подробности

Разработчик Canonical Крис Колсон сообщил об обнаружении критической уязвимости в системном менеджере systemd. Атакующий может удалённо спровоцировать переполнение буфера, что ведёт к выполнению произвольного кода.

Уязвимость, получившая идентификатор CVE-2017-9445, кроется в функции dns_packet_new из состава systemd-resolved. Особым образом сформированный DNS-ответ может привести к падению systemd-resolved, когда тот пытается получить ответ от DNS-сервера, контролируемого злоумышленником. В итоге, чрезвычайно большой ответ переполняет память, позволяя выполнить произвольный вредоносный код.

Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.

Отслеживать появление патчей в Ubuntu и Debian можно по ссылкам:

https://www.ubuntu.com/usn/usn-3341-1/

https://security-tracker.debian.org/tracker/CVE-2017-9445

>>> Подробности

Ленарт Поттеринг объявил в списке рассылки systemd-devel о новой конференции «All Systems Go!», пришедшей на смену «systemd.conf».

В отличие от предшественника, «All Systems Go!» расчитана на более широкую аудиторию, и хотя systemd останется одной из главных тем, в целом конференция ориентирована на проекты, находящиеся в основе современных дистрибутивов GNU/Linux, в частности на низкоуровневые технологии пользовательского пространства.

Конференция пройдёт 21—22 октября в Берлине. Стоимость билетов при покупке заранее составляет 25 или 150 € (включая налоги).

>>> Подробности

Из-за уязвимости в менеджере входа в систему LightDM в релизах Ubuntu начиная с 16.10 временно прекращена возможность использования гостевого сеанса.

Проблема открывает гостю доступ к чужим файлам на компьютере. Она была вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами.

>>> Подробности

Спустя две недели после выхода Devuan Jessie 1.0 RC 1, представлен второй кандидат в релизы Devuan Jessie 1.0 RC2. По словам разработчиков, теперь они на шаг ближе к первой стабильной сборке с длительным циклом поддержки.

Devuan — форк Debian, в котором вместо системного менеджера systemd используется SysVinit.

Подготовлены сборки:

• для AMD64 и i386 (minimal 305 МиБ, install 645 МиБ, live 832 МиБ);
• для ARM (Raspberry Pi 1/2/3, Banana Pi, cubieboard2, odroid, n900, Chromebook Acer и другие).

Основные изменения:

• решена проблема с цифровыми подписями в установочных и live образах;
• free и non-free прошивки теперь включены в desktop-live и minimal-live, в /root есть скрипт для удаления несвободных прошивок;
• пакеты из бэкпортов не устанавливаются автоматически;
• добавлена версия network-manager без привязки к systemd;
• новые версии reportbug, desktop-base, xfce4-panel;
• в jessie-proposed добавлены некоторые пакеты, без привязки к libsystemd0;
• из инсталлятора удалены GNOME, KDE и Cinnamon, у которых есть проблемы в работе без systemd.

>>> Подробности

Представлен кандидат в релизы Devuan Jessie 1.0, форка Debian без systemd. Если он оправдает ожидания сообщества, то будет выпущена первая стабильная сборка.

Подготовлены сборки: minimal (279 МиБ), install (645 МиБ) и live (803 МиБ) для amd64 и i386 и образы для машин с ARM.

Философией Devuan является предоставление пользователям свободы в выборе системы инициализации. Вместо systemd используется SysVinit, а в качестве стандартного окружения рабочего стола — XFCE.

>>> Подробности

В начале этого месяца после почти 4 месяцев разработки состоялся релиз systemd 233 — системного менеджера для GNU/Linux.

( Основные изменения )

>>> Подробности

Состоялся релиз системного менеджера systemd 232.

( читать дальше... )

>>> Подробности

В системном менеджере systemd выявлена локальная уязвимость. Процесс PID 1 зависает на системном вызове pause() при поступлении в сокет уведомлений systemd сообщения нулевой длины, после чего невозможно запустить/остановить демоны или выполнить «чистую» перезагрузку, а systemd-сервисы в стиле inetd перестают принимать соединения. Так как сокет уведомлений /run/systemd/notify доступен всем на запись, то любые локальные пользователи могут вызвать отказ в обслуживании на системах с systemd.

Уязвимость проявляется во всех версиях systemd, начиная, по крайней мере, с версии 209.

Атака сводится к выполнению команды

NOTIFY_SOCKET=/run/systemd/notify systemd-notify ""

>>> Подробности

На состоявшемся сегодня заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, утверждено решение по использованию в Fedora 25 по умолчанию окружения рабочего стола GNOME на базе Wayland. Несмотря на применение по умолчанию Wayland, сеанс с классическим X.Org-сервером будет оставлен в качестве опции. Напомним, что Wayland пока что оптимизирован только для встроенных видеокарт, драйверов на дискретные видеокарты не было выпущено ни Nvidia (по-прежнему экспериментальная функция до 600-ой серии), ни AMD (Catalyst по-прежнему на X.org).

>>> Подробности

Представлен выпуск системного менеджера systemd 230. Из новшеств можно отметить включение по умолчанию DNSSEС и режима чистки процессов пользователя после завершения сеанса, поддержку унифицированной иерархии cgroup, возможность настройки прокси ARP для сетевого интерфейса, новые типы юнитов generated и transient, новую команду systemctl revert и возможность создания виртуальных прямых сетевых ссылок между контейнерами.

( Основные изменения )

>>> Подробности

Обнаружилось, что на некоторых компьютерах с UEFI удаление файлов в каталоге /sys/firmware/efi/efivars, а также, как следствие, команды вроде rm -rf /sys и rm -rf --no-preserve-root / могут привести к повреждению прошивки материнской платы, после которого компьютер вообще перестаёт загружаться. Восстановить прошивку «в домашних условиях» после этого часто невозможно.

Согласно спецификации UEFI, такого не должно происходить: настройки прошивки должны просто сброситься на заводские. Однако прошивка многих материнских плат содержит ошибки.

Ошибка стала широко известной благодаря сообщению о баге в systemd (хотя это не первое сообщение об этой проблеме): так как виртуальная файловая система в /sys/firmware/efi/efivars монтируется systemd, разработчикам посоветовали монтировать её только для чтения. Леннарт Поттеринг, главный разработчик systemd, отказался это делать, отметив, что существуют программы, которые намеренно меняют настройки прошивки через этот каталог. systemd можно заставить монтировать его только для чтения, если вписать соответствующую строчку в /etc/fstab с параметром ro.

Мэттью Гэррет, специалист по безопасности CoreOS, в прошлом активный разработчик ядра Linux, поддержал решение Поттеринга и принял вину на себя как автор соответствующего кода в ядре. Он считает, что ядро должно само решать эту проблему: оно обычно содержит воркэраунды для проблем с оборудованием, в том числе для проблем с UEFI.

Пользователям GNU/Linux можно посоветовать узнать, не подвержены ли их системы этой ошибке, и быть очень осторожными при массовом удалении системных файлов. А также, при необходимости, настроить монтирование efivars только для чтения, но это может привести к неполадкам при установке GRUB, при работе efibootmgr, и systemctl --firmware-setup reboot, и, возможно, других программ.

>>> Подробности

14го октября на собрании управляющего комитета Fedora Engineering было решено, что настал момент для окончания миграции с sysVinit на systemd.

Это означает, что с момента ответвления Fedora 24 (запланировано на 2-е февраля 2016 года) все пакеты, которые используют System V инит-скрипты вместо systemd-юнитов, будут немедленно удалены. Это не касается EPEL.

Планов удалять совместимость с System V в Fedora пока нет, потому что есть необходимость поддерживать устаревшее стороннее ПО.

>>> Подробности

Представлен системный менеджер nosh, включающий набор средств для инициализации, загрузки, ведения логов, управления фоновыми процессами и терминалами. Nosh позиционируется как замена систем BSD init и NetBSD rc.d, вобравшая в себя черты таких систем, как Solaris SMF, daemontools-encore, UCSPI и средств IBM AIX по раздельному управлению системой и сервисами.

Предоставляется набор прослоек для использования команд, ставших привычных в других системах, импорта существующих конфигурационных файлов /etc/fstab, /etc/rc.conf, /etc/rc.local и /etc/ttys, а также настроек изолированных окружений Jail и PC-BSD Warden.
Система переносимая, не зависит от особенностей ядра и может применяться как в BSD-системах, так и в Linux.

Доступны возможности для определения порядка запуска сервисов, организации зависимостей между сервисами и обеспечения параллельного выполнения сервисов. Nosh уже очень близок к готовности работы вместо системы rc.d - из 157 отмеченных в плане задач остаётся выполнить 39.

>>> Подробности

Леннарт Поттеринг добавил в утилиту machinectl возможность управлять входом в систему локальным пользователям, что является главной функцией классической Unix-утилиты su уже более 30 лет. Необходимость такого шага Леннарт объяснил тем, что концепт работы su остается очень неясным, и при открытии новой сессии получается смесь старых и новых параметров окружения. Утилита machinectl призвана улучшить ситуацию, изменяя только минимально нужное количество системных свойств в новой пользовательской сессии.

Новая функциональность уже доступна в systemd 225.

Примеры использования

Видеодемонстрация

>>> Подробности