22 июня состоялся выпуск 25.06 операционой системы postmarketOS, основанной на базе Alpine Linux и предназначенной для установки на смартфоны.

Этот релиз знаменателен добавлением системы инициализации systemd, пришедшей на замену старому доброму OpenRC. Systemd задействован в сборках c GNOME Mobile, KDE Plasma Mobile и Phosh. Пакетная база приведена в соответствие с последней стабильной версией Alpine Linux 3.22.

Основные изменения:

• GNOME обновлён до версии 48, включая пакет gnome-shell-mobile 48.mobile.0.

• KDE Plasma Mobile обновлена до версии 6.3.5.

• Phosh обновлён до версии 0.47.0.

• Добавлен новый установщик os-installer, с помощью которого возможно установить ОС на любой компьютер.

• Добавлен пакет mobile-config-thunderbird, с помощью которого можно превратить привычный настольный Thunderbird в версию для мобильного телефона.

• Пакет openssh-client больше не входит в стандартную поставку, и его в случае необходимости нужно устанавливать вручную с помощью пакетного менеджера.

• Добавлена поддержка новых устройств (которых всего поддерживается на текущий момент 57):

  • Google Pixel 3A XL

  • Motorola Moto G5 Plus

  • Xiaomi Redmi 7

  • Xiaomi Mi 9T / Redmi K20

  • Xiaomi POCO X3 NFC

  • Xiaomi Mi Pad 5 Pro

• Исправлены различные баги и уязвимости.

>>> Скачать последнюю версию под свой девайс

>>> Подробности

Как известно в большинстве современных дистрибутивов системой GNU/Linux управляет systemd, а вот управление самим systemd до сих пор сводилось к вдумчивому чтению документации и набиванию команд. Олдскульно, но не слишком удобно.

Теперь наконец появился новый, интерактивный способ управления systemd от проекта ISD — Interactive SystemD, публичный релиз 0.2.0 которого состоялся на прошлой неделе.

Фактически это TUI, позволяющий управлять как системным, так и пользовательским экземпляром systemd в интерактивном режиме: просматривать и изменять состояние сервисов, просматривать их логи и т. д.

При этом уже поддерживаются темки — посмотреть демо-ролики можно по ссылке с документацией проекта.

Исходники доступны на GitHub под GPLv3.

>>> ISD

Вышла новая версия свободного системного менеджера systemd.

Нововведения:

• Изменения, нарушающие обратную совместимость:

  • Переработана логика обработки ключа --purge компонента systemd-tmpfiles: теперь удалению подвержены только те пути из tmpfiles.d/, которые помечены флагом $.

  • Поддержка cgroup v1 по-умолчанию отключена; для того, чтобы принудительно включить ее, нужно передать systemd параметр SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE=1 через командную строку ядра.

  • Символические ссылки /dev/disk/by-id/nvme-*, для которых не указан NVMe неймспейс, теперь указывают на неймспейс 1; ссылка не будет создана, если неймспейс 1 не существует.

( читать дальше... )

>>> Подробности

Cвободный (GPLv2+) системный менеджер GNU/Linux порадовал поклонников очередным релизом.

( читать дальше... )

>>> Подробности

Разработчик Debian Лука Боккасси анонсировал переход Debian к использованию tmpfs в /tmp и к очистке /tmp и /var/tmp по таймеру по умолчанию, начиная с Debian 13 “Trixie”.

В новых системах файлы в /tmp будут либо исчезать вместе с прежним экземпляром tmpfs в памяти после рестарта, либо будут удаляться ежедневно по таймеру, если они старше 10 дней, а файлы в /var/tmp будут удаляться только ежедневно по таймеру, если они старше 30 дней. Пакеты openssh и tmux были модифицированы с целью сохранения своих временных файлов в /var/tmp в качестве исключения. В системах, которые будут обновляться до Debian 13 “Trixie”, старое поведение /var/tmp сохранится.

В то время, как в большинстве других дистрибутивов давно перешли на использование tmpfs в /tmp, в Debian не спешили этого делать. Сейчас разработчики Debian (Michael Biebl и Luca Boccassi) возобновили одну из таких дискуссий 2020 года, в которой разработчик из Canonical (Eric Desrochers) пожаловался на проблему несоответствия тогдашней реализации /var/tmp в Debian тому, как работает systemd, несмотря на то, что патч был опубликован ещё в 2012 году. Таким образом, было принято решение привести поведение системы при работе с этими директориями к общепринятому в systemd и в большинстве других дистрибутивов.

>>> Подробности

Леннарт Поттеринг, главный разработчик systemd, объявил на своём канале Mastodon о своей новой инициативе: команде run0, призванной заменить sudo в деле повышения привилегий пользователя. Планируется, что run0 войдёт в состав systemd 256.

( читать дальше... )

>>> Подробности

5го марта разработчики postmarketOS, дистрибутива Linux для смартфонов, основанного на Alpine Linux, объявили о добавлении в него поддержки системного менеджера systemd вместо использовавшегося ранее OpenRC.

( читать дальше... )

>>> Подробности

В OpenSUSE Tumbleweed (пока в качестве опции) вводится поддержка загрузчика systemd-boot как альтернативы GNU GRUB. По официальной версии разработчиков, переход на Systemd-Boot даст возможность повысить скорость загрузки и усилить безопасность загрузочного процесса. Разработчики также ожидают, что переход на systemd-boot даст упрощение и повышение эффективности работы с полнодисковым шифрованием, а также упростит работу со снапшотами в файловой системе Btrfs.

Следует иметь в виду, что systemd-boot не поддерживает Master Boot Record. Если в будущем systemd-boot останется единственным вариантом загрузки, запустить OpenSUSE на старых ПК без эмулятора UEFI, вроде Clover, будет невозможно.

>>> Подробности

Вышла новая версия свободного системного менеджера systemd.

Изменения, нарушающие обратную совместимость:

• Теперь монтирование отдельного раздела /usr/ поддерживается только на этапе initramfs.

• Опции SuspendMode=, HibernateState= и HybridSleepState= из секции [Sleep] в systemd-sleep.conf объявлены устаревшими и не оказывают влияния на поведение системы.

( читать дальше... )

>>> Что нового (GitHub)

Релиз системного менеджера systemd версии 254.

Некоторые изменения:

• В systemctl добавлена новая команда list-paths, которая выводит список всех активных .path юнитов

• Механизм soft reboot и команда systemctl soft-reboot. В отличие от обычной перезагрузки, soft reboot перезагружает только userspace. За счет отсутствия необходимости заново инициализировать оборудование и загружать ядро этот механизм позволяет уменьшить время простоя при обновлении

• Опция StartupMemoryMax и другие параметры, ограничивающие потребление памяти при инициализации демона

• Супервизор теперь может формировать очередь POSIX-сигналов для демона, используя вызов sigqueue()

• systemctl поддерживает опцию –when= для команд перезагрузки или выключения (poweroff, halt, reboot, etc). Это позволяет назначить время срабатывания команды в стиле классической команды shutdown.

• Новая опция RestartMode, определяющая поведение юнита при аварийном завершении и перезапуске. Если RestartMode=direct, systemd не будет уведомлять зависимые юниты, пока не перезапустит демон, либо не изменит его статус на failed, если все попытки активировать его заново оказались безуспешны

• Для .service файлов добавлена логическая опция RootEphemeral. Если RootEphemeral=true, systemd создает временную копию образа диска или системных файлов на корневом разделе. После завершения работы демона эта копия удаляется. По возможности используется рефлинки[Примечание 1] (XFS/btrfs) или снапшоты (btrfs)

Также разработчики предупреждают, что некоторые функции помечены как устаревшие (deprecated) и будут удалены в версии 255 или позже:

• Версия 255 не будет поддерживать монтирование раздела /usr на позднем этапе загрузки системы. Рекомендуется монтировать /usr на этапе initramfs

• В 2024 году разработчики планируют удалить поддержку cgroups v1

• Поддержка скриптов SysVinit будет удалена в следующем релизе

• Устаревшей так же помечена переменная SystemdOptions. bootctl systemd-efi-options будет выводить предупреждение

Примечание 1: Рефлинки в XFS

>>> NEWS на GitHub

Cвободный (GPLv2+) системный менеджер GNU/Linux породил очередной релиз и, опосредовано, новость для LOR.

В данной версии:

• мультикаст DNS включён по умолчанию на всех интерфейсах
• утилита ukify для работы с UKI (Unified Kernel Image)
• опция юнита LogFilterPatterns= для фильтрации логов юнита с помощью регулярных выражений
• опция юнита OpenFile= позволяющая открыть произвольный файл (или unix-сокет) и передать файловый дескриптор процессу, запущенному юнитом
• systemd-boot напрямую инициализирует RNG ядра
• systemd-dissect обзавёлся опцией --discover для поиска DDI (Discoverable Disk Images)
• hostnamectl показывает время окончания поддержки ОС, используя данные из /etc/os-release
• systemd-sysusers автоматически создаёт /etc в случае его отсутствия

Спеки для UKI, DDI и других малознакомых аббревиатур из данной новости можно почитать в UAPI Group Specifications

Кроме того, анонсировано удаление поддержки cgroup v1 и split-usr (использование отдельных каталогов /usr/lib и /lib и т.п.) до конца этого года.

В выпуске есть и множество других новшеств, достойных эмоционального комментария завсегдатаев :)

>>> Подробности

Cвободный (GPLv2+) системный менеджер GNU/Linux доставил нам очередной релиз и возможность его коллективного обсуждения.

( читать дальше... )

>>> Подробности

Компания Microsoft объявила о готовности запуска systemd в дистрибутивах для Windows с WSL. Поддержка systemd позволила упростить требования к дистрибутивам и приблизить предоставляемую в WSL среду к обычному оборудованию.

Раньше в WSL использовался предоставляемый Microsoft обработчик инициализации, запускаемый под PID 1 и обеспечивающий настройку инфраструктуры для организации взаимодействия между Linux и Windows. Теперь вместо этого обработчика может использоваться штатный systemd.

Примечание: версия WSL должна быть 0.67.6 или новее.

Предыдущая новость на ЛОР связанная с этой темой: Леннарт Поттеринг ушёл из RedHat в Microsoft

>>> Подробности

Леннарт Поттеринг (Lennart Poettering), создавший такие проекты, как Avahi (реализация протокола ZeroConf), звуковой сервер PulseAudio и системный менеджер systemd, уволился из компании Red Hat, в которой работал с 2008 года и руководил разработкой systemd. В качестве нового места работы называется компания Microsoft, деятельность Леннарта в которой также будет связана с разработкой systemd.

Компания Microsoft использует systemd в своём дистрибутиве CBL-Mariner, который развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft.

>>> Подробности (OpenNET)

Представлен релиз systemd 251 — свободного (GPLv2+) системного менеджера GNU/Linux.

Основные изменения:

• повышены требования к окружению (Linux kernel 4.15 c опцией CLOCK_BOOTTIME, С11 с расширениями GNU) - поскольку разработчики systemd тщательно заботятся об обратной совместимости, заголовочные файлы по-прежнему C89

• sd-boot сохраняет хэш командной строки ядра по-умолчанию в TPM PCR 12 вместо PCR 8 для улучшения совместимости с Grub, который активно использует данный регистр

• в Boot Loader Specification добавлен файл /loader/entries.srel с описанием формата записей в /loader/entries/directory в ESP

• юниты, прибитые systemd-oomd, получат соответствующий статус oom-kill

• множество Private*= и Protect*= опций теперь доступно и для пользовательского инстанса системного менеджера (при наличии user namespaces в системе)

• опция LoadCredential= теперь поддерживает папки /etc/credstore/, /run/credstore/, /usr/lib/credstore/ - см https://systemd.io/CREDENTIALS/

• документированы экспортные форматы journal - см. https://systemd.io/JOURNAL_EXPORT_FORMATS/

• новая команда udevadm lock позволяет получить эксклюзивный доступ к блочному устройству на время выполнения критических операций - см. https://systemd.io/BLOCK_DEVICE_LOCKING/

• добавлен юнит systemd-networkd-wait-online@<interface>.service для удобного ожидания появления сети на определённом интерфейсе

• новая опция сборки default-user-shell= позволяет задать пользовательскую оболочку в явном виде вместо окаянного bash

• сервис systemd-timesyncd обзавёлся D-Bus API

• новый (экспериментальный) сервис systemd-sysupdate для атомарного (типа A/B) обновления

И множество любопытных новшеств, заслуживающих пристального изучения экспертами ЛОР :)

>>> Подробности

Благодаря исследователям безопасности из компании Microsoft, были выявлены две уязвимости CVE-2022-29799 и CVE-2022-29800 в сервисе networkd-dispatcher, в связке позволяющие получить права root. Уязвимости было присвоено кодовое имя Nimbuspwn.

Networkd-dispatcher разрабатывается отдельно от systemd, но применяется во многих дистрибутивах Linux, использующих для настройки параметров сети фоновый процесс systemd-networkd. Связанный с networkd-dispatcher фоновый процесс выполняется с правами root и принимает сигналы о событиях через шину D-Bus. Информация о событиях, связанных с изменением состояния сетевых соединений, отправляется сервисом systemd-networkd. Проблема в том, что непривилегированные пользователи могут сформировать событие о несуществующем состоянии и инициировать запуск своего скрипта, который будет выполнен с правами root.

Кроме того, изучение работы networkd-dispatcher привело к обнаружению ряда других проблем: выход за пределы директории, гонки из-за символических ссылок и из-за модификации данных — все это может быть использовано в злонамеренных целях.

>>> Подробности

В systemd-tmpfiles выявлена уязвимость, позволяющая вызвать неконтролируемую рекурсию и отказ в обслуживании системы. Для этого во время загрузки необходимо создать в /tmp большое количество вложенных подкаталогов. Исправление в Fedora и RHEL пока на стадии тестирования, в Ubuntu и Suse уязвимость закрыта.

При создании тысяч вложенных каталогов выполнение операции systemd-tmpfiles --remove приводит к аварийному завершению из-за исчерпания стека. Обычно утилита systemd-tmpfiles в одном вызове выполняет операции удаления и создания каталогов (systemd-tmpfiles --create --remove --boot --exclude-prefix=/dev), при этом вначале выполняется удаление, а потом создание, т.е. крах на стадии удаления приведёт к тому, что не будут созданы важные для работы файлы, указанные в /usr/lib/tmpfiles.d/*.conf.

Уязвимость во Flatpak позволяет при загрузке пакета из непроверенного репозитория через манипуляции с метаданными скрыть использование повышенных прав. Еще одна уязвимость без CVE позволяет во время сборки пакета командой flatpak-builder --mirror-screenshots-url создать каталоги в ФС за пределами сборочного каталога.

>>> CVE-2021-43860

>>> CVE-2021-3997

Представлен релиз systemd 250 — системного менеджера GNU/Linux, распространяемого под лицензией GPLv2+.

( читать дальше... )

>>> Подробности

Вышел Devuan 4.0, форк Debian GNU/Linux, поставляемый без системного менеджера systemd. Пакетная база дистрибутива перешла на ветку Debian 11 Bullseye.

Проектом создано 400 пакетов, которые созданы для работы без systemd, ребрендинга или адаптации к особенностям инфраструктуры Devuan. Два пакета (devuan-baseconf, jenkins-debian-glue-buildenv-devuan) присутствуют только в Devuan и связаны с настройкой репозиториев и работой сборочной системы. В остальном Devuan совместим с Debian, за исключением ПО, требующего Systemd в обязательном порядке, и может использоваться для создания дистрибутивов без systemd. Пакеты Devuan доступны на packages.devuan.org

Рабочий стол по умолчанию — Xfce с дисплейным менеджером Slim. Поддерживается установка KDE, MATE, Cinnamon, LXQT, LXDE. По умолчанию в качестве инициализатора используется Sysvinit, доступны OpenRC и Runit. Предусмотрена возможность отвязки от D-Bus, которая позволяет создавать минималистичные конфигурации рабочего стола на базе оконных менеджеров blackbox, fluxbox, fvwm, fvwm-crystal и openbox. Для настройки сети предлагается вариант конфигуратора NetworkManager, не привязанный к systemd. Вместо Systemd-udev используется форк eudev из Gentoo. В Xfce и Mate для управление сеансами используется ConsoleKit, в остальных случаях - Elogind, вариант Logind, не привязанный к Systemd.

Новшества Devuan 4.0:

• Пакетная база - Debian Bullseye 11.1, ядро Linux - 5.10

• На выбор представлены Sysvinit, OpenRC, Runit.

• Добавлена новая тема оформления для загрузочной заставки, менеджера входа и рабочего стола.

• Реализована поддержка GDM3, SDDM помимо Slim.

• Предоставлена возможность использования без systemd всех пользовательских окружений, доступных в Debian. Добавлена поддержка LXDE.

• Для людей с проблемами со зрением предоставлена возможность голосового сопровождения процесса установки и добавлена поддержка дисплеев на базе шрифта Брайля.

>>> Подробности

Новый релиз системного менеджера GNU/Linux — systemd (лицензия GPL-v2+):

• возможность явного или автоматического выбора из нескольких root разделов в образе диска с помощью параметра --image= в systemd-nspawn, systemd-dissect и других утилитах, работающих с образами дисков

• новые опциональные параметры IMAGE_VERSION и IMAGE_ID в файле /etc/os-release

• поддержка build-id и .note.package из ELF в systemd-coredump позволяет явным образом соотнести дамп памяти с конкретным пакетом, из которого был установлен соответствующий бинарник

• поддержка UUID для событий udev, которая позволяет отслеживать конкретное событие в явном виде

• документирован сетевой протокол Journal

• домен «home.arpa» официально добавлен в качестве домена для локальных сетей согласно RFC 8375

• флаг «grow-file-system» добавлен к спецификации Discoverable Partition

• поддержка JSON с помощью интерфейса DBus и параметра командной строки в systemd-hostnamed и systemd-networkd. В дальнейшей её планируется распространить на все компоненты systemd

• автоматическое добавление хэшей паролей в shadow для пользователей systemd-homed

• поддержка добавления пользователей и групп с помощью конфигурационных файлов в формате JSON в /etc/userdb/, /run/userdb/, /run/host/userdb/ и /usr/lib/userdb/

• расширение механизма зависимостей с помощью неконфигурируемых автоматических обратных зависимостей (OnSuccessOf для OnSuccess, UpheldBy для Upholds, OnFailureOf для OnFailure и т. п.) для упрощения отслеживания и настройки зависимостей между юнитами

• по многочисленным просьбам анонимусов с LOR была документирована архитектура systemd

И множество других изменений, исправлений и улучшений.

>>> Подробности