LINUX.ORG.RU

152
Всего сообщений: 1644

systemd 247

Группа Linux General

Новый релиз известного системного менеджера мира GNU/Linux — systemd.

В данном выпуске:

  • метки (tags) udev теперь относятся к устройству, а не к событию, связанному с устройством, — это нарушает обратную совместимость, но только для того, чтобы корректно обработать нарушение обратной совместимости, внесённое ещё в ядре 4.14;
  • файлы PAM для systemd-user теперь по умолчанию в /usr/lib/pam.d/ (как и должно быть с версии PAM 1.2.0) вместо /etc/pam.d/;
  • зависимость (runtime) от libqrencode, libpcre2, libidn/libidn2, libpwquality, libcryptsetup теперь опциональна — в случае отсутствия библиотеки соответствующая функциональность автоматически отключается;
  • systemd-repart поддерживает вывод в формате JSON;
  • systemd-dissect стал официально поддерживаемой утилитой со стабильным интерфейсом, соответственно по умолчанию теперь устанавливается в /usr/bin/ вместо /usr/lib/systemd/;
  • systemd-nspawn теперь использует интерфейс, описанный в https://systemd.io/CONTAINER_INTERFACE ;
  • убрана недокументированная опция «ConditionNull=» для юнитов;
  • добавлены новые опции юнитов;
  • добавлена поддержка ключей восстановления для зашифрованных образов systemd-homed, которые (ключи, а не образы) отображаются с помощью QR-кода;
  • добавлена поддержка отдельного раздела /usr в https://systemd.io/DISCOVERABLE_PARTITIONS/ и systemd-repart;

И множество других, не менее любопытных изменений.

>>> Подробности

 ,

zabbal ()

systemd 246

Группа Linux General

Не нуждающийся в представлении системный менеджер для GNU/Linux подготовил очередной релиз за номером 246.

В этом выпуске:

  • автоматическая загрузка правил безопасности AppArmor
  • поддержка проверки шифрования диска в юнитах с помощью ConditionPathIsEncrypted=/AssertPathIsEncrypted=
  • поддержка проверки переменных окружения ConditionEnvironment=/AssertEnvironment=
  • поддержка проверки цифровой подписи раздела (dm-verity) в .service юнитах
  • возможность передачи ключей и сертификатов через сокеты AF_UNIX без необходимости сохранения в файл
  • дополнительный спецификаторы в шаблонах юнитов для различных параметров из /etc/os-release
  • убрана поддержка .include из юнит файлов (была объявлена устаревшей 6 лет назад)
  • убрана поддержка недокументированных вариантов syslog и syslog-console для StandardError=/StandardOutput= в юнитах - вместо этого используются современные опции journal и journal+console
  • автоматические ограничения на размер всех tmpfs монтируемых самим systemd (/tmp, /run…)
  • дополнительные опции для systemd из команды загрузки ядра

И многое другое -см. https://github.com/systemd/systemd/blob/master/NEWS

От себя добавлю что релиз выглядит не столь новаторским как прошлый, добавивший systemd-repart, systemd-homed и userdb. Просто множество различных улучшений, удобств и исправлений.

>>> Подробности

 , , , ,

zabbal ()

Выпуск Devuan 3 Beowulf

Группа Debian

1 июня выпущен Devuan 3 Beowulf, который соответствует Debian 10 Buster.

Devuan является форком Debian GNU/Linux без systemd, который «предоставляет пользователю контроль над системой путём избежания излишней сложности и обеспечения свободы выбора системы инициализации».

Основные особенности:

  • Основан на Debian Buster (10.4) и ядре Linux 4.19.
  • Добавлена поддержка ppc64el (также поддерживаются i386, amd64, armel, armhf, arm64)
  • runit может использоваться вместо /sbin/init
  • openrc может использоваться вместо механизма уровней работы системы в стиле System-V sysv-rc
  • eudev и elogind вынесены в отдельные демоны
  • Новые обои и оформление для загрузчика, менеджера дисплеев и рабочего стола.

Также начата подготовка к следующему выпуску Devuan 4.0 Chimaera, репозитории будущей версии уже открыты.

>>> Подробности и ссылки на загрузку

 , , ,

gedisdone ()

Представлена бета-версия Devuan 3 Beowulf

Группа Debian

15 марта представлена бета-версия дистрибутива Devuan 3 Beowulf, который соответствует Debian 10 Buster.

Devuan является форком Debian GNU/Linux без systemd, который «предоставляет пользователю контроль над системой путём избежания излишней сложности и обеспечения свободы выбора системы инициализации».

Из изменений:

  • Изменено поведение su. Теперь вызов по умолчанию не меняет переменную PATH. Для старого поведения теперь требуется вызывать su -.
  • Если в PulseAudio нет звука, убедитесь, что в файле /etc/pulse/client.conf.d/00-disable-autospawn.conf строка #autospawn=no закомментирована.
  • Firefox-ESR не требует больше PulseAudio и может работать от ALSA.

>>> Подробности

 , , ,

gedisdone ()

systemd 245

Группа Linux General

Новый релиз пожалуй самого известного из свободных системных менеджеров.

Наиболее интересные (на мой взгляд) изменения в данном выпуске:

  • systemd-homed - новый компонент, позволяющий прозрачно и удобно управлять шифрованными домашними директориями, обеспечивающий переносимость (нет необходимости заботиться о разных UID на разных системах), безопасность (бэкэнд по-умолчанию LUKS) и возможность миграции на свежеустановленные системы копированием одного файла. Во всех подробностях рассказано в https://media.ccc.de/v/ASG2019-164-reinventing-home-directories
  • systemd-userdb - новый компонент, без которого нельзя было реализовать предыдущий сервис. Расширяемая база данных пользователей в JSON формате, заменяющая (в светлом будущем) и дополняющая (начиная с данного релиза) формат /etc/passwd
  • пространства имён для systemd-journald - теперь можно запустить отдельную копию демона журнала (со своими лимитами, политиками и т. п.) и использовать её для группы процессов
  • улучшения в поддержке SELinux
  • опция ProtectClock= для защиты системного времени от модификации, аналог ProtectSystem= и прочих Protect опций
  • множество улучшений в systemd-networkd в плане гибкости настройки маршрутов, QoS и т. д.
  • основательно переделан сайт https://systemd.io/ - теперь отличная документация сразу под рукой
  • новый логотип от Тобиаса Бернарда

И множество других изменений, который наверняка пройдут незамеченными на фоне оживлённой дискуссии по поводу homed и userd :)

>>> Подробности

 ,

zabbal ()

Завершилось голосование Debian по статусу систем инициализации

Группа Debian

7 декабря 2019 года в проекте Debian перед разработчиками был поставлен на голосование вопрос о статусе систем инициализации, отличных от systemd. Варианты, из которых проекту предстояло сделать выбор:

  • F: Концентрируемся на systemd
  • B: Systemd, но мы поддерживаем исследование альтернативных решений
  • A: Поддержка многих систем инициализации важна
  • D: Поддерживаем системы, отличные от systemd, но не блокируем из-за них прогресс
  • H: Поддерживаем переносимость, но не блокируем прогресс
  • E: Поддержка многих систем инициализации обязательна
  • G: Поддерживаем переносимость и множественные реализации интерфейсов
  • Дальнейшее обсуждение

Полный текст каждой опции можно прочитать в официальном письме секретаря Debian.

Срок голосования истек в полночь по UTC 28 декабря 2019 г.

Debian использует достаточно сложную систему голосования - метод Шульце. При голосовании каждый участник ранжирует все опции в порядке личных предпочтений.

Метод Шульце удовлетворяет критерию Кондорсе: если одна из опций победила бы при попарном сравнении каждую другую, то она и объявляется выигравшей. В данном голосовании такой опцией оказалась опция B («Systemd, но мы поддерживаем исследование альтернативных решений»). Соответственно, она и стала обязательной для исполнения.

На практике это означает, что отсутствие init-скрипта в пакете с демоном более не является багом.

>>> Подробности

 , ,

AEP ()

Выпуск systemd 244

Группа Ядро Linux

Среди изменений:

  • новое лого;
  • сервисы теперь можно привязывать к CPU через cgroup v2, т.е. поддержка cpuset cgroups v2;
  • можно определить сигнал для рестарта сервиса (RestartKillSignal);
  • systemctl clean теперь работает и для юнитов типа socket, mount и swap;
  • systemd теперь пытается вычитывать конфигурацию из переменной EFI SystemdOptions как альтернатива изменения параметров ядра из загрузчика;
  • systemd отменяет лимиты printk, чтобы уж точно схватить все логи во время загрузки (и потом применяет свои лимиты);
  • добавлена поддержка загрузки настроек из директорий типа «{unit_type}.d/», чтобы применить настройки ко всем юнитам данного типа;
  • в systemctl добавлено 'stop --job-mode=triggering', чтобы останавливать и зависимые юниты;
  • улучшено отображение зависимостей в Unit status. Теперь показывает зависящие юниты и юниты, от которых зависит;
  • очередные улучшения для работы с PAM сессиями. Добавлено ограничение общего времени жизни сессии с принудительным разлогином;
  • новая группа для системных вызовов @pkey, сразу разрешает все memory syscalls для контейнеров;
  • для udev добавлена программа fido_id;
  • исправления в работе udev с CDROM;
  • systemd-networkd больше не создает маршрут по умолчанию для сетей 169.254.0.0/16 (диапазон для автоконфигурации);
  • systemd-networkd теперь может объявлять новые IPv6 маршруты;
  • systemd-networkd теперь сохраняет конфигурацию DHCP при рестарте;
  • добавлены новые опции в systemd DHCPv4 и DHCPv6 сервер;
  • в systemd-networkd добавлены опции для трафик шейпинга;
  • поддержка devicetree-overlay;
  • systemd-resolved поддерживает проверку имен через GnuTLS;
  • systemd-id128 теперь может генерировать UUID;
  • добавлено опциональное ограничение для юнитов, не позволяющее читать им логи ядра.

>>> Подробности

 

crypt ()

GNOME перешёл на использование systemd для управления сессиями

Группа GNOME

Начиная с версии 3.34 GNOME полностью перешёл на инструментарий пользовательских сессий systemd. Данное изменение полностью прозрачно как для пользователей, так и для разработчиков (XDG-autostart поддерживается) — видимо, поэтому оно и прошло незамеченным на ЛОР.

Ранее только DBUS-activated запускались с помощью пользовательских сессий, а остальное делал gnome-session. Теперь от этой лишней прослойки наконец-то избавились.

Что любопытно, в процессе миграции systemd добавил новое API для удобства разработчиков GNOME – https://github.com/systemd/systemd/pull/12424

Приятно видеть, когда открытые проекты готовы к сотрудничеству и идут навстречу пожеланиям пользователей.

От себя: перешёл на KDE по несвязанным с темой новости причинам, но по-прежнему слежу за развитием проекта и искренне надеюсь, что и остальные DE последуют за GNOME в плане унификации управления сессиями.

>>> Подробности

 , ,

zabbal ()

Nitrux откзывается от использования systemd

Группа Linux General

Разработчики Nitrux сообщили о формировании первых успешно работающих сборок, которые избавились от системы инициализации systemd. После трёх месяцев внутренних экспериментов началось тестирование сборок на основе SysVinit и OpenRC. Первоначальный вариант (SysVinit) отмечен как полностью работающий, но который не рассматривается по определённым причинам. Второй вариант (OpenRC) не поддерживает GUI и подключение к сети на данный момент. В дальнейшем планируется также попробовать создать сборки с s6-init, runit и busybox-init.

Дистрибутив Nitrux построен на базе Ubuntu и развивает собственное DE Nomad, основанное на KDE (надстройка над KDE Plasma). Для установки дополнительных приложений применяется система автономных пакетов AppImage и центр установки приложений NX Software Center. Сам дистрибутив поставляется в форме одного файла и обновляется атомарным способом с помощью собственного инструментария znx. В условиях использования AppImage, отсутствия традиционного разбиения на пакеты и атомарного обновления системы, использование systemd рассматривается как слишком усложнённое решение, так как для запуска базовых компонентов дистрибутива достаточно даже наиболее простых систем инициализации.

>>> Подробности

 ,

Marketersandmobile ()

Релиз systemd-homed - нового компонента systemd

Группа Open Source

Леннарт Поттеринг с радостью представляет вам свой новый проект под названием systemd-homed - новый компонент systemd, который призван упростить жизнь пользователей, дав им возможность легко переносить домашние каталоги. Главная фишка проекта - создание самодостаточного окружения для пользовательских данных и отделение домашних каталогов от системных настроек, что позволяет в конечном итоге получить монтируемый файл-образ с зашифрованными данными окружения, который можно быстро перенести и развернуть на любой системе.

Презентация проекта

Полное описание в PDF

>>> Подробности

 ,

fail2ban ()

Проект Debian обсуждает возможность поддержки нескольких систем инициализации

Группа Debian

Сэм Хартман, лидер проекта Debian, пытаясь разобраться в разногласиях между мэйнтейнерами пакетов elogind (интерфейс для запуска GNOME 3 без systemd) и libsystemd, вызванных конфликтом между этими пакетами и недавним отказом команды, отвечающей за подготовку релизов, включать elogind в testing-ветку, допустил возможность поддержки в дистрибутиве нескольких систем инициализации.

Если участники проекта проголосуют за диверсификацию систем инициализации, все мэйнтейнеры будут вовлечены в совместную работу по решению этой задачи, или будут назначены специальные ответственные разработчики для работы над данной проблемой, и сопровождающие больше не смогут игнорировать альтернативную систему инициализации, отмалчиваться или затягивать процесс.

>>> Подробности

 , , ,

kekelia ()

Выпуск Systemd 243 с устранением уязвимостей

Группа Open Source

Выпущено крупное обновление широко используемой системы инициализации Linux.

Примечания к выпуску

  • новый инструмент systemd-network-generator
  • дополнения resolctl
  • поддержка определения NUMAPolicy для служб systemd
  • теперь PID1 прослушивает события о нехватки памяти ядра
  • диспетчер служб теперь предоставляет ресурсы ввода-вывода, используемые модулями systemd
  • поддержка MACsec в сети
  • пользовательские программы BPF в cgroups
  • новый сервис Pstore
  • устранена уязвимость systemd-resolved ― No access controls for systemd-resolved DBUS API

Systemd 243 - это большой релиз, внесенный в большинство дистрибутивов для осенних обновлений.

>>> Подробности

 

MaxPower ()

Knoppix после 4х лет использования отказался от systemd

Группа Linux General

После четырех лет использования systemd, основанный на Debian дистрибутив Knoppix, удалил спорную систему инициализации.

В это воскресенье (18 августа *) вышла версия 8.6 популярного линукс-дистрибутива Knoppix основанного на Debian. В основе релиза лежит вышедший 9го июля Debian 10(Buster), с рядом пакетов из веток testing и unstable для обеспечения поддержки новых видеокарт. Knoppix один из первых live-CD дистрибутивов линукс и по сей день пользующийся большой популярностью среди энтузиастов.

Релиз Knoppix 8.6 - первая публичная версия дистрибутива, отказавшаяся от systemd, системы инициализации разработаной Леннартом Пёттерингом из Red Hat, предназначенной заменить sysvinit. В то время как адаптация systemd была объектом для противоречий и критики, на данный момент systemd является выбором по умолчанию в мейнстриме. Используется в апстриме Knoppix - Debian; RHEL, CentOS и Fedora; openSUSE и SLES, а также в Mageia и в Arch.

( читать дальше... )

>>> Оригинал

 ,

trynoval ()

systemd v242

Группа Linux General

Вышла новая systemd. Достойны отдельного упоминания (по мнению автора новости) следующие изменения:

  • команды networkctl теперь поддерживают globbing
  • публичный DNS от Cloudflare добавлен в список fallback DNS
  • сгенерированные юниты .device (например посредством systemd-fstab-generator) теперь не цепляют соответствующий .mount в качестве автоматической зависимости (Wants=) - то есть подключённый девайс не обязательно будет примонтирован автоматически
  • добавлена опция CPUQuotaPeriodSec= для задания отрезка времени по которому считается CPUQuota=
  • новая опция юнитов ProtectHostname= предотвращает изменение имени хоста
  • опция RestrictSUIDSGID= для запрета создания SUID/SGID файлов
  • можно задать network namespace с помощью пути к файлу через опцию NetworkNamespacePath=
  • можно создавать .socket юниты в определённом network namespace с помощью опций PrivateNetwork= и JoinsNamespaceOf=
  • возможность активировать .timer юниты при изменении системного времени или часового пояса с помощью опций OnClockChange= и OnTimezoneChange=
  • опция –show-transaction для ‘systemctl start’ позволяющая просмотреть что именно потребуется для активации данного юнита
  • поддержка L2TP туннелей в systemd-networkd
  • поддержка раздела XBOOTLDR (Extended Boot Loader) в sd-boot и bootctl монтируемого в /boot в дополнение к ESP (монтируемого в /efi или /boot/efi)
  • busctl может генерировать сигналы dbus
  • systemctl позволяет перезагрузку в определённую ОС (если загрузчик такое поддерживает)

И множество других любопытных новшеств и исправлений.

>>> Подробности

 , ,

zabbal ()

Обнаружена уязвимость в Polkit, которая позволяет выполнять любую команду systemctl пользователю с низкими привилегиями

Группа Безопасность

Уязвимость CVE-2018-19788 присутствует на большинстве операционных систем GNU/Linux и позволяет пользователю, чей UID превышает 2147483647, выполнить любую команду systemctl, равно как и получить root-права.

Проблема существует из-за ошибки в библиотеке Polkit (другое название PolicyKit), заключающейся в неправильной проверки запросов от пользователей с UID > INT_MAX. Где INT_MAX это константа определяющая максимальное значение переменной типа int, равняющаяся 0x7FFFFFFF в шестнадцатеричной или 2147483647 в десятичной системе счисления.

Исследователь по безопасности Rich Mirch (аккаунт в Twitter 0xm1rch) представил успешно работающий эксплоит, демонстрирущий данную уязвимость. Для его корректной работы требуется наличие пользователя с идентификатором 4000000000.

В Twitter'е предлагают гораздо более простой способ получения root-прав:

systemd-run -t /bin/bash

Компания Red Hat рекомендует системным администраторам не создавать аккаунты с отрицательными значениями UID или UID превышающими 2147483647 до тех пор, пока не будет выпущен патч, исправляющий уязвимость.

>>> Подробности

 , , ,

ls-h ()

systemd 239

Группа Linux General

22 июня был представлен очередной релиз systemd — набора служебных компонентов для операционных систем на основе ядра Linux, в который (в числе прочего) входит система инициализации, служба ведения общесистемного лога (журнала), механизм управления пользовательскими сессиями и подсистема для работы с контейнерами. Система инициализации systemd основана на модели зависимостей (в противовес событийной модели upstart), включает в себя элементы супервизора на базе механизма cgroups ядра Linux, реализует концепции сокет- и dbus-активации процессов и предоставляет удобный декларативный синтаксис для описания демонов и других сущностей.

В рамках проекта также разрабатывается ряд легковесных вспомогательных программ, выполняющих второстепенные, но распространённые вспомогательные задачи — от настройки виртуальных терминалов (systemd-vconsole-setup) до управления сетью (systemd-networkd), SNTP-клиента (systemd-timesyncd) и UEFI-загрузчика (бывший gummiboot).

( читать дальше... )

>>> Объявление о релизе

 

intelfx ()

Проекты Systemd и Leechcraft объявили о своём слиянии

Группа Linux General

Проекты Systemd и Leechcraft объявили о своём слиянии. В рамках этого слияния, в Systemd появятся браузер, медиаплеер, а также RSS-, IM- и BitTorrent-клиенты.

( читать дальше... )

>>> Подробности

 ,

ZenitharChampion ()

systemd 237

Группа Linux General

Леннарт Поттеринг объявил в рассылке systemd-devel о выходе новой версии systemd 237.

Основные изменения:

  • кнопками зума некоторых клавиатур можно пользоваться как прокруткой;
  • поведение строк типа f в systemd-tmpfiles приведено в соответствии с документацией (изменение, нарушающее совместимость с предыдущими версиями);
  • journalctl наконец-то обзавелся параметром --grep;
  • добавлена поддержка переменной окружения SYSTEMD_OFFLINE, которая может перевести systemd в автономный режим (без взаимодействия с сервисным менеджером);
  • можно динамически создавать временные юниты .path и .socket по аналогии с типом mount;
  • в systemd-mount появился параметр --owner;
  • новый условный оператор ConditionControlGroupController, проверяющий доступность контроллера;
  • в юниты и файлы .link, .netdev и .network добавлена поддержка условного оператора ConditionKernelVersion;
  • systemd-networkd получил поддержку Prefix Delegation для DHCP6;
  • расширены возможности API sd-bus и sd-event;
  • долгожданная поддержка VPN WireGuard;
  • в systemd-notify добавлен параметр --uid;
  • новая команда systemd-analyze service-watchdogs для вывода состояния watchdog'ов;
  • инновационные параметры для systemd-analyze: log-level и log-target на смену устаревшим [get,set]-log-level и [get,set]-log-target;
  • в sysusers.d добавлены строки типа u для одновременного указания UID и GID.

P. S. В списке контрибьюторов замечен один из четырехзвездочных ЛОРовцев.

>>> Подробности

 ,

not_rj45 ()

systemd 236

Группа Linux General

Lennart Poettering объявил о выпуске systemd 236 в качестве окончательной версии 2017 года.

systemd основан на принципах зависимостей, производит отслеживание процессов запущенных сервисов при помощи механизма cgroups в ядре Linux, поддерживает механизмы сокет и dbus активации сервисов и предоставляет удобный декларативный синтаксис для описания демонов и других сущностей.

В этот релиз вошли, в основном, различные исправления и улучшения внутренней логики и структуры, а также расширения уже существующей функциональности.

Основные изменения:

  • Поддержка формата LUKS2 на диске для зашифрованных разделов список bootctl теперь может перечислять все доступные параметры меню загрузки.
  • Улучшенная опция cgroup.
  • Различные усовершенствования сети systemd-networkd.
  • Поддержка установки начального сопоставления клавиатуры systemd-firstboot.
  • Несколько новых аргументов командной строки systemd-resol.
  • Введен модуль modprobe.d (для модуля ядра bonding.ko).
  • Неизвестные «%» в файлах конфигурации теперь отклонены.
  • systemd-resolved теперь поддерживает новую динамику /run/systemd/resolve/stub-resolv.conf.
  • В /etc/fstab два новых варианта монтирования.
  • bootctl получил новую команду «list» для перечисления всех доступных опций загрузки.
  • systemctl получил новый переключатель -dry-run, который показывает, что будет сделано.
  • ConditionSecurity теперь может обнаружить модуль безопасности TOMOYO.
  • Ряд незначительных улучшений во всем ядре systemd.

>>> Объявление о релизе

 ,

telikan ()

Systemd 235

Группа Open Source

После трех месяцев разработки вышел релиз Systemd 235. Основные изменения:

  • Поддержка automake прекращена. В качестве сборщика используется Meson, использующий инструментарий ninja.
  • Для unit-файлов представлены опции RuntimeDirectory и RuntimeDirectoryPreserve, позволяющие определить путь к runtime-каталогу (в иерархии /run или $XDG_RUNTIME_DIR) и поведение в отношении сохранения его содержимого после остановки unit-а. Например, указание RuntimeDirectory=foobar приведёт к размещению данных в каталоге /run/foobar и удалению после завершения работы сервиса, если для него не установлена опция RuntimeDirectoryPreserve;
  • По аналогии с RuntimeDirectory для unit-ов представлены опции StateDirectory, CacheDirectory, LogsDirectory и ConfigurationDirectory, позволяющие вынести данные состояния, кэша, логов и настроек в отдельные подкаталоги в иерархиях /var/lib/, /var/cache/, /var/log/ и /etc, содержимое которых сохранится между запусками сервиса. Дополнительно добавлены вспомогательные пары опций, определяющие режим доступа к каталога - StateDirectoryMode, CacheDirectoryMode, LogsDirectoryMode, ConfigurationDirectoryMode.
  • В Systemd-Jornald реализована более агрессивное кеширование из /proc/ , а также запись в /proc/, что позволило увеличить производительность записи логов при большой нагрузке. Так как метаданные читаются в асинхронном режиме, их состояние может немного запаздывать относительно выводимых в лог записей. Владельцам SSD с TLC-памятью рекомендуется быть поосторожнее.
  • В unit-ы добавлена опция IPAccounting, при включении которой для сервиса добавляются счётчики с данными о трафике и числе пакетов. Данные о трафике можно посмотреть через «systemctl status» или «systemd-run --wait»;
  • Обеспечено сохранение в логе сведений о потреблении ресурсов CPU и трафике. Запись создаётся при каждой остановке юнита, если включены опции CPUAccounting или IPAccounting;
  • В unit-ах реализован Firewall, основанный на опциях IPAddressAllow и IPAddressDeny. Ограничения можно наложить как на входящий, так и на исходящий трафик.
  • В systemd-networkd представлена серия новых настроек, задаваемых через файлы .network: Scope (область достижимости) в секции [Address], ConfigureWithoutCarrier (игнорировать статус линка при настройке) в секции [Network], Anonymize (включение опций анонимного профиля RFC 7844) в секции [DHCP], Type (определение спецмаршрутов для направления трафика в blackhole/unreachable/prohibit) в секции [Route]. Добавлена новая секция [RoutingPolicyRule] для задания правил маршрутизации;
  • В файлы .netdev добавлены опции: Table в секции [VRF] для выбора используемой таблицы маршрутизации, Independent в секции [Tunnel] для настройки туннеля независимо от связанного с ним сетевого интерфейса, GroupForwardMask в секции [Bridge] для настройки распространение локальных сетевых кадров между портами сетевого моста;
  • В файлах .link добавлены новые режимы работы опции WakeOnLan, добавлена настройка TCP6SegmentationOffload для включения аппаратного ускорения обработки сегментов TCP/IPv6;
  • В реализацию сервера для анонса маршрутов IPv6 (Router Advertisment) добавлена поддержка отправки записей RDNSS и RDNSSL для передачи настроек DNS;
  • В systemd-nspawn добавлен флаг "--system-call-filter" для добавления и удаления элементов из применяемого по умолчанию фильтра системных вызовов. Реализована возможность определения белых списков системных вызовов с запретом всех остальных (ранее предлагались черные списки);
  • Добавлены новые фильтры групп системных вызовов: @aio, @sync, @chown, @setuid, @memlock, @signal и @timer, которые можно указывать через опцию SystemCallFilter или флаг "--system-call-filter";
  • В опцию ExecStart для unit-файлов добавлены два новых модификатора: При указании префикса "!" команда запускается без смены идентификатора пользователя/группы (без вызова setuid/setgid/setgroups). Второй модификатор "!!" идентичен "!" за исключением того, что его действие игнорируется на системах с поддержкой наследования расширенных прав (capabilities PR_CAP_AMBIENT, появились в ядре 4.3);
  • В systemd-run добавлен флаг "--pipe", при котором в вызываемый сервис systemd передаются файловые дескрипторы на STDIN/STDOUT/STDERR, что позволяет использовать его в цепочке с другими утилитами в shell с передачей данных через неименованные каналы;
  • Для каждого сервиса обеспечено поддержание счётчика перезапусков, который можно посмотреть командой «systemctl show -p NRestarts сервис».
  • Для unit-файлов реализована новая опция LockPersonality, позволяющая на лету привязать сервис к выбранному домену выполнения;
  • В поставку добавлен файл для modprobe.d, обеспечивающий переопределение параметров модуля bonding для корректного управления интерфейсом bond0 из systemd-networkd;
  • В journald.conf добавлена включенная по умолчанию настройка ReadKMsg, управляющая чтением лога ядра в systemd-journald, а также опция LineMax для задания максимального размера строки при выводе логов через STDOUT/STDERR;
  • В nss-myhostname/systemd-resolved по умолчанию обеспечена генерация DNS-записей A/AAAA для хоста «_gateway» вместо ранее применяемого имени «gateway», так как оно используется для внутренних нужд некоторых дистрибутивов (старое поведение можно вернуть во время сборки);
  • Добавлен новый целевой юнит для пользовательских сеансов: «getty-pre.target», который выполняется до консольного входа в систему;
  • Для увеличения качества энтропии в генераторе псевдослучайных числе systemd теперь при запуске каждого виртуального окружения пытается загрузить модуль ядра virtio-rng.ko;
  • В /etc/crypttab обеспечена возможность применения опции _netdev, по аналогии с /etc/fstab, для организации настройки шифрованных устройств после запуска сети; Для подключения внешних обработчиков в cryptsetup.target добавлено два целевых юнита remote-cryptsetup-pre.target и remote-cryptsetup.target, решающих те же задачи, что remote-fs.target и remote-fs-pre.target в local-fs.target;
  • В сервисы добавлена опция UnsetEnvironment, позволяющая убрать любую переменную окружения, которая в обычных условиях будет передана сервису;
  • Команды «systemctl poweroff», «systemctl reboot», «systemctl halt», «systemctl kexec» и «systemctl exit» теперь всегда выполняются в асинхронном режиме, т.е. сразу возвращают управление, не дожидаясь фактического завершения операции;
  • В systemd-resolve добавлен флаг "--reset-server-features", при указании которого очищаются и перезапрашиваются ранее полученные сведения о возможностях вышестоящих DNS-серверов. Отправка данных в лог теперь включает сведения о всех используемых DNS-серверах.

>>> Подробности

 , ,

Lowes ()