Megjelent a Systemd 258 – fontos újdonságok és változások a Linux rendszergazdák számára

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A Linux rendszerek egyik alapvető komponense, a Systemd új kiadással jelentkezett. A v258 számos olyan változást tartalmaz, amelyre a rendszergazdáknak és a disztribúciók készítőinek is oda kell figyelniük – a régi komponensek eltávolításától kezdve a biztonsági szigorításokon át az új szolgáltatásokig.

Elbúcsúzott a cgroup v1

A kiadás egyik legfontosabb lépése a cgroup v1 támogatásának megszüntetése. A Systemd mostantól kizárólag a modernebb cgroup v2 hierarchiát csatolja fel, legyen szó rendszerindításról vagy systemd-nspawn konténerekről. A régi, „legacy” és „hybrid” módok ezzel végleg a múlté lettek.

Emelkedett a minimális kernelkövetelmény

A Systemd 258 futtatásához már Linux 5.4 vagy újabb kernel szükséges, a fejlesztők szerint pedig a 5.7-es verzió az ajánlott. Az ennél régebbi disztribúciók nem lesznek kompatibilisek az új kiadással.

Biztonsági változások

  • tty/pts eszközök alapértelmezett jogosultsága 0600-ra változott (korábban 0620), ami megfelel a mesg n beállításnak, így szigorúbb hozzáférést biztosít.
  • A kriptográfiai modulok közül mostantól kizárólag az OpenSSL maradt támogatott a systemd-resolved és a systemd-importd komponensekben; a GnuTLS és a libgcrypt támogatása megszűnt.

Új szemlélet a session-kezelésben

A systemd-logind mostantól külön „light” osztályba sorolja a rendszerfeladatokat – például cron vagy FTP sessionök –, így ezek nem indítanak el teljes felhasználói szolgáltatáskezelőt, hacsak a konfiguráció másképp nem rendelkezik. A hagyományos felhasználói PAM sessionök viszont változatlanok maradnak.

Régi funkciók kivezetése

A rendszergazdáknak érdemes figyelni, hogy:

  • A System V–stílusú init szkriptek támogatása hivatalosan elavult, és a következő kiadásban (v259) el fog tűnni.
  • A /run/lock/ könyvtár, valamint az iptables támogatása a networkd és nspawn modulokban szintén a jövőben kikerül, a fejlesztők csak az nftables használatát javasolják.

Új lehetőségek és szolgáltatások

  • A PrivateUsers=full opció mostantól a teljes 32 bites UID-térképet lefedi.
  • A ProtectHostname=private beállítással az egyes unitok izolált névtérben módosíthatják saját hostnevüket.
  • Bevezették a szeletekhez (slices) tartozó konkurencialimitet, a per-szolgáltatás könyvtárkvótát, valamint az új ConditionVersion= direktívát, amely több komponens (nemcsak a kernel) verzióját tudja ellenőrizni.
  • A systemd-resolved DNS delegate zónákat kapott, a udev pedig szigorúbb szabályokat alkalmaz az OWNER=/GROUP= értékek kezelésénél.
  • A networkd több hálózati fejlesztést hoz: rövidebb IPv4 DAD (200 ms), MPLS routing, BOOTP, valamint új lehetőségek bridge-, VXLAN- és HSR-eszközökhöz.

Fejlesztések az indítási folyamatban

A systemd-boot már érti az új UKI stanzákat, és megjelent egy új segédprogram, a systemd-factory-reset, amellyel felhasználói térből is elindítható vagy megszakítható a gyári visszaállítás. A TPM2 kezelésnél megszűnt az alapértelmezett PCR7-hez kötés, a fejlesztők inkább a systemd-pcrlock megoldást ajánlják aláírt házirendekkel.

A Systemd 258 jelentős frissítés, amely egyszerre szigorítja a biztonsági alapokat, tisztítja meg a kódot a régi technológiáktól, és új lehetőségeket kínál a szolgáltatások és erőforrások finomhangolására. A rendszergazdáknak érdemes időben felkészülniük a változásokra, különösen a cgroup v1 kivezetésére és az init szkriptek jövőbeni megszűnésére.

A részletes változási napló elérhető a projekt GitHub-oldalán. Az összes főbb Linux disztribúció, mint például a Debian, a Fedora, az Ubuntu, az Arch Linux és mások a következő kiadás részeként elkezdi csomagolni ezt. A forráskódot a hivatalos GitHub oldalról szerezheted be. Ha nem vagy technomágus, akkor inkább a systemd és egyéb rendszerszintű eszközök saját fordítását, vagy nem a saját disztribúciód által előre csomagolt lehetőségein kívül való telepítését inkább ne tedd meg.