systemd 259: podpora pre musl, bezpečnosť a zmeny kľúčov

Informatec Digital » Zdroje » systemd 259: podpora pre musl, bezpečnosť a zmeny kľúčov

s systémový 259 Linuxový ekosystém opäť robí vlny, a to nie len malé. Táto verzia najpoužívanejšieho systémového frameworku v GNU/Linuxe prináša zásadné zmeny v kompatibilite, bezpečnosti a správe zdrojov, ktoré idú ďaleko za rámec jednoduchej bežnej aktualizácie. Hoci mnohé z týchto nových funkcií sú technického charakteru, majú priame dôsledky pre distribúcie, administrátorov aj pokročilých používateľov.

V tejto splátke, systemd robí kľúčový obrat otvorením dverí pre musl Ako alternatíva ku glibc sprísňuje svoje minimálne požiadavky, posilňuje svoj postoj k bezpečnému bootovaniu pomocou TPM 2.0, naďalej propaguje run0 ako náhradu za sudo a vylepšuje správanie systemd-oomd pre lepšiu kontrolu spotreby pamäte. To všetko pri zachovaní rozsiahleho a kontroverzného charakteru, ktorý projekt sprevádza už roky.

systemd, ústredný a kontroverzný prvok moderného Linuxu

Dnes, systemd je predvolený systémový framework vo väčšine distribúcií GNU/Linuxu. Všeobecné použitie: spravuje spustenie, služby, protokoly, používateľské relácie a množstvo úloh na nízkej úrovni, ktoré boli predtým rozložené medzi viaceré nástroje. Jeho filozofia integrácie stále väčšieho počtu funkcií mu dáva v rámci systému obrovský význam.

Tá schopnosť centralizovať kritické procesy, závislosti a nástroje Vyvolalo to široké prijatie, ale aj intenzívnu diskusiu v rámci komunity. Pre mnohých to zjednodušuje administratívu a štandardizuje postupy; pre iných to predstavuje jediný bod zlyhania a zložitosť, ktorú je ťažké auditovať, keďže v tom istom projekte je sústredených príliš veľa zodpovedností.

V súčasnosti je tempo vývoja niekoľkých verzií frenetické s častými vydaniami, ktoré pridávajú... nové komponenty, rozhrania a interné vylepšeniasystemd 259 do tejto línie dokonale zapadá: neprináša len drobné úpravy, ale strategické rozhodnutia, ktoré ovplyvňujú spôsob kompilácie distribúcií, spúšťania systémov a riadenia zdrojov pod tlakom.

V tomto kontexte, systemd 259 predstavuje zlomový bod v kompatibilite s knižnicami jazyka C, podpore bezpečnostného hardvéru, nástrojoch na eskaláciu privilégií a požiadavkách na platformu, čím sa ďalej upevňuje úloha systemd v srdci operačného systému.

Experimentálna podpora pre musl: zbohom monopolu glibc

Nová funkcia, ktorá získala najviac pozornosti v titulkoch, je vznik experimentálnej podpory pre muslimov v systemd 259. Doteraz bol projekt veľmi silne prepojený s glibc, referenčnou knižnicou jazyka C pre väčšinu tradičných distribúcií GNU/Linux.

musl je, zo svojej strany, a Ľahká knižnica C, vysoko cenená v minimalistických systémochPoužívajú sa aj kontajnery a distribúcie orientované na efektivitu, ako napríklad Alpine Linux a ďalšie varianty zamerané na zníženie spotreby zdrojov a plochy útoku. Vzťah medzi systemd a musl bol roky komplikovaný práve kvôli tejto závislosti od glibc.

S týmto krokom, hoci je stále v experimentálnej fáze, systemd už nie je taký exkluzívny vo svojom vzťahu s libcToto otvára reálnu možnosť kombinácie systemd s musl v prostrediach, kde sa predtým používali alternatívne init systémy alebo sa systemd úplne vyhýbal kvôli obmedzeniam kompatibility.

Príchod tejto podpory znamená významné vnútorné zmeny: bolo potrebné vykonať úpravy predpoklady kompilácie, rozhrania a volania špecifické pre glibc umožniť integráciu musl bez narušenia očakávaného správania. V krátkodobom horizonte si to vyžaduje intenzívne testovanie zo strany distribútorov a pokročilých používateľov, ale kladie to základy pre väčšiu technologickú rozmanitosť v rámci ekosystému Linuxu.

Toto hnutie tiež reaguje na historická kritika „uzavretej“ povahy systemd Pokiaľ ide o ostatné knižnice jazyka C, hoci musl v tomto kontexte ešte nie je podporovaný na rovnakej úrovni zrelosti ako glibc, skutočnosť, že sa v tomto smere pracuje, naznačuje jasnú túžbu rozšíriť obzory a znížiť rigidné závislosti od klasického GNU stacku.

Bezpečnejšie bootovanie: iba TPM 2.0 pre systemd-boot a systemd-stub

Ďalšia významná zmena v systemd 259 priamo ovplyvňuje Bezpečné spustenie v systémoch UEFIKomponenty systemd-boot (integrovaný správca zavádzania) a systemd-stub (zodpovedný za uľahčenie zavádzania v prostrediach UEFI) prestali podporovať TPM 1.2 a zameriavajú sa výlučne na TPM 2.0.

Myšlienkou tohto rozhodnutia je posilniť bezpečnosť podporou iba Verzia TPM, ktorá sa dnes považuje za najrobustnejšiu a najaktuálnejšiuTPM 2.0 ponúka vylepšené kryptografické možnosti a flexibilnejší rámec pre scenáre, ako je merané zavádzanie, overovanie integrity alebo utajenie tajomstiev prepojených so stavom systému.

Nevýhoda je jasná: tímy, ktoré sú naďalej závislé od Modul TPM 1.2 tieto funkcie nepodporuje.V praxi vás to môže prinútiť zmeniť základnú dosku alebo sa vzdať určitých funkcií zabezpečeného bootovania založených na systemd-boot a systemd-stub, ak hardvér nie je aktualizovaný.

V mnohých domácich prostrediach však Secure Boot a TPM sú zvyčajne vypnuté V inštaláciách Linuxu, a to ako kvôli pohodliu, tak aj kvôli historickým treniciam, ktoré spôsobili v oblasti kompatibility ovládačov, alternatívnych možností bootovania alebo duálnych systémov s Windowsom.

Napriek tomu, pre firemné alebo profesionálne scenáre, ktoré závisia od Zabezpečená štartovacia reťaz s TPM 2.0Táto zmena je v súlade s trendom v odvetví: zjednodušenie kódu odstránením kompatibility so staršími systémami a znížením rizík spojených so staršími kryptografickými zásobníkmi.

run0 priberá na váhe ako moderná alternatíva k sudo

Medzi nástroje, ktoré v ekosystéme systemd vzbudzujú najväčší záujem, patria run0, určený ako náhrada za sudoSudo je už desaťročia de facto štandardom pre spúšťanie príkazov so zvýšenými oprávneniami na unixových systémoch, ale jeho dizajn a konfigurácia nesú historickú zotrvačnosť.

S run0 tím systemd hľadá ponúknuť integrovanejší a kontrolovanejší prístup k eskalácii privilégiíVerzia 259 obsahuje kľúčovú novú funkciu: argument --empower, čo vám umožňuje spustiť novú reláciu so zvýšenými oprávneniami bez explicitnej zmeny na používateľa root.

Filozofia tejto možnosti spočíva v ďalšom znížení priame použitie root účtuToto sa bezpečnostné oddelenie vždy snaží vyhnúť alebo aspoň čo najviac obmedziť. Namiesto prihlasovania sa ako root alebo zneužívania privilegovaných shellov sa navrhuje model založený na zvýšených reláciách s jemnejšími kontrolami.

Nie všetky metódy správy vysokých privilégií sú však rovnaké a Skutočné prijatie run0 je stále v počiatočných fázachAdministrátori a distribútori by mali posúdiť, či je ich model pre ich scenáre vhodnejší ako sudo, berúc do úvahy audit, kompatibilitu s existujúcimi nástrojmi a zavedené prístupové politiky.

V každom prípade aktívny vývoj run0 naznačuje, že systemd Neobmedzuje sa len na koordináciu služieb, ale snaží sa pokryť viac administratívnych vrstiev. systému vrátane každodennej správy povolení, ktorá bola doteraz takmer výlučne delegovaná na externé verejné služby.

systemd-oomd: väčšia kontrola nad procesmi náročnými na pamäť

Z hľadiska stability systému, systemd 259 posilňuje úlohu systemd-oomb ako správca situácií s nedostatkom pamäteTáto súčasť je zodpovedná za reakciu na nedostatok pamäte RAM a selektívne ukončuje procesy skôr, ako celý systém zamrzne.

Najvýznamnejšou novou funkciou je pridanie vlastností OOMKills a ManagedOOMKills v servisných jednotkách. Vďaka nim je možné spočítať, koľko procesov bolo ukončených jadrom alebo samotným systemd-oomd, čo ponúka oveľa lepší prehľad o tom, ako sa riešia krízy pamäte.

Tieto informácie sú obzvlášť užitočné, keď aplikácia začína nekontrolovateľne spotrebúvať RAMČi už ide o úniky pamäte, nesprávne konfigurácie alebo neočakávané zaťaženia, sledovanie počtu zásahov mechanizmu OOM umožňuje správcom odhaliť problematické vzorce a upraviť limity skôr, ako sa situácia zopakuje.

Myšlienka je taká, že systém namiesto úplného zablokovania, selektívne eliminovať najškodlivejšie procesyzachovanie celkovej odozvy. Vďaka prístupu k týmto počítadlám zo systémových jednotiek je jednoduchšie auditovať, ktoré služby sú opakovanými príčinami kritických situácií.

Celkovo vylepšenia systemd-oomd posilňujú jasný trend: previesť automatizovaná správa zdrojov v prvej obrannej línii zoči-voči katastrofickým zlyhaniam, s podrobnejšími metrikami a menej transparentnými rozhodnutiami pre tých, ktorí systém riadia.

Ďalšie interné vylepšenia a relevantné zmeny v systemd 259

Okrem hlavných titulkov obsahuje systemd 259 množstvo Technické úpravy, ktoré spresňujú rôzne oblasti rámca a to môže zostať nepovšimnuté, ale má praktický dopad v reálnom svete.

Na jednej strane, implementácia Varlink pre komunikáciu IPC správcu služieb Rozšíril sa a teraz ponúka oveľa viac funkcií. To uľahčuje externým nástrojom a vrstvám správy interakciu so systemd bohatším a štruktúrovanejším spôsobom, čím sa lepšie využívajú interné informácie, ktoré spracováva.

Komponenty ako napríklad systemd-udevd a systemd-repart Pokiaľ ide o opätovné čítanie tabuliek oddielov na blokových zariadeniach, nový prístup je postupnejší a opatrnejší, čím sa znižuje riziko nekonzistentnosti alebo prerušení pri výmene oddielov za chodu alebo manipulácii s diskami v zložitých systémoch.

systemd-boot, okrem zmien TPM, Teraz zahŕňa rôzne úrovne protokolovaniaTo pomáha ladiť problémy so spustením a upravovať podrobnosť podľa potrieb: od tichších ukončení pre stabilné prostredia až po podrobné protokoly pre diagnostické relácie.

Ďalším zaujímavým bodom sú funkcie, ako napríklad Podpora auditu Linuxu, PAM, libacl, libblkid, libseccomp, libselinux a libmount potom sú obvinení dlopen() namiesto štandardného dynamického linkovania. Táto stratégia znižuje základnú hmotnosť binárneho súboru a umožňuje ľahšie prostredia, čo je obzvlášť užitočné v kontajneroch, kde nie je vždy potrebná celá sada knižníc.

Okrem toho, systemd-modules-load teraz načítava moduly jadra paralelneToto zrýchľuje proces bootovania na počítačoch s viacerými nakonfigurovanými modulmi. Keďže systémy obsahujú viac funkcií vo forme modulov, táto paralelizácia pomáha lepšie využívať moderné procesory.

V oblasti kryptografie, systemd-integrity-setup rozširuje svoje podporované algoritmy a teraz podporuje HMAC-SHA256, PHMAC-SHA256 a PHMAC-SHA512, čím posilňuje rozsah možností na zabezpečenie integrity citlivých údajov a konfigurácií.

Jedna zmena, ktorú si mnohí administrátori všimnú, je, že Predvolený režim ukladania denníka sa stane „trvalým“. namiesto „auto“. To znamená, že za predpokladu podpory sa protokoly štandardne uložia natrvalo na disk, čo uľahčí následné audity a diagnostiku bez nutnosti manuálnej úpravy počiatočnej konfigurácie.

Náročnejšie minimálne požiadavky: iba pre moderné platformy

Verzia 259 tiež obsahuje jasné zvýšenie minimálnych požiadaviek Toto musí systém spĺňať, aby mohol systemd bežať za podporovaných podmienok. Toto rozhodnutie posilňuje zosúladenie s modernejšími platformami.

Medzi publikovanými požiadavkami vynikajú tieto: glibc 2.34 ako minimálna verziaToto priamo vylučuje prostredia zakotvené vo veľmi starých knižniciach jazyka C. Aspoň Linux 5.10 ako verzia jadraVývojári však odporúčajú vetvu 5.14 pre výkon, ktorý viac zodpovedá aktuálnym funkciám.

V sekcii kryptografie, OpenSSL 3.0.0 sa stáva novým minimálnym štandardomToto zanecháva predchádzajúce verzie s blížiacim sa koncom cyklov podpory. Okrem toho je zásobník doplnený o závislosti ako cryptsetup 2.4.0 a libseccomp 2.4.0, ktoré sú potrebné na správne využitie funkcií šifrovania a izolácie.

systemd 259 tiež vyžaduje Python 3.9 alebo vyšší pre určité nástroje a skriptyTo znamená, že systémy so staršími vetvami Pythonu budú musieť byť aktualizované, ak chcú zachovať integrované pracovné postupy bez dodatočných záplat.

Okrem toho, základné komponenty, ako napríklad libxcrypt 4.4.0, util-linux 2.37 a ďalšie používateľské knižniceToto všetko je zamerané na zjednotenie technologickej základne na verziách, ktoré zaručujú bezpečnosť a konzistentnosť so zvyškom ekosystému.

Ako vedľajší účinok tieto požiadavky Môžu obmedziť prijatie systemd 259 v starý hardvér alebo veľmi konzervatívne rozdeleniaZároveň však zjednodušujú údržbu kódu a znižujú potrebu prenášať kompatibilitu so zastaranými API.

Vplyv na distribúciu a koncového používateľa

V praxi pre väčšinu používateľov stolových počítačov Aktualizácia systemd zvyčajne nie je kritickým momentom.V distribúciách s bodovým vydaním (typické tie, ktoré sa pravidelne aktualizujú s veľkými verziami) je bežné zmraziť verziu systemd počas celého jej životného cyklu, s výnimkou dôležitých bezpečnostných alebo stabilizačných záplat.

Tí, ktorí uprednostňujú vždy majte najnovšiu verziu frameworku Zvyčajne sa rozhodujú pre postupne vydávané distribúcie, ako napríklad Arch Linux alebo openSUSE Tumbleweed, kde systemd 259 dorazí relatívne skoro a rýchlo sa integruje do aktualizačného toku.

Ďalšie projekty, ako napr. Fedora dodržiava politiku zachovania rovnakej hlavnej verzie systemd. počas životnosti každej stabilnej edície, čo poskytuje väčšiu predvídateľnosť výmenou za mierne zaostávanie za najnovšou surovou verziou.

Medzitým, vesmír odvodených distribúcií, ako napríklad Linux Mint alebo jeho varianty založené na Ubuntu LTS, Má tendenciu synchronizovať sa s rytmom základu, na ktorom je postavený.Napríklad Linux Mint 22.3 obsahuje systemd 255 a neprijíma okamžite verziu 259, pričom uprednostňuje stabilitu pred pretekmi o najnovšiu verziu.

Pre nepokojných administrátorov a tých, ktorí sú nadšení novým vývojom, existuje vždy možnosť Otestujte systemd 259 v testovacích prostrediach alebo na dynamických distribúciách, vyhodnotenie kompatibility, vplyvu na kľúčové služby a správania sa s konkrétnym hardvérom pred zvážením migrácií v produkčnom prostredí.

Linux Mint 22.3 ako kontrast: stabilita verzus špička

Ako protiklad stojí za to pozrieť sa na Linux Mint 22.3 „Zena“Toto slúži ako jasný príklad toho, ako niektoré distribúcie uprednostňujú stabilitu, zatiaľ čo ekosystém systemd sa neustále vyvíja nezávisle. Táto verzia je prezentovaná ako najnovšia aktualizácia v aktuálnej sérii a odporúča sa všetkým typom používateľov so zaručenou podporou do apríla 2029.

Mincovňa 22.3 je založená na Ubuntu LTS s aktualizovaným, ale konzervatívnym balíkomDodáva sa s jadrom Linuxu 6.14, ktoré je okrem iného navrhnuté tak, aby ponúkalo lepšiu podporu pre najnovšiu generáciu procesorov AMD. Obsahuje tiež systemd 255 a Mesa 25, čím vytvára moderné prostredie bez rizika spojeného s aktualizáciou na najnovšiu verziu jednotlivých komponentov.

Distribúcia sa zameriava predovšetkým na vylepšiť zážitok z práce na počítačiHlavné rozhranie Cinnamon 6.6 sa vyznačuje prepracovaným, modernejším a flexibilnejším menu aplikácií so zaoblenými rohmi a bočným panelom, ktorý zoskupuje používateľské skratky, umiestnenia a obľúbené aplikácie. Kategórie ustupujú do úzadia, aby sa samotným aplikáciám dávala priamejšia dôležitosť.

Toto menu nielen zmení svoj vzhľad, ale Podlieha dôkladnému internému preskúmaniuVďaka modernejšiemu kódu, ktorý zlepšuje navigáciu pomocou klávesnice, obnovovanie obsahu a budúcu údržbu, je cieľom, aby používatelia mali plynulejší zážitok a aby projekt mal ľahšie sa vyvíjajúci základ.

Okrem toho mäta posilňuje podpora rozložení klávesnice a metód vstupuToto zjednocuje spracovanie tradičných návrhov a metód založených na IBus. Týmto spôsobom je možné kombinovať rozloženia XKB s komplexnými metódami, napríklad pre japončinu alebo čínštinu, čo je dôležité vo viacjazyčnom prostredí.

Všetka táto práca je v súlade s budúcou stratégiou spoločností Mint and Cinnamon: zabezpečiť plnú kompatibilitu s WaylandomDoteraz bola podpora klávesnice vo Waylande dosť obmedzená, ale v tejto verzii fungujú štandardné rozloženia aj metódy vstupu správne a klávesnica na obrazovke bola natívne prepísaná, čím sa odstránili externé závislosti.

Napriek tomuto pokroku, Cinnamon stále štandardne beží na X11, hoci ponúka... experimentálne sedenie s Waylandom čo sa zatiaľ neodporúča pre produkčné prostredia. Táto relácia však slúži ako testovacie prostredie pre vylepšenia správcu okien Muffin a ďalších kľúčových komponentov.

Pracovná plocha je doplnená vylepšeniami správcu súborov Nemo 6.6, ktorý Pridáva komplexnejší správca šablón.Umožňuje pozastaviť a obnoviť operácie so súbormi, spresňuje presnosť vyhľadávania a zlepšuje prácu s miniatúrami a rozdelenými panelmi. Taktiež prináša jasnejšie vizuálne indikátory čakajúcich oznámení a intuitívnejší applet na prepínanie pracovných priestorov.

K tomu sa pridávajú malé úpravy v celom systéme: applet nočného svetla s viacerými možnosťami, vylepšeniami čiastočného škálovania, viacerými možnosťami konfigurácie v selektore Alt-Tab a selektorom tém preorganizovaným podľa rodín a variantov, navrhnutým pre zjednodušenie prispôsobenia vzhľadu.

Keďže Mint 22.3 uzatvára svoj cyklus a pripravuje sa pôda pre Linux Mint 23, založený na pripravovanom Ubuntu 26.04 LTS, je kontrast so systemd 259 zrejmý: Systémový rámec napreduje závratným tempom., zatiaľ čo stabilné rozdelenia orientácie starostlivo vyberajú, ktoré technologické skoky integrovať v danom čase.

So všetkými týmito prvkami na stole, systemd 259 predstavuje dôležitý míľnik vo vývoji init a service manageru.Prelomenie výlučnej závislosti na glibc, sprísnenie zabezpečenia pomocou TPM 2.0, zdokonalenie nástrojov ako run0 a systemd-oomd a zvýšenie latky požiadaviek na prispôsobenie sa súčasnému Linuxu. Tí, ktorí chcú naplno využiť všetky tieto nové funkcie, budú musieť investovať do kompatibilných platforiem a hardvéru, zatiaľ čo konzervatívnejšie distribúcie si budú naďalej určovať vlastné tempo, aby vyvážili stabilitu, dlhodobú podporu a postupné zavádzanie týchto funkcií.

Súvisiaci článok:

Administrácia systému Linux: Kompletný sprievodca pre systémových administrátorov