LINUX.ORG.RU

Февральские тезисы о планах развития systemd

 ,


2

4

На прошедшей конференции FOSDEM Леннарт Поттеринг огласил некоторые перспективы развития systemd:

  • Интеграция в systemd загрузчика gummiboot, поддерживающего технологию UEFI Secure Boot.
  • machined — менеджер регистрации виртуальных машин, спроектированный под впечатлением от Solaris Zones.
  • В подсистеме nspawn и смежных с ней ожидается больше возможностей для управления контейнерами, например, journald сможет собирать логи не только с хоста, но и с контейнеров.
  • Уже в следующей версии ожидается улучшенная поддержка Btrfs (подразделы и снапшоты Btrfs планируется использовать для изоляции отдельных приложений).
  • Поддержка HiDPI и Юникода в consoled.
  • Сервис-ориентированный фаерволл: можно будет задавать правила в привязке не к номерам портов, а к именам процессов.
  • Отпадёт нужда указывать путь к юниту для systemctl-cat; systemctl-edit позволит редактировать юниты и после сохранения изменений автоматически перезапускать соответствующие сервисы.
  • nss-getmyhostname — функция для получения имени хоста на stateless-системах.
  • Утилита ping gateway позволит автоматически определить все доступные сетевые интерфейсы и проверить их статус командой ping.
  • Развитие networkd и собственной библиотеки для работы с DHCP (совместимой с dhcpv4 и dhcpv6).
  • Комбинирование nspawn и networkd позволит легко конфигурировать сеть для контейнеров.
  • Создание средств для широкого системного аудита, интегрированных в journald. Например, станет возможным логировать все системные вызовы к файлу /etc/passwd.
  • Движение в сторону stateless-систем, у которых только /usr доступен на чтение и запись, а /etc и /var будут автоматически заполняться systemd.
  • journald-remoting — удалённая работа логгера через HTTP. Поддержка в journald моделей pull и push: при pull выполняется запрос HTTP GET для получения потока JSON, а при push данные передаются в другой экземпляр journald при помощи HTTP POST.
  • Возможность определения для сервисов минимальных пространств имён и sandbox-изоляции: доступ к некоторым разделам и каталогам только на чтение, сокрытие устройств в /dev, приватный /tmp для каждого сервиса, и др.
  • timesyncd в качестве замены ntpd.
  • Автоматическое определение разделов GPT, не нуждающееся в указании их в fstab.
  • Поддержка перезапуска демонов без потери их состояния (посредством сохранения оного на диск).

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: ymn (всего исправлений: 1)
Ответ на: комментарий от smith

systemd может ограничить у студента?

Он банально проще. Меньше поводов лезть во внутрь.
Юнит файлы предельно просты и лаконичны, по сравнению с шеллскриптами из init.d.

kir2yar
()
Ответ на: комментарий от Quasar

Уверяю тебя - это ненадолго.

С чего вдруг? Оно и не надо, особенно пульс и системд.

cheez ★★★
()
Ответ на: комментарий от intelfx

ЩИТО?!?

Простите, этого пассажика я просто не вынес:

А те, кому просто нужно точное время (и не нужно его никому раздавать), вынуждены крутить на своих машинах, по сути, NTP-сервер, работающий вхолостую. Теперь они могут этого не делать.

Наждак они могут крутить. А тем, кому просто нужно точное время просто и запускали ntpdate.

В частности cat /etc/conf.d/ntp-client

NTPCLIENT_CMD=«ntpdate» NTPCLIENT_OPTS="-s -b -u \ 0.gentoo.pool.ntp.org 1.gentoo.pool.ntp.org \ 2.gentoo.pool.ntp.org 3.gentoo.pool.ntp.org"

И ни каких серверов.

Moisha_Liberman ★★
()
Ответ на: комментарий от anonymous

Во первых. Кто-то рассказывал что портянки не нужны, это дух сисвинит. В системд всё делается без подобной галиматьи - парой ключиков в юните. А тут выясняется что без них не обойтись.

Портянки и правда не нужны. Если вашему демону нужны шаманские танцы для запуска - лучше поправить демон.
Но мир не совершенный, всех не исправишь. Потому в некоторых случаях портянки таки приходится использовать.

Во вторых. Лёня не обещает сохранить текущую ситуацию. И возможно в будущем выпилит возможность использовать скрипты.

Бобер, выдыхай! Как можно выпилить возможность запуска скриптов, не выпилив возможность запуска самого сервиса?
Не, я понимаю, многие пишут на лор в измененом состоянии сознания... Но не настолько-же!

kir2yar
()
Ответ на: А я уж думал никто и не заметит )) от chemistmail

А я уж думал никто и не заметит ))

Ну конечно, задним числом все умные.

А теперь вопрос, понял глядя на скрипт или проверял на данных?

Сначала глядя, потом проверял. Ибо никому нельзя доверять, даже себе.

И коль заметил, поправь до корректного состояния.

Ты наговнокодил, ты и поправляй.

И, кстати, оцени время, затраченное на оригинальный говнокод, его исправление, тестирование… Может, поймёшь что иногда медленно, но работающие опции типа --since и --until лучше быстро работающего говнокода.

Интырпрайзные админы на лоре они такие: тяп-ляп неработающую какашку, а потом — «Ой, всё! Ну, ты понял.» Ты не первый.

debugger ★★★★★
()
Ответ на: комментарий от kir2yar

Если текущих ключиков не хватает - можно из юнита пускать скрипты


Пришли ровно к тому же что и с журналд, эти лишняя прослойка... от которой только глюки и неудобства


Многим легче сразу прям в sysvinit, а не «прям как в sysvinit» через системг ;)

anonymous
()
Ответ на: ЩИТО?!? от Moisha_Liberman

ntpdate (точнее, ntpd -q) — это единовременная синхронизация. А мы тут говорим про постоянную фоновую подстройку времени.

intelfx ★★★★★
()
Ответ на: комментарий от anonymous

Во вторых. Лёня не обещает сохранить текущую ситуацию. И возможно в будущем выпилит возможность использовать скрипты.

Гы. Так и представил!
Злобный системд заглядывает в содиржимое исполняемого файла демона и если оно начинается с «#!/bin/sh», то бьет админа током через клавиотуру, выводит пентаграму на монитор и врубает владимирский централ на все колонки!

kir2yar
()
Ответ на: комментарий от kir2yar

ты только что про запуск скриптов из юнита рассказывал, и это, судя, в т.ч. по лору далеко не единичные случаи...


или у тебя склероз?

anonymous
()
Ответ на: комментарий от anonymous

Пришли ровно к тому же что и с журналд, эти лишняя прослойка... от которой только глюки и неудобства

Да лан, вот у меня все демоны стартуют с юнит-файлов. Ни одного скриптика нет.
Если и найдется корявый демон, в корявой среде обитания, который ну просто никак не стартанет без скриптово-костыльной магии, то думаю лучше всего таки написать багрепорт автору. А пока автор не расчехлится - можно и пойти против чувства прекрасного и завернуть бедного, болезненного демоненка в простынку.

kir2yar
()
Ответ на: комментарий от kir2yar

угу.


то то intelfx всегда отмазывается - у меня не дебиан, у меня не альт... все же едино, чо ? :)

anonymous
()
Ответ на: комментарий от kir2yar

а у меня все стартует без юнит-файлов и я, сюрприз-сюрприз, тоже для этого не применял для этого скриптово-костыльную магию.


Может хватит сказки рассказывать?


Тем более без баша не обойтись

можно и пойти против чувства прекрасного и завернуть бедного, болезненного демоненка в простынку (с) kir2yar

anonymous
()
Ответ на: :) от chemistmail

Одно смущает, лень тратить свое время на это.

LOL, админ локалхоста, полдня ноющий на ЛОРе про свой баттхёрт, оказывается ценит своё время :-D :-D :-D

anonymous
()
Ответ на: комментарий от kir2yar

все же админы системд туповаты... ну не будет sh-bash в системе у тебя :) Найдет в них Леня фатальный недостаток и напишет обрубок-замену :)

anonymous
()
Ответ на: комментарий от I-Love-Microsoft

Я надеялся что проект было решено свернуть!
I-Love-Microsoft

Не дождёшься, погань проприетарная!

anonymous
()
Ответ на: комментарий от Ivan_qrt

Не понял, а причём тут юниты? Почему не менять конфиг апача?

Да он просто тупой и путает конфиги с юнитом, жеппу спальцем...

Ваш Кэп.

anonymous
()
Ответ на: комментарий от kir2yar

на вход билингу, который не редко еще и сертифицированным бывает

Ты бухой что-ли? Всё что несертифицировано биллингом не считается вообще, безо всяких «нередко».

anonymous
()
Ответ на: комментарий от smith

В то же время, эти ваши ограничения, очень сильно меня злят, так как не привык, чтобы меня ограничивали.

Мва-ха-ха, так и представляю, как ты орёшь и смешно дёргаешь ножками, гадя под себя в знак протеста против общества, ограничивающего твою способность самоиспражняться как тебе вздумается :-D

anonymous
()
Ответ на: > Почитать документацию? от chemistmail

Вслух, и желательно с выражением.

Можно и вслух, если тебе болезному так понимать проще. Можешь даже видео посмотреть. У нас гуманное общество и к слабодумающим инвалидам относятся с пониманием.

anonymous
()
Ответ на: комментарий от kir2yar

бьет админа током через клавиотуру, выводит пентаграму на монитор и врубает владимирский централ на все колонки!

Гад! Я чаем на экран со смеху прыснул!!!

anonymous
()
Ответ на: комментарий от Fenrikus

О, прикольно, а то сплошные кошкодевочки уже поднадоели :)

anonymous
()

Гм, нет ни малейшего смысла в этих тезисах, и так всё понятно. Systemd движется в сторону виндоподобного комбайна, где пытается стать основой всего, вынеся весь gnu на помойку истории.

Единственная проблема - для создания такого комбайна ядро линукса непригодно. Слишком тяжелое. Посему либо ядро менять, либо система получится отстойной.

Но ядро Лёня вскорости менять не станет - он будет ждать, пока вся выпихнутая им инфраструктура не перестанет использоваться в дистрибутивах и протухнет без поддержки. Лёня обычный офисный кукушонок с манией величия :-)

frost_ii ★★★★★
()
Ответ на: комментарий от intelfx

Да зачем она?

Если на десктопе или на той же beaglebone black, у которой как известно нет hwclock, есть только swclock, то ntpdate (именно мой вариант, выполняемый разово при старте/прогрузке системы) это то, что доктор прописал. А дальше уж тикает время, да тикает. Если уж есть сомнения, то в кроне, раз в сутки можно повторять. На серверах, кстати, если они не занимаются раздачей времени так же. «Постоянная подстройка» в таком случае... это слишком много синтаксических ошибок для словосочетания «DoS-атака на сервера ntp». ;)

Moisha_Liberman ★★
()
Ответ на: комментарий от frost_ii

Лёня обычный офисный кукушонок с манией величия :-)

То-ли дело ты - всеми уважемый разработчик, чей софт есть в каждом дистрибутиве GNU/Lniux... oh, wait!

anonymous
()
Ответ на: комментарий от frost_ii

Хорошо бы так...

А то, помнится, мы все (по большей части) с пульсой словили пятый угол. И, пока мы кое-как откачивались от Лёниных фантазий, Лёня удумал очередную диверсию. Попутно ещё и «секта свидетелей Поттеринга»сорганизовалась. Ну, чтоб ему сердешному не так одиноко было. :)))

Moisha_Liberman ★★
()
Ответ на: Да зачем она? от Moisha_Liberman

Затем, что часы постепенно накапливают ошибку. Запускать ntpd -q «в кроне раз в сутки» — это не обеспечивает требуемой в некоторых случаях точности. Но даже если забить на эту точность, ты предлагаешь тянуть весь ntpd. Пусть не в оперативной памяти, но как минимум на диске.

Как видишь, в любом случае написание отдельного легковесного SNTP-клиента оправдано. Следовательно, он имеет право на жизнь, а будешь ты им пользоваться или нет — решать тебе, но исключительно для себя.

intelfx ★★★★★
()

machined — менеджер регистрации виртуальных машин, спроектированный под впечатлением от запрещенных веществ

no comments

systemctl-cat

еще надо systemctl-grep и systemctl-sed. а затем systemctl-awk. масштабненько будет.

Движение в сторону stateless-систем, у которых только /usr доступен на чтение и запись, а /etc и /var будут автоматически заполняться systemd.
/etc и /var будут автоматически заполняться systemd (?????????!!!!!)

у меня зародился комплекс неполноценности. я-то считал, что нахожусь на вершине рейтинга генераторов наркоманского бреда. оказалось, что пальму первенства у меня уже давно спёрли ((
слоупок.жпг

сокрытие устройств в /dev, приватный /tmp для каждого сервиса

а вот это уже опасно. особенно первое. ровные пацаны из GNU Linux community такую беду врядли заапрувят.

Komintern ★★★★★
()
Ответ на: комментарий от Komintern

systemctl-cat

еще надо <...>

Не systemctl-cat, а systemctl cat. Вывод всех файлов, принадлежащих юниту (со всеми дополнениями).

/etc и /var будут автоматически заполняться systemd (?????????!!!!!)

Не "?????????!!!!!", а запуск системы с полностью пустым /etc и /var (механизм своеобразного «сброса к исходному состоянию»).

а вот это уже опасно

Чем? Тем, что веб-сервер не увидит /dev/ttyX?

ровные пацаны из GNU Linux community

Кто такие?

intelfx ★★★★★
()
Ответ на: комментарий от intelfx

Вот спасибо... :)))

Вообще-то, меня с энтим вашим сюстемд не особо спрашивают. :) Если уж на чистоту. Так что, решать для себя уже не получается. В противном случае... а отколупайте, если можно, Гнум от сюстемд? ;)

В systemd, если серьёзно, то пихают всякий кал. Это очевидно. Ну и что что я на диске могу хранить ntpd? За то я могу пользоваться клиентом, сервером (а что если у меня часы достаточно стабильны для моих задач и мне ни клиент, ни сервер не нужны)? Как видите, бывают случаи когда ни клиент ни сервер не нужны.

Понимаете, уровень инициализации системы и уровень её настройки, это вообще-то разные уровни. systemd зачем-то их норовит объединить.

Хотя... хотя я понял. Видимо, у господина Поттеринга на машине большой drift времени и его взгляд пал на ntpd, который... ну, в общем, тут и без меня много написано. Пойду лучше попкорн пожарю. :))) А Вы, если можно, то передайте господину Поттерингу что ему просто нужно поменять батарейку на системной плате. Тогда время сбиваться не будет между выключениями. И не будет бешеного дрифта. ;)

Moisha_Liberman ★★
()
Ответ на: комментарий от intelfx

Чем? Тем, что веб-сервер не увидит /dev/ttyX?

А /dev/ttyX и так принадлежат руту и возможно группе, в которую не входит веб-сервер, и права выставлены crw--w----

Harald ★★★★★
()
Ответ на: комментарий от intelfx

Нет...

Не этим:

Тем, что веб-сервер не увидит /dev/ttyX?

Тем что открываются новые горизонты для LKM-rootkit. Уже сейчас очевидно что для управления rootkit'ом в принципе, можно присобачить некий скрытый /dev/...

Спокойно. Я в курсе что /dev/eth* НЕ БЫВАЕТ. Но не про них и речь. ;)

Moisha_Liberman ★★
()
Ответ на: комментарий от intelfx

И что? Как юзерспейсная блоатварь поможет уменьшить опасность этого самого privilege escalation, когда права доступа контролирует ядро?

Harald ★★★★★
()
Ответ на: комментарий от intelfx

Реалистично.

Уж простите. Впрочем, если про творение господина Поттеринга, то да. Троллит он занятно. Если честно, то жду вполне очевидной (на мой взгляд) реакции господина Торвальдса. Он, по-моему, сейчас заряжается, глядя на активность. Ох и разядитсяяя... :)))

Moisha_Liberman ★★
()
Ответ на: Нет... от Moisha_Liberman

Ты бы хоть разобрался в значении слов, которые используешь ;) Тоже свободен.

intelfx ★★★★★
()

хорошо что в генте эту дрянь можно не ставить. блин, можт все-таки кто начнет на кикстартере деньги на киллера собирать?

upcFrost ★★★★★
()
Ответ на: Реалистично. от Moisha_Liberman

Он утверждал не так давно, что systemd его не беспокоит, работает в составе федоры у него на машине и есть не просит.

intelfx ★★★★★
()
Ответ на: комментарий от intelfx

Не можешь на неудобный вопрос ответить по существу?

Harald ★★★★★
()
Последнее исправление: Harald (всего исправлений: 1)
Ответ на: комментарий от intelfx

Ну пока...

Не беспокоит. Подождём пока начнёт, попкорн есть... Вам передать? :)

Moisha_Liberman ★★
()
Ответ на: комментарий от intelfx

ntpd слишком тяжёл. Это как BIND vs dnsmasq vs systemd-resolved

systemd слишком тяжёл. Это как Ubuntu vs GCC vs GNU Assembler <…> Соответственно, OpenRC, в отличие от systemd, реализует лишь функциональность инита (именно она нужна на подавляющем большинстве машин).

thriller ★★
()
Ответ на: комментарий от intelfx

Вывод всех файлов, принадлежащих юниту (со всеми дополнениями)

ладно, пусть будут юниты. да хоть торчвуды. не столь важно.

запуск системы с полностью пустым /etc и /var

тоесть без /etc/fstab, /etc/rc.conf и каждый раз с пустым /var/log? я что-то не понял в каких целях это вообще нахрен кому-то понадобилось бы.


Дальше, на тему скрытия устройств в /dev. Во-первых, какое-такое нафиг скрытие? Все есть файл, и файл есть все. Устройство - файл. Ты или имеешь к нему доступ, или нет - это регулируется на уровне владельцев, групп и прав доступа. Не вижу дальнейших путей к оптимизации данной схемы. Она оптимальна.
А насчет комьюнити, то Линус просто обязан что-нибудь эпичное ответить в рассылке.

Komintern ★★★★★
()
Ответ на: комментарий от intelfx

В отличие от Вас...

Я значение этих слов знаю. Вот только ума не приложу — при чём здесь повышение привилегий? Впрочем, видимо для вступлению в секту свидетелей Поттеринга, межушный ганглий должен быть в полтора грамма весом как у канарейки. Ибо не понимать что именно /dev/ позволяют рулить устройствами (а при скрытом устройстве за таковое выдать можно что угодно, на что фантазии хватит), это надо быть... Ну, в общем, сектантам имени Поттеринга я бы рекомендовал прочесть инструкцию к кальяну, прежде чем им пользоваться. :))) Бггг...

Moisha_Liberman ★★
()
Ответ на: комментарий от thriller

именно она нужна на подавляющем большинстве машин

false

intelfx ★★★★★
()
Ответ на: комментарий от Komintern

я что-то не понял в каких целях это вообще нахрен кому-то понадобилось бы

И так всегда. Не понял — значит, сжечь и закопать. В инквизиторы не пробовал податься? ;)

Не вижу дальнейших путей к оптимизации данной схемы.

А они есть.

Линус просто обязан что-нибудь эпичное ответить в рассылке.

В чьей рассылке? Кому ответить?

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.