LINUX.ORG.RU

Февральские тезисы о планах развития systemd

 ,


2

4

На прошедшей конференции FOSDEM Леннарт Поттеринг огласил некоторые перспективы развития systemd:

  • Интеграция в systemd загрузчика gummiboot, поддерживающего технологию UEFI Secure Boot.
  • machined — менеджер регистрации виртуальных машин, спроектированный под впечатлением от Solaris Zones.
  • В подсистеме nspawn и смежных с ней ожидается больше возможностей для управления контейнерами, например, journald сможет собирать логи не только с хоста, но и с контейнеров.
  • Уже в следующей версии ожидается улучшенная поддержка Btrfs (подразделы и снапшоты Btrfs планируется использовать для изоляции отдельных приложений).
  • Поддержка HiDPI и Юникода в consoled.
  • Сервис-ориентированный фаерволл: можно будет задавать правила в привязке не к номерам портов, а к именам процессов.
  • Отпадёт нужда указывать путь к юниту для systemctl-cat; systemctl-edit позволит редактировать юниты и после сохранения изменений автоматически перезапускать соответствующие сервисы.
  • nss-getmyhostname — функция для получения имени хоста на stateless-системах.
  • Утилита ping gateway позволит автоматически определить все доступные сетевые интерфейсы и проверить их статус командой ping.
  • Развитие networkd и собственной библиотеки для работы с DHCP (совместимой с dhcpv4 и dhcpv6).
  • Комбинирование nspawn и networkd позволит легко конфигурировать сеть для контейнеров.
  • Создание средств для широкого системного аудита, интегрированных в journald. Например, станет возможным логировать все системные вызовы к файлу /etc/passwd.
  • Движение в сторону stateless-систем, у которых только /usr доступен на чтение и запись, а /etc и /var будут автоматически заполняться systemd.
  • journald-remoting — удалённая работа логгера через HTTP. Поддержка в journald моделей pull и push: при pull выполняется запрос HTTP GET для получения потока JSON, а при push данные передаются в другой экземпляр journald при помощи HTTP POST.
  • Возможность определения для сервисов минимальных пространств имён и sandbox-изоляции: доступ к некоторым разделам и каталогам только на чтение, сокрытие устройств в /dev, приватный /tmp для каждого сервиса, и др.
  • timesyncd в качестве замены ntpd.
  • Автоматическое определение разделов GPT, не нуждающееся в указании их в fstab.
  • Поддержка перезапуска демонов без потери их состояния (посредством сохранения оного на диск).

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: ymn (всего исправлений: 1)

Ответ на: комментарий от kir2yar

Серьезно, вы вынужденны тупо надеяться на то, что за 2 секунды бинд везде и при любой нагрузке завершится?

runit получает информацию о смерти демона через SIGCHLD.

#Этим должен таки инит заниматься.
rm -f /var/run/named.pid

runit этим и занимается.

# cat /run/runit/supervise.sshd/pid 
720

#Костыль из эпохи, когда инит-система не знала пиды порожденных ею демонов.
#Если по какой-то причине у меня два экземпляра бинда запущенны (скажем, на разных интерфейсах), то это место доставит много веселья.
# Не больше одного бинда на один компьютер! Иначе не олдскульно!

runit такой хернёй не страдает.

#Подготовка chroot, это системд и сам делает нормально. А ниже подготовка selinux, чем системд сам занимается.

Этим должен заниматься отдельный уровень абстракции, а не менеджер демонов. systemd такой же костыль, что и процитированная вермишель. Кое-кто не смог в архитектуру.

#Смотрим, можно ли нам писать в фаил зоны. Блин, у системд есть директива для read-only директорий. И вся возня с /bin/chown - просто не нужна.

Ага, давайте изобретем отдельную директиву на наждую команду из состава coreutils, util-linux и iproute. CoolOptionChmod=, CoolOptionChmod=, CoolOptionCp=, CoolOptionRm=, CoolOptionMount=, CoolOptionSync=, CoolOptionIpLink=, CoolOptionLosetup=...

Кто-то опять не смог в архитектуру.

# /usr/sbin/named-checkconf идет в ExecStartPre, без всей этой возни с ифами.

Единственная разумная фича.

Итого, systemd не нужен. Нужен патч к runit, чтобы перед ./run он исполнял ./test и в случае ненулевого кода возврата не пытался бесконечно перзапускать демона. Полстраницы кода - реальная цена systemd. Ну да много маркетингого бреда впридачу.

Deleted
()
Ответ на: комментарий от h4tr3d

Уже объясняли. Во-первых, это никоим образом не замена, а упрощённый вариант для широких масс™. Во-вторых, оно упрощённое тем, что не сервер (как ntpd), а исключительно клиент. (В-третьих, оно искаропки умеет взаимодействовать с networkd.) Обоснование выглядит так: зачем тащить на все машины ntp-сервер, когда он там не нужен?

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 2)
Ответ на: комментарий от Deleted

Вообще, если честно,

То со всеми без исключения системами безопасности будет гимор. По полной программе это лучше всё-таки на серверах и только. Там, где помойка из пользователей, софта, ошибок и косяков (и пользователей и софта).

Для дома или ноута под вопросом, т.к. без временных затрат на тщательное конфигурирование очень много из привычного может просто не взлететь и отлавливать почему именно это ещё та радость. Меняется так же поведение системы. Например, при вводе от пользователя ps aux, при использовании PaX Вы увидите только свои процессы, а не как обычно. Для просмотра всех процессов, пожалте в root.

В общем, если с машины наружу порты не торчат и нет большого желания тратить время на дообучение, то смысла не вижу. Если сервера и безопасность важна, то лучше использовать. Плюс, надо быть готовым к потере примерно 5-7% (а то и больше) от привычной производительности.

Ну вот как-то вот так.

Moisha_Liberman ★★
()
Ответ на: комментарий от Deleted

Итого, systemd не нужен. Нужен патч к runit, чтобы перед ./run он исполнял ./test и в случае ненулевого кода возврата не пытался бесконечно перзапускать демона. Полстраницы кода - реальная цена systemd. Ну да много маркетингого бреда впридачу.

Похоже на то как минимум, особенно насчет реальной цены.

Кстати, пока эта зараза еще не распостранилась имет смысл действительно сделать такой патч, причем попробовать вместо башевского ранит что-то питоновское, если потянет на этой фазе инита. Ну или там где нельзя питон то баш...

anonymous
()
Ответ на: комментарий от intelfx

упрощённый вариант для широких масс

Масс чего, простите?

Если сделать систему для дурака, то только дурак ей и будет пользоваться


Кстати, что с мультиситом слился, врунишка?

anonymous
()
Ответ на: комментарий от anonymous

Где-то уже это было - решать все за других... Характерный почерк.

anonymous
()
Ответ на: комментарий от Deleted

Да незачто.

Я только добавлю одну вещь. Там, выше ссылку давал про syslog/journal. Ну и чегоб я разорялся? :))) Так вот в чём фишка. Практически все системы обеспечения пишут логи (тот же SELinux). В ряде случаев на базе логов присходит обучение системы (grsec тот же). Т.е., если Вы и я сидим на одном серве и система знает что moisha может и частенько делает su, то если это же попробует сделать red_eye_man (до этого не делал), то система должна в лог кинуть запись об этом событии как минимум. И дальше уже строить своё поведение.

В случае нестандартного поведения пользователя или процесса в системе, это повод для того, чтобы обратить на это внимание как минимум. Естественно, смотреть надо по логам. И естественно что реакция обслуги соответствует происходящему.

Представьте себе мою радость, когда я понял что мне придётся опять колупать уже работающее решение. Да и серверов не десяток даже. Мне что, заняться нечем? Понятно что господин Потеринг себя развлекает как может. Но... меня-то зачем? :)))

Moisha_Liberman ★★
()
Ответ на: комментарий от anonymous

Эмпирическое правило: если что-то кое-где кое-как это вполне могут быть п...ы

Не, ну ты пойми меня, Анон...

Я вообще толерантен...

Но эти упыри нетрадиционной UNIX ориентации, только вчера слезшие с винды, со своим предводителем поцтером, фанатеющим от решений макоси, ломают уютненький линукс, который более 10 лет верой и правдой у меня используется на работе и дома...

И кто они после этого?

Я подозревал... Только подозревал... И тут они сами спалились...

anonymous
()
Ответ на: комментарий от anonymous

да я тоже толерантен , но зачем навязываться и заявлять о себе во все услышание? Не надо афишировать... Яблоко, Лиса, Г... че там еще? Все заявили Берримору о себе...

anonymous
()
Ответ на: комментарий от anonymous

Приходится. Дофига их ибо.

Сервер syslog и перевод логов в постгрес. Понятное дело что обойти систему безопасности можно и в логи ни чего и не попадёт, но радует то, что не всё в интернеты смотрит. Большая часть это внутренняя сеть. Ну и ещё ряд факторов. Пока хватает. За каждым серваком по сменным инженером не закрепишь. Чтоб в три смены бдили.

Moisha_Liberman ★★
()

Фичи годные, нужные, например сервис-ориентированный фаерволл,только почему их не могли реализовать раньше когда systemd не было.

sunny1983 ★★★★★
()
Ответ на: комментарий от intelfx

Разупорись, ну.

Да, с последним вариантом («и то, и другое») я, конечно, дал маху - это будет уже не stateless.

annulen ★★★★★
()
Ответ на: комментарий от kir2yar

Кстати, сравни:
https://svnweb.freebsd.org/base/stable/7/etc/rc.d/named?revision=221222&v...

или

http://www.slackbuilds.org/mirror/slackware/slackware-14.0/source/n/bind/rc.bind

- я таки настаиваю, что дистрописатели СНАЧАЛА загадили init, ТЕПЕРЬ делают решительно новый инит.

Shadow ★★★★★
()
Ответ на: комментарий от Deleted

Блин. Вот так решил из под ArchLinux'a (предварительно почистив фатально флешку от экскрементов неудачных записей образов dd if=/dev/zero...):
# fdisk /dev/sdb

o - create a new empty DOS partition table
n - действия по дефолту
t > c (W95 FAT32 (LBA) - тип партиции


# mkfs.vfat /dev/sdb1 - формат
ставим syslinux & mbr
# dd if=/usr/lib/syslinux/bios/mbr.bin of=/dev/sdb
syslinux /dev/sdb1
монтируем образ
# mount -t iso9660 alpine-3.1.2-x86.iso /mnt/cdr
монтируем флешку
# mount /dev/sdb1 /mnt/usb
копируем файлы с образа
# cp -vr /mnt/cdr/* /mnt/usb
размонтируем и перезагрузимся с флешки
# umount /mnt/* && reboot
# PROFIT!

Про Void прочитал. Подписан на теги арчевские :)

Marlboro
()
Последнее исправление: Marlboro (всего исправлений: 2)
Ответ на: комментарий от anonymous

Масс пользователей.

Если сделать систему для дурака

Почему «для дурака»?

Кстати, что с мультиситом слился, врунишка?

Как «что»? Чтобы тебя заставить поисходить желчью, конечно :]

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от no1_tx

Вроде и ничего, но возникает ощущение, будто тебя хотят калом накормить насильно.

Просто ты говноед, не читающий документацию.

anonymous
()
Ответ на: комментарий от smith

Если бы меня не устраивала текущая система инициализации, я бы почитал про альтернативы.

Так за каким хреном ты припёрся в этот топик? Показать всем какой ты дебил? Молодец, у тебя получилось, а теперь свободен.

anonymous
()
Ответ на: комментарий от Stanson

На самом деле люди совершенно не понимают

Это весьма заметно. И это же и главная причина по которой идиотов не допускают к принятию решений о разработке ОС.

anonymous
()
Ответ на: комментарий от IPR

Что я делаю на этом ресурсе?

Тоже всегда удивлялся. Детям на лор нельзя - лор от детей тупеет.

anonymous
()
Ответ на: комментарий от anonymous

быстрый и мощный системд который затмит сислог кривой

никто этого не говорил. Сислог-сервера никуда не уйдут в обозримом будущем. И, внезапно, журнал умеет с ними работать.

Alsvartr ★★★★★
()
Ответ на: комментарий от anonymous

пока эта зараза еще не распостранилась имет смысл действительно сделать такой патч

Капец ты медленный - эта «зараза» уже во всех популярных дистрах по умолчанию.

anonymous
()
Ответ на: Да незачто. от Moisha_Liberman

Ну и чегоб я разорялся? :)))

Потому что ты идиот с баттхёртом, пытающийся подменить чтение документации убогим закосом под еврейский юмор.

anonymous
()
Ответ на: комментарий от Alsvartr

Итого:

4-й поклонник systemd, не способный пользоваться человеческим языком.

Оно и не удивительно: невежество порождает невежество.

Deleted
()
Ответ на: комментарий от Alsvartr

ты какой-то ебанутый

да иди в жопу, ты не способен на предметный разговор

Годно, годно. :) Продолжайте. Только сначала уточните, какое учебное заведение вы закончили. Чтобы зрители могли иметь ввиду, с чьими выпускниками лучше не иметь дела.

Deleted
()
Ответ на: комментарий от anonymous

Послушайте,

anonymous Вы негодный (хотя здесь бывают и годные), с чего Вы взяли что я не читал или не читаю документацию? Если бы Вы продрали глаза, то заметили бы что я на неё даже ссылаюсь. См. про cgroup & systemd в частности.

Так вот. В отличие от Вас, орущих о хейтерах и не знающих «фруктов» слаще моркови, я не только читаю документацию, я ещё и применяю написанное к реальным системам. Хотя бы теста ради или в продкшоне, если мне понравится увиденное. Так вот. Эта ваша новая икона в виде systemd мне решительно не нравится. Больно много туда, куда иниту лезть не надо она лезет.

Ну а насчёт ника... Вас это сильно беспокоит? Вы хотите поговорить об этом? Здесь не стоит...

Moisha_Liberman ★★
()
Ответ на: комментарий от Alsvartr

Какое избирательное выпадание памяти у любителей лёни. Вот новость The Journal: жизнь после syslog

Остальное можно вытащить на лоре и опеннете за долгое время развития системд. Там и рассказы про быстроту скуль по сравнению с грепом, и про кривой сислог с прямым журналд. Но системд-фанбои не сдаются и утверждают что это роса.

anonymous
()
Ответ на: комментарий от anonymous

Зачел испытывая извращенное удовольствие
Местами рыдалЪ.
Былоэ и думы (с)

anonymous
()
Ответ на: Послушайте, от Moisha_Liberman

с чего Вы взяли что я не читал или не читаю документацию?

С того, что ты повторяешь одни и те же тупые вбросы, давным давно опровергнутые в документации.

anonymous
()
Ответ на: комментарий от Deleted

уточните, какое учебное заведение вы закончили

Ну и ты не ссы, представься - где нынче хейтеров штампуют?

anonymous
()
Ответ на: комментарий от anonymous

В связи с отсутствием аргументов защита велосипедоподелия пустила в ход подзаборную лексику.
А вы говорите - документааация ... :)

anonymous
()
Ответ на: комментарий от anonymous

Чё, так набздел, что даже разлогинился с перепугу? :-D

anonymous
()
Ответ на: комментарий от kir2yar

Дааа... Простой как три копейки инит-скрипт.

Всё читабельно. Структура вообще сходу определяется. Читать штоль не умеешь?

targitaj ★★★★★
()
Ответ на: комментарий от anonymous

Простите что я спрашиваю.

Но вот Вы пишете:

С того, что ты повторяешь одни и те же тупые вбросы, давным давно опровергнутые в документации.

А я всё спросить хочу. В какой именно документации? И что там опровергнуто? Какой бесценный фолиант мне полистать чтобы systemd всё-таки начал грузиться быстрее, чем OpenRC? А то вот я сравнивал, не получается у systemd почему-то.

Так что читать? «Леннарт Поттеринг и дары journal»? «Леннарт Поттеринг и timer»? Вот тут чувак без cron остался. Жжёт аж слёзы наворачиваются на глаза — http://unix.stackexchange.com/questions/126786/systemd-timer-every-15-minutes :)))

Скажите, я Вас умоляю! Какую из книжек-раскрасок серии «Леннарт Поттеринг и чего-то там» полистать? :)))

Moisha_Liberman ★★
()
Ответ на: комментарий от targitaj

современное егэ-нутое школьное образование...

заметь, оголтелые фанбои или еще школьники или вчера школьники

anonymous
()
Ответ на: Простите что я спрашиваю. от Moisha_Liberman

«Леннарт Поттеринг и дети»

когда был леня маленький с кудрявой головой...

вот не хватает видимо современной школоте красного галстука и сбора металлолома, ну сотворили себе кумира :)

anonymous
()
Ответ на: комментарий от anonymous

Особенно расстраивает непонимание важности принципов. Принципа как сущности. Вся вселенная построена на вполне конкретных принципах, а им, видите ли, надо объяснять. Странно это. Отправить бы их во вселенную, в которой правила бы менялись произвольно, я бы на них посмотрел.

targitaj ★★★★★
()
Ответ на: комментарий от intelfx

Кстати, что с мультиситом слился, врунишка?

Как «что»? Чтобы тебя заставить

Врунишка, очень неуклюжая попытка слиться.

Тебя опять поймали на лжи :)

Почему «для дурака»?

ну это ты красношапки и поцтеринга спроси...

anonymous
()
Ответ на: комментарий от anonymous

Видимо.

В нашем-то красногалстучном детстве (не путать с современным красноглазым), мы же все были если не из секции бокса/шахмат/самбо, то из радиокружка, а то и вовсе юннаты...

Вы же наверняка помните то поистине бессмертное хайку:

Квакнула лягушка возле пруда

Пойду познакомлюсь

Быть может надую

:))) А теперь вот сам себя за малым делом не той лягушкой чувствуешь... :)))

Moisha_Liberman ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.