LINUX.ORG.RU

Systemd 235

 , ,


0

1

После трех месяцев разработки вышел релиз Systemd 235. Основные изменения:

  • Поддержка automake прекращена. В качестве сборщика используется Meson, использующий инструментарий ninja.
  • Для unit-файлов представлены опции RuntimeDirectory и RuntimeDirectoryPreserve, позволяющие определить путь к runtime-каталогу (в иерархии /run или $XDG_RUNTIME_DIR) и поведение в отношении сохранения его содержимого после остановки unit-а. Например, указание RuntimeDirectory=foobar приведёт к размещению данных в каталоге /run/foobar и удалению после завершения работы сервиса, если для него не установлена опция RuntimeDirectoryPreserve;
  • По аналогии с RuntimeDirectory для unit-ов представлены опции StateDirectory, CacheDirectory, LogsDirectory и ConfigurationDirectory, позволяющие вынести данные состояния, кэша, логов и настроек в отдельные подкаталоги в иерархиях /var/lib/, /var/cache/, /var/log/ и /etc, содержимое которых сохранится между запусками сервиса. Дополнительно добавлены вспомогательные пары опций, определяющие режим доступа к каталога - StateDirectoryMode, CacheDirectoryMode, LogsDirectoryMode, ConfigurationDirectoryMode.
  • В Systemd-Jornald реализована более агрессивное кеширование из /proc/ , а также запись в /proc/, что позволило увеличить производительность записи логов при большой нагрузке. Так как метаданные читаются в асинхронном режиме, их состояние может немного запаздывать относительно выводимых в лог записей. Владельцам SSD с TLC-памятью рекомендуется быть поосторожнее.
  • В unit-ы добавлена опция IPAccounting, при включении которой для сервиса добавляются счётчики с данными о трафике и числе пакетов. Данные о трафике можно посмотреть через «systemctl status» или «systemd-run --wait»;
  • Обеспечено сохранение в логе сведений о потреблении ресурсов CPU и трафике. Запись создаётся при каждой остановке юнита, если включены опции CPUAccounting или IPAccounting;
  • В unit-ах реализован Firewall, основанный на опциях IPAddressAllow и IPAddressDeny. Ограничения можно наложить как на входящий, так и на исходящий трафик.
  • В systemd-networkd представлена серия новых настроек, задаваемых через файлы .network: Scope (область достижимости) в секции [Address], ConfigureWithoutCarrier (игнорировать статус линка при настройке) в секции [Network], Anonymize (включение опций анонимного профиля RFC 7844) в секции [DHCP], Type (определение спецмаршрутов для направления трафика в blackhole/unreachable/prohibit) в секции [Route]. Добавлена новая секция [RoutingPolicyRule] для задания правил маршрутизации;
  • В файлы .netdev добавлены опции: Table в секции [VRF] для выбора используемой таблицы маршрутизации, Independent в секции [Tunnel] для настройки туннеля независимо от связанного с ним сетевого интерфейса, GroupForwardMask в секции [Bridge] для настройки распространение локальных сетевых кадров между портами сетевого моста;
  • В файлах .link добавлены новые режимы работы опции WakeOnLan, добавлена настройка TCP6SegmentationOffload для включения аппаратного ускорения обработки сегментов TCP/IPv6;
  • В реализацию сервера для анонса маршрутов IPv6 (Router Advertisment) добавлена поддержка отправки записей RDNSS и RDNSSL для передачи настроек DNS;
  • В systemd-nspawn добавлен флаг "--system-call-filter" для добавления и удаления элементов из применяемого по умолчанию фильтра системных вызовов. Реализована возможность определения белых списков системных вызовов с запретом всех остальных (ранее предлагались черные списки);
  • Добавлены новые фильтры групп системных вызовов: @aio, @sync, @chown, @setuid, @memlock, @signal и @timer, которые можно указывать через опцию SystemCallFilter или флаг "--system-call-filter";
  • В опцию ExecStart для unit-файлов добавлены два новых модификатора: При указании префикса "!" команда запускается без смены идентификатора пользователя/группы (без вызова setuid/setgid/setgroups). Второй модификатор "!!" идентичен "!" за исключением того, что его действие игнорируется на системах с поддержкой наследования расширенных прав (capabilities PR_CAP_AMBIENT, появились в ядре 4.3);
  • В systemd-run добавлен флаг "--pipe", при котором в вызываемый сервис systemd передаются файловые дескрипторы на STDIN/STDOUT/STDERR, что позволяет использовать его в цепочке с другими утилитами в shell с передачей данных через неименованные каналы;
  • Для каждого сервиса обеспечено поддержание счётчика перезапусков, который можно посмотреть командой «systemctl show -p NRestarts сервис».
  • Для unit-файлов реализована новая опция LockPersonality, позволяющая на лету привязать сервис к выбранному домену выполнения;
  • В поставку добавлен файл для modprobe.d, обеспечивающий переопределение параметров модуля bonding для корректного управления интерфейсом bond0 из systemd-networkd;
  • В journald.conf добавлена включенная по умолчанию настройка ReadKMsg, управляющая чтением лога ядра в systemd-journald, а также опция LineMax для задания максимального размера строки при выводе логов через STDOUT/STDERR;
  • В nss-myhostname/systemd-resolved по умолчанию обеспечена генерация DNS-записей A/AAAA для хоста «_gateway» вместо ранее применяемого имени «gateway», так как оно используется для внутренних нужд некоторых дистрибутивов (старое поведение можно вернуть во время сборки);
  • Добавлен новый целевой юнит для пользовательских сеансов: «getty-pre.target», который выполняется до консольного входа в систему;
  • Для увеличения качества энтропии в генераторе псевдослучайных числе systemd теперь при запуске каждого виртуального окружения пытается загрузить модуль ядра virtio-rng.ko;
  • В /etc/crypttab обеспечена возможность применения опции _netdev, по аналогии с /etc/fstab, для организации настройки шифрованных устройств после запуска сети; Для подключения внешних обработчиков в cryptsetup.target добавлено два целевых юнита remote-cryptsetup-pre.target и remote-cryptsetup.target, решающих те же задачи, что remote-fs.target и remote-fs-pre.target в local-fs.target;
  • В сервисы добавлена опция UnsetEnvironment, позволяющая убрать любую переменную окружения, которая в обычных условиях будет передана сервису;
  • Команды «systemctl poweroff», «systemctl reboot», «systemctl halt», «systemctl kexec» и «systemctl exit» теперь всегда выполняются в асинхронном режиме, т.е. сразу возвращают управление, не дожидаясь фактического завершения операции;
  • В systemd-resolve добавлен флаг "--reset-server-features", при указании которого очищаются и перезапрашиваются ранее полученные сведения о возможностях вышестоящих DNS-серверов. Отправка данных в лог теперь включает сведения о всех используемых DNS-серверах.

>>> Подробности

★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Black_Shadow

Как ты сам заметил, iptables надо(?) осиливать, а идиоматичный синтаксис ipfw позволяет делать сложное на простом человеческом языке. Если не знаком, погугли, сравни палку-копалку с актуальным инструментом. Не зря же на замену этой мерзости пилят nftables.

WitcherGeralt ★★
()

Круть крутецкая, как мы раньше без этого жили. Red Hot - настоящий флагман сообщества.

anonymous
()
Ответ на: комментарий от WitcherGeralt

Как ты сам заметил, iptables надо(?) осиливать, а идиоматичный синтаксис ipfw позволяет делать сложное на простом человеческом языке. Если не знаком, погугли, сравни палку-копалку с актуальным инструментом. Не зря же на замену этой мерзости пилят nftables.

Не надо там ничего осиливать, синтаксис довольно прост. Я не говорю, что он лучше, чем ipfw, просто я с ipfw не знаком.

Black_Shadow ★★★★★
()

Владельцам SSD с TLC-памятью рекомендуется быть поосторожнее

Помнится мне, в свое время, был такой баг с pm-utils, когда был повышенный износ жестких дисков, народ поспорил, да выпустили костыльное решение в виде настройки интервала парковки головок через hdparm. Производители жестких дисков негодуют, народ стал реже покупать и Леня, добрая душа, решил им помочь и принудительно уменьшить ресурс.

Поздравляю всех systemd-любителей, включая intelfx, это epic win, с каждым разом ваше поделие все упоротее и упоротее. Теперь даже зверьсиди с «хр-васян-мегопак-рипед-бай-зверь» и то надежнее и стабильнее

anonymous
()

читаю такие новости и радуюсь, как радуюсь росту цен на табак после того как бросил.

deity ★★★★
()

Наконец-то. Побежал обновляться.

anonymous
()

А у systemd есть какой-нибудь план развития или Поттеринг случайно блуждая по файлововой системе редактирует файлы наугад?

ugoday ★★★★★
()

Эх, опередил, шайтан - я бы лучше написал :)

Там главная фишка, что динамические пользователи стали по-настоящему юзабельны: подробности тут - http://0pointer.net/blog/dynamic-users-with-systemd.html

zabbal ★★★★★
()
Ответ на: комментарий от Bruce_Lee

Это ты ошибся. сустемдик онли линукс-кернель, а этот сайт в основном об линукс-кернель-сустем. Понятно?

mandala ★★★★★
()
Ответ на: комментарий от Bruce_Lee

Дай угадаю: ты ненавидишь гном3.

На деле же выбор между гномомом и кедами у людей обусловлен практическими факторами: если на вяленном неправильная скорость в игрушках, или вдруг виджеты/де неправильно отображают в документе ШГ перед отправкой в CUPS — все моментально побегут с кде на гном, с къют на гтк (или наоборот). И плевать всем будет какой тулкит быстрее и красивее если он бесполезен на практике.

anonymous
()
Ответ на: комментарий от Bruce_Lee

Гномом да, пару месяцев, пока не надоело.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

Да в там все гуано кроме самого системд.

anonymous
()
Ответ на: комментарий от Bruce_Lee

Пользуюсь Gnome 3, systemd присутствует в системе. VS Code ненужно, есть atom.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от anonymous

выбор между гномомом и кедами у людей

заключается в неиспользовании ни того, ни другого.

spqr ★★★
()
Ответ на: комментарий от vblats

Внимание вопрос «осилятору» iptables: догадайся с одного раза, какой процесс начинает жрать 100% CPU

И какой? А вообще в таких случаях используют ipset.

sjinks ★★★
()
Ответ на: комментарий от ugoday

План точно есть, такое без плана создать невозможно. А вот насчёт развития - сомневаюсь

frost_ii ★★★★★
()
Последнее исправление: frost_ii (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ещё было веяние, когда за установку линукса на ноут отказывали в гарантии. Теперь будут макать носом - за что.

Спасибо, мне этого счастья не надо.

frost_ii ★★★★★
()
Ответ на: комментарий от anonymous

Дай угадаю: ты ненавидишь гном3.

Нет, я просто его не использую, видел в самом начале один раз, потом еще через два года — спасибо, не нужно.

выбор между гномомом и кедами

Кеды еще больший треш.

Я использую xorg-server + awesome wm + GTK2/3.

Bruce_Lee ★★
()
Ответ на: комментарий от Radjah

Видел тред на одной странице.

Мечты сбываются

Ramil ★★★★
()
Ответ на: комментарий от vblats
# ipset list | wc -l
19170

Сервер — восьмиядерный Xeon E5-1620 v2, 64 ГБ RAM.

Даже с таким количеством IP ksoftirqd не висит в топе и не отжирает процессорное время.

sjinks ★★★
()

Поддержка automake прекращена. В качестве сборщика используется Meson, использующий инструментарий ninja.

Ненужно нужно не нужно для сборки. Хоспади, почему я не удивлен? %)

dikiy ★★☆☆☆
()

В unit-ы добавлена опция IPAccounting, при включении которой для сервиса добавляются счётчики с данными о трафике и числе пакетов.

В unit-ах реализован Firewall, основанный на опциях IPAddressAllow и IPAddressDeny. Ограничения можно наложить как на входящий, так и на исходящий трафик.

ОЧЕНЬ опасный звоночек. Не дай бог эти уроды под себя еще и Netfilter подомнут...

Barracuda72 ★★
()
Ответ на: комментарий от vblats

Имеется юзкейс: 1500 флудящих айпишников на 80-й TCP порт. Клиента обижает конкурент. Задача - зобанить эти айпишники. При чем они могут меняться. Сегодня одни, завтра другие.

Внимание вопрос «осилятору» iptables: догадайся с одного раза, какой процесс начинает жрать 100% CPU, как только эти айпишники попадают в рулезы на DROP\REJECT ?

Флудящих чем? Хттп, синами? С каким пакет-рейтом? Какая версия ядра?

anonymous
()

По аналогии с RuntimeDirectory для unit-ов представлены опции StateDirectory, CacheDirectory, LogsDirectory и ConfigurationDirectory, позволяющие вынести данные состояния, кэша, логов и настроек в отдельные подкаталоги в иерархиях /var/lib/, /var/cache/, /var/log/ и /etc, содержимое которых сохранится между запусками сервиса.

Интересные новинки!
Надеюсь, они будут использоваться совместно с sysusers.d для назначения UID имени пользователя по UID StateDirectory/CacheDirectory/LogsDirectory, в случае пустого /etc/passwd (или вообще пустого /etc).

utf8nowhere ★★★
()

В Systemd-Jornald реализована более агрессивное кеширование из /proc/ , а также запись в /proc/

Маниакальный синдром Поттеринга зашкаливает...пора уже его останавливать...

Odalist ★★★★★
()
Ответ на: комментарий от DawnCaster

Это Лёня так готовит нас к очередной багофиче, при которой SSD с JournalD будут изнашиваться быстрее, я правильно понял ?

Нет. Это дает понять только одно-здравомыслящий юзер давно свалил на SysV init. А любители капрофилии пусть и дальше сидят в своем уютном клубе любителей покакать.

Odalist ★★★★★
()
Ответ на: комментарий от Barracuda72

под себя еще и Netfilter подомнут...

netfilter как был в ядре, так и останется. А какая разница, настраивать его с помощью iptables или из юнита?

utf8nowhere ★★★
()
Ответ на: комментарий от Odalist

Характерная черта системд-хейтера — копролалия.

anonymous
()

Владельцам SSD с TLC-памятью рекомендуется быть поосторожнее.

Теперь домохозяйки должны знать какая у них память на SSD?

ggrn ★★★★★
()
Ответ на: комментарий от WitcherGeralt

Кхм, а что думает Плотва по поводу нового релиза системд?

Deleted
()
Ответ на: комментарий от Bruce_Lee

Я использую xorg-server + awesome wm + GTK2/3.

C i3wm и всей тайлотой мне удобнее во фряхе сидеть, потому-что в линухе из-за всей сустемд-автоматики проще уже kcm'ы ставить. Да и с гномокедами можно ставить скрипты KWin, чтоб он тайловым прикидывался. (+ следить за статусом готовности вяленного).

На всякий случай я ставлю OpenBox чтоб производительность игрушек выше была. Тайловые мне не во всех случаях удобны, так-что если пошла такая пьянка то я ставлю i3 и OpenBox на XFCE, и потом --replace им говорю.

О том и речь: трэш/нетрэш — если твоя среда/тулкит покажет неправильно документ перед печатью — ты задумаешься. Потому тяжесть среды и её уродство могут иногда уходить на второй план.

anonymous
()

Владельцам SSD с TLC-памятью рекомендуется быть поосторожнее.

Хотя на самом деле чего тут ныть. Тот же хром постоянно срет на диск. Вообще это сдувание пылинок с SSD похоже на бред. Современные SSD вполне можно гонять в хвост и гриву.

perfectcolors
()
Ответ на: комментарий от utf8nowhere

Они вполне могут начать пилить свой интерфейс к нему и за одним непредсказуемым образом менять поведение ядерной части, из-за чего все другие интерфейсы переломаются. Ты как первый раз systemd увидел, ей-богу.

Barracuda72 ★★
()
Ответ на: комментарий от perfectcolors

Современные SSD вполне можно гонять в хвост и гриву.

Ась? Я не могу пройти мимо фееричного бреда. У ssd - есть такая характеристика - время наработки на отказ. Зависит сие от контролера, типа памяти, а так-еж от техпроцесса по которому данная память выпущена. Чем меньше техпроцесс - тем меньше время наработки. Поэтому тот бред, который вы тут с умным видом накалякали, настолько фееричен, что достоин занесения в книгу рекордов ЛОР :) В соответсвующий раздел, понятное дело.

DrRulez ★★★★
()
Ответ на: комментарий от DrRulez

Ранние SSD, когда только появились, дохли как мухи. А теперешние сопоставимы с винтами из того же сегмента. Поэтому маниакальное дрочево на сохранение ресурса SSD на ЛОРе - обычное задротское сумасшествие.

perfectcolors
()

Конечно Лёню можно долго серить, но пульса и системд это одни из немногих разработок системного софта, который сделал линь удобней и шелковистей

shpinog ★★★★
()

Владельцам SSD с TLC-памятью рекомендуется быть поосторожнее.

О, а этот высер тут откуда? В оригинале ничего подобного нет. У нас тут мамкин эксперт по SSD завёлся?

zabbal ★★★★★
()
Ответ на: Документация от tsp0p

Лучше время на изучение английского потрать: профессионалу без него никуда, а любителю смысла в systemd ковыряться нет.

zabbal ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.