LINUX.ORG.RU

Systemd 235

 , ,


0

1

После трех месяцев разработки вышел релиз Systemd 235. Основные изменения:

  • Поддержка automake прекращена. В качестве сборщика используется Meson, использующий инструментарий ninja.
  • Для unit-файлов представлены опции RuntimeDirectory и RuntimeDirectoryPreserve, позволяющие определить путь к runtime-каталогу (в иерархии /run или $XDG_RUNTIME_DIR) и поведение в отношении сохранения его содержимого после остановки unit-а. Например, указание RuntimeDirectory=foobar приведёт к размещению данных в каталоге /run/foobar и удалению после завершения работы сервиса, если для него не установлена опция RuntimeDirectoryPreserve;
  • По аналогии с RuntimeDirectory для unit-ов представлены опции StateDirectory, CacheDirectory, LogsDirectory и ConfigurationDirectory, позволяющие вынести данные состояния, кэша, логов и настроек в отдельные подкаталоги в иерархиях /var/lib/, /var/cache/, /var/log/ и /etc, содержимое которых сохранится между запусками сервиса. Дополнительно добавлены вспомогательные пары опций, определяющие режим доступа к каталога - StateDirectoryMode, CacheDirectoryMode, LogsDirectoryMode, ConfigurationDirectoryMode.
  • В Systemd-Jornald реализована более агрессивное кеширование из /proc/ , а также запись в /proc/, что позволило увеличить производительность записи логов при большой нагрузке. Так как метаданные читаются в асинхронном режиме, их состояние может немного запаздывать относительно выводимых в лог записей. Владельцам SSD с TLC-памятью рекомендуется быть поосторожнее.
  • В unit-ы добавлена опция IPAccounting, при включении которой для сервиса добавляются счётчики с данными о трафике и числе пакетов. Данные о трафике можно посмотреть через «systemctl status» или «systemd-run --wait»;
  • Обеспечено сохранение в логе сведений о потреблении ресурсов CPU и трафике. Запись создаётся при каждой остановке юнита, если включены опции CPUAccounting или IPAccounting;
  • В unit-ах реализован Firewall, основанный на опциях IPAddressAllow и IPAddressDeny. Ограничения можно наложить как на входящий, так и на исходящий трафик.
  • В systemd-networkd представлена серия новых настроек, задаваемых через файлы .network: Scope (область достижимости) в секции [Address], ConfigureWithoutCarrier (игнорировать статус линка при настройке) в секции [Network], Anonymize (включение опций анонимного профиля RFC 7844) в секции [DHCP], Type (определение спецмаршрутов для направления трафика в blackhole/unreachable/prohibit) в секции [Route]. Добавлена новая секция [RoutingPolicyRule] для задания правил маршрутизации;
  • В файлы .netdev добавлены опции: Table в секции [VRF] для выбора используемой таблицы маршрутизации, Independent в секции [Tunnel] для настройки туннеля независимо от связанного с ним сетевого интерфейса, GroupForwardMask в секции [Bridge] для настройки распространение локальных сетевых кадров между портами сетевого моста;
  • В файлах .link добавлены новые режимы работы опции WakeOnLan, добавлена настройка TCP6SegmentationOffload для включения аппаратного ускорения обработки сегментов TCP/IPv6;
  • В реализацию сервера для анонса маршрутов IPv6 (Router Advertisment) добавлена поддержка отправки записей RDNSS и RDNSSL для передачи настроек DNS;
  • В systemd-nspawn добавлен флаг "--system-call-filter" для добавления и удаления элементов из применяемого по умолчанию фильтра системных вызовов. Реализована возможность определения белых списков системных вызовов с запретом всех остальных (ранее предлагались черные списки);
  • Добавлены новые фильтры групп системных вызовов: @aio, @sync, @chown, @setuid, @memlock, @signal и @timer, которые можно указывать через опцию SystemCallFilter или флаг "--system-call-filter";
  • В опцию ExecStart для unit-файлов добавлены два новых модификатора: При указании префикса "!" команда запускается без смены идентификатора пользователя/группы (без вызова setuid/setgid/setgroups). Второй модификатор "!!" идентичен "!" за исключением того, что его действие игнорируется на системах с поддержкой наследования расширенных прав (capabilities PR_CAP_AMBIENT, появились в ядре 4.3);
  • В systemd-run добавлен флаг "--pipe", при котором в вызываемый сервис systemd передаются файловые дескрипторы на STDIN/STDOUT/STDERR, что позволяет использовать его в цепочке с другими утилитами в shell с передачей данных через неименованные каналы;
  • Для каждого сервиса обеспечено поддержание счётчика перезапусков, который можно посмотреть командой «systemctl show -p NRestarts сервис».
  • Для unit-файлов реализована новая опция LockPersonality, позволяющая на лету привязать сервис к выбранному домену выполнения;
  • В поставку добавлен файл для modprobe.d, обеспечивающий переопределение параметров модуля bonding для корректного управления интерфейсом bond0 из systemd-networkd;
  • В journald.conf добавлена включенная по умолчанию настройка ReadKMsg, управляющая чтением лога ядра в systemd-journald, а также опция LineMax для задания максимального размера строки при выводе логов через STDOUT/STDERR;
  • В nss-myhostname/systemd-resolved по умолчанию обеспечена генерация DNS-записей A/AAAA для хоста «_gateway» вместо ранее применяемого имени «gateway», так как оно используется для внутренних нужд некоторых дистрибутивов (старое поведение можно вернуть во время сборки);
  • Добавлен новый целевой юнит для пользовательских сеансов: «getty-pre.target», который выполняется до консольного входа в систему;
  • Для увеличения качества энтропии в генераторе псевдослучайных числе systemd теперь при запуске каждого виртуального окружения пытается загрузить модуль ядра virtio-rng.ko;
  • В /etc/crypttab обеспечена возможность применения опции _netdev, по аналогии с /etc/fstab, для организации настройки шифрованных устройств после запуска сети; Для подключения внешних обработчиков в cryptsetup.target добавлено два целевых юнита remote-cryptsetup-pre.target и remote-cryptsetup.target, решающих те же задачи, что remote-fs.target и remote-fs-pre.target в local-fs.target;
  • В сервисы добавлена опция UnsetEnvironment, позволяющая убрать любую переменную окружения, которая в обычных условиях будет передана сервису;
  • Команды «systemctl poweroff», «systemctl reboot», «systemctl halt», «systemctl kexec» и «systemctl exit» теперь всегда выполняются в асинхронном режиме, т.е. сразу возвращают управление, не дожидаясь фактического завершения операции;
  • В systemd-resolve добавлен флаг "--reset-server-features", при указании которого очищаются и перезапрашиваются ранее полученные сведения о возможностях вышестоящих DNS-серверов. Отправка данных в лог теперь включает сведения о всех используемых DNS-серверах.

>>> Подробности

★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 1)

Ответ на: комментарий от Deleted

Жесть какая!

Самое прикольное - код из-за лисапедизма в виде наколенного парсера с кучей бессистемных, многократных и перекрывающиеся (а иногда и отсутсвующих) проверок, работающий по «наивному» алгоритму «сверху-вниз» да еще и вместо вменяемой токенизации использующий простыни вида

if ((startswith(k,«type») && (strchr(k,'@') ...
if startswith(k,«destination»

скорее всего уступает по скорости (да и не сильно отстает по жручести ресурсов) вменяемому варианту на питоне/прологе.
При всем этом, сам язык описания юнитов и прочего довольно прост и непонятно, на кой мужской половой орган вообще нужно лезть туда шаловливыми ручками (а тем более писать полностью свой вариант) вместо использования (или допиливания) готового генератора. Разве что для более плотной завязки на себя, чтобы никто не мог в «три рыла» форкнуть или перепилить.

anonymous
()
Ответ на: комментарий от Deleted

А если писать, может получится как у поттера.

Это на самом деле ещё не так страшно. Куда хуже преподносить свою явно кривую поделку как единственно верную панацею от всех бед и насильно заталкивать несогласным.

h578b1bde ★☆
()
Ответ на: комментарий от shpinog

Предпочитаю повторять факт, чем выдумывать новый

По Фрейду?

В чём логика Уязвимости = говно софт ?

Выше уже приводили некоторые выдержки из кода твоей божественной поделки. Упомянутая мной реакция разработчиков на багрепорты заслуживает отдельного разговора.

Почти всё прибитое можно отключить, и пользоваться чем хочешь. Твой ответ - зачем. Мой ответ, потому что я так хочу, хочу прибиваю, хочу не прибиваю - создай своё и делай так, как тебе нравится.

https://ru.wikipedia.org/wiki/Systemd

systemd был предложен как внешняя зависимость для GNOME 3.2 автором проекта[13]. Это, фактически, потребовало от всех дистрибутивов, использующих GNOME, использовать systemd, или по крайней мере, включить его в качестве настраиваемой опции. GNOME версии 3.8 и выше уже нельзя установить без systemd.

Заметь, это не я писал. Предлагаешь мейнтейнерам всех дистрибутивов пилить свои системы инициализации, DE и прочее чтобы отвязаться от Лёниных костылей? Ведь очевидно что для рядового пользователя это довольно сложная и масштабная задача, если это не Денис Попов конечно.

Любой пердак рано или поздно остывает, с твоей стороны глупо было на это надеяться.

Не бойся, при выходе в открытый космос сможешь лететь по инерции.

Мастурбировать на простыни, кайфовать от подгорания пуканов, и оскорблять собеседника - образ пользователей альтернативных систем инициализации,

Включать дебила в ответ на вполне конкретные вопросы и аргументы — образ пользователей альтернативно одарённой системы инициализации от Лёни.

Розовые что-ли?

Можешь хоть зелёные, мне фиолетово.

Опять же, примитивный переход на личности, толсто.

Что же поделать раз ты такой жирдяй. Придётся тебе ещё немного на реактивной тяге продержаться.

h578b1bde ★☆
()
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от shpinog

если Лёня так пишет - ему так удобней

Вся суть фанатиков Лёни.

h578b1bde ★☆
()
Ответ на: комментарий от shpinog

Я уже понял систему мышления вашей группы. Если кто-то говорит, то что не вписывающиеся в систему вашего shell-мирка, или просто выдвигает отличную от вашей идею, вы приходите к выводу «Подгорел пукан», «неадекват» и тд.

devzero: Есть runit, daemontools, s6-rc; у меня VoidLinux в дуалбуте
dzidzitop: А при чём тут портянки на баше, например, к sysvinit? main, argv, argc уже запретили?
h578b1bde: помимо системгэ существуют и другие системы инициализации без „простыней”

Error: division by zero. Впрочем, уже никто не удивляется очередному вранью от упоротого фанатика Лёни.

Всё это конечно забавно, как и любое иное заблуждение.
как и любое иное заблуждение

С таким пациентом Фрейд бы плакал от радости.

h578b1bde ★☆
()
Ответ на: комментарий от shpinog

А о чем с тобой тут разговаривать? Может быть, ты как Daniel Bernstein выставлял награду $1000 за нахождение дыр в своейм софте, и это у тебя за 10 лет в программе было обнаружено всего 4 ошибки, ни одну из которых невозможно эксплуатировать как уязвимость? Или как David Cutler разработал ядра VMS и Windows NT? Или это ты, а не Fabrice Bellard, разрабываешь высокоскоростные эмуляторы и виртуализаторы в перерыве между завтраком и обедом? Или как Linus Torvalds координируешь работу разбросанных по всему миру разработчиков в проекте на несколько десятков миллионов строк кода? Может быть, как Rich Felker в совершенстве знаком со всеми pitfalls в работе известных реализаций libc и компиляторов? Или хотя бы трудоустроен как разработчик в ООО «СиПроВер», которая хоть и задрала ЛОР своим спамом, но всё-таки их проприетарный статический анализатор кода довольно неплох?

Таки нет, ты обычный форумный балабол, который к программированию имеет отношение как топор к заплывам на 100 метров. Своё кококо про «так удобнее» можешь толкать первокурсникам в подворотнее перед местным вузом. А тут люди, которые реально пишут код, над такой историей нам только поржать.

Я перечисляю эти фамилии в рассчёте на то, что есть хоть и близкая к нулю, но ненулевая вероятность, что кто-то из посетителей ЛОРа заинтересуется, загуглит, почитает, а в будущем, может быть, одним хорошим разработчиком в мире станет больше. С тобой-то всё ясно.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от anonymous

В сишку умеем? В код системды хоть раз смотрели?

помню, какой-то говнокодер в systemd-треде на опенке тоже придирался к вложенным вызовам mempcpy. Не ты ли это был? Просвещайся, болезный http://man7.org/linux/man-pages/man3/mempcpy.3.html

anonymous
()
Ответ на: комментарий от Deleted

Я перечисляю эти фамилии в рассчёте на то, что есть хоть и близкая к нулю, но ненулевая вероятность, что кто-то из посетителей ЛОРа заинтересуется, загуглит, почитает, а в будущем, может быть, одним хорошим разработчиком в мире станет больше. С тобой-то всё ясно.

ЧСВ не лопнет? Ты пытаешься этим сообщением показать, что есть кто-то лучше, принизив кого то другого, этим ты мотивируешь?

Я вынужден тебя огорчить, я даже не заявлял что я работаю программистом, более того - моя сфера никак не связанна с IT.

А по поводу твоего высера на уровне, как раз ученика вуза, пытаешься унизить собеседника фактом, что в мире всегда есть кто-то лучше\хуже ? Дружок, и без тебя это тысячи лет всем известно.

Вопрос был в том, что такие как ты и твой коллега, пытаются всё иное - обосрать. В мире ничего лучше от хейтеров не становится, и те у кого есть мозг, давно это поняли.

shpinog ★★★★
()
Ответ на: комментарий от h578b1bde

По Фрейду?

По зову здравого смысла.

Выше уже приводили некоторые выдержки из кода твоей божественной поделки.

Большинство крупных проектов содержат подобный код.

Упомянутая мной реакция разработчиков на багрепорты заслуживает отдельного разговора.

Он уже состоялся.

https://ru.wikipedia.org/wiki/Systemd

Включать дебила в ответ на вполне конкретные вопросы и аргументы — образ пользователей альтернативно одарённой системы инициализации от Лёни.

При столкновении с твоей глупостью, наверно это лучший способ, преодолеть её.

мне фиолетово.

Было бы так - не пускал бы слюну весь тред.

Что же поделать раз ты такой жирдяй. Придётся тебе ещё немного на реактивной тяге продержаться.

Сомнительно ввиду отсутствия опонента .

shpinog ★★★★
()
Ответ на: комментарий от shpinog

«Дружок», такие как ты берутся учить:

  • программистов — писать код
  • инженеров — проектировать
  • строителей — строить
  • политиков — заниматься политикой
  • бизнесменов — заниматься бизнесом

При этом не имея представлений ни о чем из перечисленного.

В отличие от тебя, я сужу о том, в чем реально имею компетенцию. А ты выглядишь в глазах окружающих обычным клоуном, каким и являешься.

Я вынужден тебя огорчить, я даже не заявлял что я работаю программистом, более того - моя сфера никак не связанна с IT.

Почему огорчить? Наоборот: повеселить. То, что ты в жизни не написал ни строчки кода, ясно-понятно. Именно этим ты и смешон, рассказывая нам тут про sh и си. В отличие от диванного эксперта, я с этими неведомыми тебе вещами имею дело каждый день, и с твоих откровений ухахатываюсь.

Deleted
()
Ответ на: комментарий от shpinog

shpinog: Кококо, примеры дерьмового когда давай

anonymous: магические числа, однобуквенные переменные и литералы в коде — сплошь и рядом, передача результата выполнения функции напрямую, без проверок (не говоря о том, что отлаживать такие цепочки — «удовольствие» еще то), в другую, копипаста.

shpinog: Большинство крупных проектов содержат подобный код. Кудах!

Уже слился? Жаль, я-то думал что ты хотя бы до орбиты Марса протянешь.

h578b1bde ★☆
()
Ответ на: комментарий от anonymous

В сишку умеем? В код системды хоть раз смотрели?

помню, какой-то говнокодер в systemd-треде на опенке тоже
придирался к вложенным вызовам mempcpy.

Еще один диванный погромист даже не понял, о чем речь, но ценное мнение заимел.
Или срабатывает реакция фанатика - «О Рыжем Пророке и Его Творении отозвались недостаточно почтительно, без придыхания! Атакуем газами, товарищи! Смерть еретикам!»

anonymous
()
Ответ на: комментарий от h578b1bde

Уже слился? Жаль, я-то думал что ты хотя бы до орбиты Марса протянешь.

Я слился после того как понял, что ты не способен аргументированно и логический обосновываться свою позицию, и вголове у тебя всё превращается в кашу из собственной неприязни, предвзятости, и завышенного ЧСВ.

Всё это конечно было весело, макать тебя в собственное дерьмо, но уже изрядно надоело.

shpinog ★★★★
()
Ответ на: комментарий от Deleted

«Дружок», такие как ты берутся учить:

«Пустозвон», такие как ты :

1)Ты не сможешь привести ни одного моего сообщение с «пиши вот так вот». 2) Озвучить существующие модели = учить? И кто тут инженер, ты что ли? 3) Ты уже и строителем стал? 4) Ты открыл Америку. 5) Возможно, всё таки есть во власти есть здравомыслящие люди, не являющиеся при это бизнесменами.

При этом не имея представлений ни о чем из перечисленного.

Подозреваю в 4 из 5 явно больше тебя, я даже в этом уверен .

В отличие от тебя, я сужу о том, в чем реально имею компетенцию.

Озвучь свою компетенцию по 5 своим пунктам.

Почему огорчить? Наоборот: повеселить. То, что ты в жизни не написал ни строчки кода, ясно-понятно.

Как ты сделал такой вывод , если моя работа никак не связанна с IT = он не написал ни строчки кода?

В отличие от диванного эксперта, я с этими неведомыми тебе вещами имею дело каждый день, и с твоих откровений ухахатываюсь.

И заливаешь всё вокруг слюной, сидя за своим локалхостом, гордо заявляешь какой ты «крутой» и эрудированный на Лоре? Ты смешон. Очередной неудачник, который решил самоутвердится на лоре.

shpinog ★★★★
()
Ответ на: комментарий от shpinog

Я слился после того как понял, что ты не способен аргументированно и логический обосновываться свою позицию, и вголове у тебя всё превращается в кашу из собственной неприязни, предвзятости, и завышенного ЧСВ. Всё это конечно было весело, макать тебя в собственное дерьмо, но уже изрядно надоело.

Наблюдать за диалогом твоих личностей весьма забавно, но в следующий раз постарайтесь выяснять свои отношения вне форума, а то ещё санитары с галоперидолом прибегут.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Давай по пунктах что конкретно тебе не нравится

1. Тупые хейтеры. 2. Унылое враньё. 3. Ты. Впрочем нет, это уже включено в предыдущие пункты.

zabbal ★★★★★
()
Ответ на: комментарий от AS

Ты сам навёл на эту мысль своим «пытаюсь понять». Ну опиши свой случай тогда.

В том-то и дело, что мне лень задумываться, подходит мой случай под описанные тобой критерии (довольно дурацкие кстати) или нет, поэтому я всегда использую лучшее решение - nftables.

zabbal ★★★★★
()
Ответ на: комментарий от zabbal

1. Тупые хейтеры. 2. Унылое враньё. 3. Ты. Впрочем нет, это уже включено в предыдущие пункты.

Не обязательно мне отвечать каждый раз как ты сливаешься.

h578b1bde ★☆
()
Ответ на: комментарий от zabbal

поэтому я всегда использую лучшее решение - nftables.

Оно, пока, обладает ограниченными возможностями. Хотя, возвращаясь к теме, у nftables потенциал есть, задумка правильная и т.п. В отличие от systemd, у которого «потом», надеюсь, не будет. :-)

AS ★★★★★
()
Ответ на: комментарий от AS

автор текста сам навыдумывал идиотских аргументов, и сам же по-идиотски их опроверг. Особенно порадовало одно место, где он советует какой-то маргинальный говнодистр с инит-скриптами на питоне. А в конце еще и скатился до фулл SJW, бгг))

anonymous
()
Ответ на: комментарий от anonymous

где он советует какой-то маргинальный говнодистр с инит-скриптами на питоне

Апологеты systemd уже не различают технический пример и совет использовать ?

AS ★★★★★
()
Ответ на: комментарий от AS

Я отличный текст увидел недавно
недавно

Да ты просто огонь! Быстрее молнии! Тут свежачок про Кеннеди открывают, давай я тебе главное оттуда заспойлерю: его убили! Насмерть.

zabbal ★★★★★
()
Ответ на: комментарий от AS

обладает ограниченными возможностями.

Не суди всё по себе: оно может всё то же самое, что iptables, плюс кучу сверх того.

zabbal ★★★★★
()
Ответ на: комментарий от zabbal

Не суди всё по себе: оно может всё то же самое, что iptables, плюс кучу сверх того.

Правда ? Прости, но я больше верю написанному тут, а не тебе:
http://www.netfilter.org/projects/nftables/index.html

It supports 3/4 of the existing iptables features

AS ★★★★★
()
Ответ на: комментарий от zabbal

Да ты просто огонь! Быстрее молнии!

С nftables ты уже прокололся.

Тут свежачок про Кеннеди открывают

То есть, по статейке с опеннет вопросов нет. Это хорошо. :-)

AS ★★★★★
()
Ответ на: комментарий от h578b1bde

Ответ на сообщение:

Навеяно www.linux.org.ru/people/RapidFire/profile С каких пор это является причиной для бана? Ибо диссонанс вызывает тот факт что какой-нибудь Кащенка со своим узнаваемым быдлосленгом живее всех живых, а Фаерстартера (если это он) с вроде бы адекватными комментариями забанили с сабжевой формулировкой. Мне вроде бы пофиг, но чувство прекрасного слегка недоумевает. Хотя вполне возможно что я пропустил какую-либо драму.

Из личной неприязни он все его акки банит, как только он спалится (за частую использованием типичных для него выражений типа «провокация пламени»). За что хейт хз, может за гомофобию (есть мнение что в модераторах большинство геи, большинство состава туда пролезли за счёт того что насосали).

#t13788132

anonymous
()
Ответ на: комментарий от h578b1bde

Ответ на сообщение:

Навеяно www.linux.org.ru/people/RapidFire/profile С каких пор это является причиной для бана? Ибо диссонанс вызывает тот факт что какой-нибудь Кащенка со своим узнаваемым быдлосленгом живее всех живых, а Фаерстартера (если это он) с вроде бы адекватными комментариями забанили с сабжевой формулировкой. Мне вроде бы пофиг, но чувство прекрасного слегка недоумевает. Хотя вполне возможно что я пропустил какую-либо драму.

Из личной неприязни он все его акки банит, как только он спалится (за частую использованием типичных для него выражений типа «провокация пламени»). За что хейт хз, может за гомофобию (есть мнение что в модераторах большинство геи, большинство состава туда пролезли за счёт того что насосали).

#t13788132

anonymous
()
Ответ на: комментарий от h578b1bde

Сорри за дубль, интернет тупит.

Дополню: но за что конкретно банят все его инкарнации они никогда ответить не могут, не могут указать за какие конкретно посты, отмахиваясь от вопросов своим шлангом.

#t13788132

anonymous
()
Ответ на: комментарий от AS

Прости, но я больше верю написанному тут, а не тебе

Не прощу - использовать столь тупой приём как выборочное цитирование даже тебе должно быть стыдно. Давай всё-таки расскажем людям правду:

It supports 3/4 of the existing iptables features, although it provides new features that you cannot find in iptables.

zabbal ★★★★★
()
Ответ на: комментарий от AS

С nftables ты уже прокололся.

Ты хочешь сказать, что уже слился со своим выборочным цитированием и передёргиванием? Или ещё побарахтаешься и попробуешь таки найти фичу, которая отсутствует в nft, но есть в iptables?

zabbal ★★★★★
()
Ответ на: комментарий от zabbal

Не прощу - использовать столь тупой приём как выборочное цитирование

С чего бы выборочное ? Меня не интересует пока provides new features - я ещё даже не думал, как ими пользоваться, меня интересует переносимость. А она, увы и ах, 3/4 of the existing iptables features. Точка. Вот будет хотябы процентов 98, тогда приходи.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.