Systemd 258 удаляет cgroup v1, повышает базовую версию ядра до 5.4

В Systemd 258 удалена cgroup v1, установлена базовая версия ядра 5.4, ужесточены права доступа к TTY и OpenSSL стал единственным бэкендом TLS. Эти изменения направлены на повышение безопасности.

Systemd, широко распространённый менеджер систем и сервисов для Linux, выпустил свою последнюю версию 258, в которой внесены существенные изменения, о которых следует знать администраторам.

Вероятно, самым заметным изменением стало удаление поддержки cgroup v1 — так называемых «устаревшей» и «гибридной» иерархий. Теперь во время загрузки и внутри контейнеров systemd-nspawn используется только cgroup v2.

Ещё одно заметное изменение — повышение минимальных требований к ядру. Теперь в качестве базовой версии используется Linux 5.4, впервые выпущенный в 2019 году, а рекомендуемой версией является 5.7. Это означает, что более старые дистрибутивы или ядра просто не смогут работать с systemd 258.

Также внесены изменения в систему безопасности. По умолчанию узлы устройств tty/pts теперь работают в режиме 0600 вместо старого режима 0620, что фактически означает, что «mesg n» — это новая норма. Что касается криптографии, то OpenSSL стал единственным поддерживаемым бэкендом для systemd-resolved и systemd-importd, при этом поддержка GnuTLS и libgcrypt прекращена.

Обработка сеансов также была переработана. systemd-logind теперь назначает системные задания, такие как cron-задачи или FTP-сеансы, новым “легким” классам по умолчанию. Таким образом, они не будут запускать полноценный менеджер обслуживания для каждого пользователя, если явно не настроены. Сеансы PAM, привязанные к обычным пользователям, остаются неизменными.

Администраторам, поддерживающим старые настройки, также следует принять к сведению: поддержка сценариев инициализации в стиле System V официально устарела и запланирована к удалению в systemd 259. То же самое касается устаревшего /run/lock/ каталога и поддержки iptables в networkd и nspawn, которые будут полагаться исключительно на nftables из следующего выпуска.

Что касается возможностей, то их предостаточно. Новый PrivateUsers=full параметр отображает все 32-разрядное пространство UID, в то время как ProtectHostname=private позволяет устройствам изменять свое собственное имя хоста в замкнутом пространстве имен. systemd также добавляет ограничения параллелизма для фрагментов, квоты каталога для каждой службы и ConditionVersion= директиву, которая проверяет версии нескольких компонентов, а не только ядра.

Улучшения коснулись и сетевых подключений, и управления устройствами. В systemd-resolved появились зоны делегирования DNS для более гибкой маршрутизации, а в udev теперь применяются более строгие правила для настроек OWNER=/GROUP=. Networkd по умолчанию сокращает время обнаружения дубликатов IPv4-адресов до 200 мс, добавляет маршрутизацию MPLS, поддержку BOOTP и новые параметры для мостов, устройств VXLAN и HSR.

Наконец, что касается процесса загрузки, systemd-boot теперь поддерживает новые строфы UKI, а новая утилита systemd-factory-reset позволяет запускать или отменять перезагрузку непосредственно из пользовательского пространства. Обработка TPM2 также изменилась: по умолчанию регистрация больше не привязана к PCR7, и пользователям рекомендуется использовать systemd-pcrlock с подписанными политиками.

Дополнительную информацию обо всех изменениях в Systemd 258 можно найти в полном списке изменений: https://github.com/systemd/systemd/releases/tag/v258 на GitHub.

Редактор: AndreyEx