Linuxeden开源社区不久前发布的 systemd 259-rc1 是这个主导的 Linux 初始化系统和服务管理器的下一个版本的第一个测试发布。
systemd 259 的一些功能亮点包括:
– 在 rc1 发布前刚刚合并的是使用 musl libc 作为 GNU C 库(glibc)替代品的实验性支持。
– systemd 的服务管理器 Varlink IPC 实现已扩展,现在提供了更多功能。
– 新增 OOMKills 和 ManagedOOMKills 属性,用于 systemd 服务单元统计内核或 systemd-oomd 执行的进程杀戮次数。
– systemd-udevd 和 systemd-repart 将以更优雅和渐进的方式重新读取块设备的分区表。
– systemd-boot 现在支持日志级别。
– Linux 审计支持、PAM 支持、libacl、libblkid、libseccomp、libselinux 和 libmount 均通过 dlopen()实现支持,而非常规动态链接,以帮助减少容器内的占用空间。
– systemd-modules-load 现在将并行加载配置的内核模块。
– systemd-integrity-setup 现在支持 HMAC-SHA256、PHMAC-SHA256 和 PHMAC-SHA512。
– systemd 的 run0 增加了一个 “–empower” 参数,可以在不切换到 root 用户的情况下以提升权限启动新会话。run0 的 “–empower” 模式进一步描述如下:
“run0 获得了一个新的 –empower 开关。它将启动一个具有提升权限的新会话——而无需切换到 root 用户。具体来说,它设置了完整的 ambient 权能掩码(包括 CAP_SYS_ADMIN),这确保了特权系统调用通常会被允许。此外,它将会话进程添加到新的 “empower” 系统组中,该组被 polkit 尊重,并允许对大多数 polkit 操作进行特权访问。这种方式提供了一种更少侵入性的获取权限方法,因为它不会更改 $HOME 或 UID,从而避免了在用户主目录中创建属于错误 UID 的文件的风险。(注意:–empower 可能并非在所有情况下都有效,因为许多程序仍然纯粹基于 UID 进行访问检查,而 Linux 进程权能或 polkit 策略对它们没有任何影响。)
– systemd 日志的默认存储模式现在为 “persistent” 而不是 “auto”。
– 由于安全性更好,systemd-boot 和 systemd-stub 对 TPM 1.2 的支持现已移除,专注于仅支持 TPM 2.0。
与此同时,计划中的 systemd 260 版本将移除 System V 服务脚本,并要求 Linux 5.10 及以上版本(但推荐 Linux 5.14 及以上版本),以及其他不兼容的变更也很多。
有关 systemd 259-rc1 版本的下载和更多详细信息,请访问 GitHub。
转自 systemd 259-rc1 Released With Musl libc Support, New run0 “Empower” Mode – Phoronix