Systemd 258 verzichtet auf cgroup v1 und erhöht die Kernel-Baseline auf 5.4
Systemd 258 verzichtet auf cgroup v1, legt Kernel-Baseline 5.4 fest, verschärft TTY-Berechtigungen und macht OpenSSL zum einzigen TLS-Backend, was sicherheitsorientierte Änderungen kennzeichnet.
Eine Übersetzung von 🇬🇧 Linuxiac.com
Systemd, ein weit verbreiteter System- und Dienstmanager für Linux, hat seine neueste Version, v258, veröffentlicht, die wichtige Änderungen mit sich bringt, die Administratoren beachten sollten.
🎓 Die wohl wichtigste Änderung ist, dass die Unterstützung für cgroup v1 – die sogenannten „Legacy“- und „Hybrid“-Hierarchien – entfernt wurde. Von nun an wird nur noch cgroup v2 während des Bootvorgangs und innerhalb von systemd-nspawn-Containern gemountet.
Eine weitere bemerkenswerte Änderung ist die Anhebung der Mindestanforderungen an den Kernel. Die Basis ist nun Linux 5.4, das erstmals 2019 veröffentlicht wurde, wobei 5.7 als empfohlene Version aufgeführt ist. Das bedeutet, dass ältere Distributionen oder Kernel systemd 258 einfach nicht ausführen können.
Auch im Bereich Sicherheit gibt es Änderungen. Standardmäßig erhalten tty/pts-Geräteknoten nun den Modus 0600 anstelle des alten 0620, was effektiv bedeutet, dass „mesg n“ die neue Norm ist. Auf der Kryptografie-Seite ist OpenSSL nun das einzige unterstützte Backend für systemd-resolved und systemd-importd, während die Unterstützung für GnuTLS und libgcrypt eingestellt wurde.
Die Sitzungsverwaltung wurde ebenfalls überarbeitet. systemd-logind ordnet Systemaufgaben wie Cron-Jobs oder FTP-Sitzungen nun standardmäßig neuen „leichten“ Klassen zu. Auf diese Weise wird kein vollständiger benutzerspezifischer Dienstmanager gestartet, sofern dies nicht ausdrücklich konfiguriert wurde. PAM-Sitzungen, die mit normalen Benutzern verknüpft sind, bleiben unverändert.
Administratoren, die alte Setups verwalten, sollten ebenfalls beachten: Die Unterstützung für Init-Skripte im System-V-Stil ist offiziell veraltet und soll in systemd 259 entfernt werden. Gleiches gilt für das veraltete Verzeichnis /run/lock/ und für die iptables-Unterstützung in networkd und nspawn, die ab der nächsten Version ausschließlich auf nftables basieren wird.
Auf der Funktionsseite gibt es viel Neues. Eine neue Option PrivateUsers=full bildet den gesamten 32-Bit-UID-Raum ab, während ProtectHostname=private es Einheiten ermöglicht, ihren eigenen Hostnamen in einem enthaltenen Namensraum zu ändern. systemd fügt außerdem Parallelitätsbeschränkungen für Slices, Verzeichnisquoten pro Dienst und eine ConditionVersion= Direktive hinzu, die die Versionen mehrerer Komponenten überprüft, nicht nur die des Kernels.
Auch beim Netzwerk und der Geräteverwaltung gibt es Verbesserungen. systemd-resolved führt DNS-Delegate-Zonen für flexibleres Routing ein, und udev wendet nun strengere Regeln für OWNER=/GROUP= Einstellungen an. Networkd verkürzt die IPv4-Duplicate-Address-Detection standardmäßig auf 200 ms, fügt MPLS-Routing, BOOTP-Unterstützung und neue Optionen für Bridges, VXLAN- und HSR-Geräte hinzu.
Was schließlich den Boot-Prozess betrifft, so versteht systemd-boot nun neue UKI-Stanzas, und ein neues Dienstprogramm, systemd-factory-reset, ermöglicht es, einen Reset direkt aus dem Userspace heraus auszulösen oder abzubrechen. Auch die TPM2-Verarbeitung hat sich geändert: Registrierungen sind standardmäßig nicht mehr an PCR7 gebunden, und Benutzern wird empfohlen, sich auf systemd-pcrlock mit signierten Richtlinien zu verlassen.
Weitere Informationen zu allen Änderungen in Systemd 258 finden Sie im vollständigen Changelog auf GitHub.
Comments