The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Новая версия systemd 214"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новая версия systemd 214"  +/
Сообщение от opennews (??) on 12-Июн-14, 17:54 
Леннарт Поттеринг (Lennart Poettering) представил (http://lists.freedesktop.org/archives/systemd-devel/2014-Jun...) выпуск системного менеджера systemd 214 (http://www.freedesktop.org/software/systemd/), примечательный интеграцией некоторых новых механизмов для организации изоляции сервисов и минимизации привилегий фоновых процессов, обеспечением поддержки сетевых интерфейсов "veth", GRE и VTI в systemd-networkd, средствами для формирования типовой начинки создаваемых tmpfs-разделов (например, воссоздать базовую структуру /var).

Systemd сочетает в себе функции системы инициализации, механизм для контpроля за выполнением фоновых процессов, службу для журналирования событий и средства для управления сервисами, сеансами пользователей и подключаемыми устройствами. Для определения параметров сервисов в Systemd используется набор конфигурационных unit-файлов, вместо оформления сценариев запуска в виде shell-скриптов. Система нацелена на интенсивную параллелизацию выполнения сервисов на этапе загрузки системы, вобрав в себя лучшие черты таких систем, как launchd (Mac OS X), SMF (Solaris) и Upstart (Ubuntu, старые версии Fedora). В настоящее время на использование systemd уже перешли такие дистрибутивы, как Fedora, openSUSE, Mandriva и Arch Linux, одобрен переход дистрибутивов Debian и Ubuntu по умолчанию на systemd.


Наиболее существенные изменения:

-  В systemd-nspawn реализована опция "--tmpfs" для монтирования tmpfs-раздела к заданной директории, структура которой может быть воссоздана по специально определённому шаблону. Например, при запуске контейнера можно разместить /var в tmpfs и реконструировать базовое содержимое данного раздела. Для выполнения данной операции достаточно выполнить команду "systemd-nspawn -D /srv/mycontainer --read-only --tmpfs=/var -b", что создаст /var поверх доступной только на чтение основы контейнера и сформирует начинку для пустой директории /var. После остановки контнейнера, содержимое /var будет очищено.


Указанный подход, позволяет упростить запуск множества типовых экземпляров контейнера на основе одного базового образа директорий и не заботиться об их изоляции друг от друга. В настоящее время в systemd-tmpfiles добавлен шаблон для воссоздания структуры иерархии /var, а для сервисов реализованы средства создания недостающих в /var директорий. В следующем выпуске ожидается появление возможности загрузки контейнеров с примонтированным через tmpfs пустым разделом /etc или  корневым разделом, что позволит ограничиться подготовкой типового содержимого раздела /usr.


Нововведению также сопутствует несколько улучшений в systemd-tmpfiles: добавлена поддержка строк с типом операции "C", предназначенных для копирования в новый раздел файлов или целых директорий; строки с типами "m" и "z" теперь полностью эквиваленты (рекомендуется использовать "z"); при задании прав доступа теперь допустимо использовать префикс "~", который воспринимается как маска для существующих файлов и директорий.


-  Для сервисов обеспечена поддержка настроек "ReadOnlySystem" и "ProtectedHome", которые применены ко всем длительно работающим процессам systemd. При указании "ReadOnlySystem" разделы /usr и /boot для указанного сервиса будут примонтированы в режиме "только для чтения", что заблокирует возможность  несанкционированного изменения системной части операционной системы. При указании "ProtectedHome"  в режиме только для чтения будут примонтированы разделы /home и /run/user или данные разделы будут заменены на пустые директории, что позволит добиться ограничения доступа к конфиденциальным пользовательским данным.

-  В сервисе "systemd-networkd", предназначенном для унификации компонентов дистрибутивов, используемых для настройки параметров сети, добавлена поддержка настройки виртуального ethernet (интерфейс  "veth") для соединения контейнеров, а также поддержка туннелей GRE и VTI.

-  В udev реализована экспериментальная возможность установки блокировок (flock(LOCK_SH|LOCK_NB)) на файл дисковлого устройства во время выполнения действия с дисковыми разделами. Приложения, такие как редакторы разделов, могут использовать данную особенность для установки flock(LOCK_EX) как признака временной занятости устройства, при котором udev приостановит выполнения всех действий по работе с диском и после освобождения блокировки перечитает таблицу разделов.

-  Из демона systemd удалена поддержка скриптов инициализации SysV и LSB. Для обеспечения совместимости теперь применяется генерация unit-файлов на основе скриптов инициализации. Указанное изменение привело к заметной чистке обработчика PID 1 от устаревшего кода;


-  Сокращены привилегии различных компонентов systemd: Определение доступных механизмов виртуализации  теперь выполняется без получения повышенных привилегий, т.е. systemd-detect-virt  не требует установки прав CAP_SYS_PTRACE. Systemd-networkd теперь запускается под непривилегированным пользователем "systemd-network" и получает доступ к необходимым возможностям через capabilities-режимы CAP_NET_ADMIN, CAP_NET_BIND_SERVICE, CAP_NET_BROADCAST и CAP_NET_RAW, что подразумевает потерю возможности записи в файлы с правами root. Аналогичный сброс прав за счёт установки необходимых capabilities и запуска под непривилегированными пользователями обеспечен для  systemd-resolved и systemd-bus-proxyd;


-  В Socket-юнитах обеспечена поддержка новых опций: "SocketUser=" и "SocketGroup=" для установки владельца для файлов-сокетов  AF_UNIX и FIFO. "RemoveOnStop=" для удаления FIFO и других привязанных к сокетам спецфайлов; "Symlinks=" для создания символических ссылок на файлы с сокетами и FIFO при заведении определённых unix-сокетов;

-  В опцию "Restart=" добавлена поддержка свойства "on-abnormal", указывающего на необходимость автоматического перезапуска при любых ненормальных завершениях, включая нештатные сигналы, core-дампы, истечения таймаутов и срабатывание watchdog-таймеров. Перезапуск не производится только при выходе с кодами завершения или по явным сигналам. От "on-failure"  свойство "on-abnormal" отличается допустимостью завершения по всем кодам возврата, в том числе сигнализирующим об ошибках;

-  Если настройка "InaccessibleDirectories=" в сервисе ссылается на точку монтирования, то осуществляется попытка отмонтирования для данного сервиса;

-  Настройка "ReadOnlyDirectories=" в сервисах и параметр  "--read-only" в     systemd-nspawn теперь рекурсивно применяются ко всем точкам монтирования;
-  Юниты для монтирования теперь могут создаваться в прозрачном режиме через API;

-  Прекращена зависимость от libattr, так как функции для работы с расширенными атрибутами файлов уже присутствуют в glibc.

-  Добавлен новый пассивный целевой юнит "network-pre.target", который вызывается до конфигурации сети, что может быть полезно, например для скриптов межсетевых экранов.
      


URL: http://lists.freedesktop.org/archives/systemd-devel/2014-Jun...
Новость: https://www.opennet.ru/opennews/art.shtml?num=39985

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новая версия systemd 214"  +13 +/
Сообщение от Аноним (??) on 12-Июн-14, 17:54 
>Из демона systemd удалена

Лёня, ты ли это?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Новая версия systemd 214"  +7 +/
Сообщение от vitalif (ok) on 12-Июн-14, 18:15 
Дак SysV же поддержка удалена - это же не модная фича. Так что всё в норме.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

43. "Новая версия systemd 214"  +1 +/
Сообщение от Elhana email(ok) on 13-Июн-14, 04:31 
Нагенегирь в каждый unit файл тупо запуск того-же шелл-скрипта и фсе
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

44. "Новая версия systemd 214"  +1 +/
Сообщение от pkdr (ok) on 13-Июн-14, 11:19 
Готовится перейти в команду третьегнома?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Новая версия systemd 214"  +3 +/
Сообщение от Аноним (??) on 12-Июн-14, 18:36 
> Для обеспечения совместимости теперь применяется генерация unit-файлов на
> основе скриптов инициализации.

Он меня пугает. Он что, тоже написал AI? Который прошел тест Тюринга и поэтому научился транслировать код в конфиги?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Новая версия systemd 214"  +7 +/
Сообщение от Аноним (??) on 12-Июн-14, 18:55 
> oh, thank you, lenard, for this sweet retrograde's butthurt, i love you so much!

MGIMO finished?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "Новая версия systemd 214"  +1 +/
Сообщение от Константавр (ok) on 12-Июн-14, 19:20 
Ask!!! :)
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

35. "Новая версия systemd 214"  +1 +/
Сообщение от Аноним (??) on 12-Июн-14, 23:02 
мгимо плохому не научит
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

38. "Новая версия systemd 214"  +1 +/
Сообщение от Аноним (??) on 12-Июн-14, 23:30 
> мгимо плохому не научит

- How much watch?
- Ten watch?
- Such much?!

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

34. "Новая версия systemd 214"  +/
Сообщение от maxis11 (ok) on 12-Июн-14, 22:56 
You should say something like this: "Did you finish MGIMO?"
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

37. "Новая версия systemd 214"  +1 +/
Сообщение от Аноним (??) on 12-Июн-14, 23:30 
> You should say something like this: "Did you finish MGIMO?"

I should say something like "you're nuts".

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

50. "Новая версия systemd 214"  +/
Сообщение от 1 (??) on 13-Июн-14, 20:49 
This is a scool of Alexander Nevsky?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Новая версия systemd 214"  +7 +/
Сообщение от kholeg (ok) on 12-Июн-14, 18:52 
Даёшь новую специальность: "Systemd-Администратор"!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Новая версия systemd 214"  +5 +/
Сообщение от A.Stahl (ok) on 12-Июн-14, 18:55 
Это ещё ладно. Как бы до "Systemd-Оператор" не дошло -- вот это действительно было бы страшно.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

33. "Новая версия systemd 214"  +4 +/
Сообщение от pamela anderson on 12-Июн-14, 22:34 
Администраторд или администретард
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

45. "Новая версия systemd 214"  +/
Сообщение от Alex (??) on 13-Июн-14, 13:19 
Даёшь новый девайс — iSystemd.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

20. "Новая версия systemd 214"  +/
Сообщение от Аноним (??) on 12-Июн-14, 19:30 
Новости о релизах bleeding edge-софта уже даже как-то и не веселят даже
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Новая версия systemd 214"  +/
Сообщение от Аноним (??) on 12-Июн-14, 20:32 
Как я понимаю временная папка tmpfs теперь в оперативе. Например Audacity активно создает временные файлы, может до нескольких десятков Гб доходить при долгой работе (потом удаляет, конечно). Придется переносить обратно на винт.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Новая версия systemd 214"  +/
Сообщение от Аноним (??) on 12-Июн-14, 21:26 
tmpfs всегда была в оперативе
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору
Часть нити удалена модератором

39. "Новая версия systemd 214"  +/
Сообщение от Аноним (??) on 12-Июн-14, 23:33 
> Ты лишь забыл уточнить, в какой ОС.

Именно tmpfs как тип файловой системы - вероятно, в люой ОС которая это поддерживает. В этом и был пойнт tmpfs - она реально временная :).

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

36. "Новая версия systemd 214"  +/
Сообщение от Stax (ok) on 12-Июн-14, 23:12 
Внезапно, все подобные программы, которые могут сохранить (очень много) в /tmp - audacity в том числе - позволяют задать другой каталог для временных файлов в настройках.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

46. "Новая версия systemd 214"  –1 +/
Сообщение от анононо on 13-Июн-14, 13:46 
например супер баг (фича) mc - копирование файлов на удалённую ssh.
Умилительно сначала файл копирует в /tmp, потом закачивает. Представь что бывает когда
свободное местов в /tmp < file_size.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

47. "Новая версия systemd 214"  +1 +/
Сообщение от Stax (ok) on 13-Июн-14, 14:08 
Ну так исправляйте баг :) Зачем ему это место, если для этой операции по сути никаких файлов не нужно? Если место будет заканчиваться на / - это будет лучше? Причем тут вообще tmpfs?..
Вот баг, если кто пользуется mc, может исправить.. https://www.midnight-commander.org/ticket/77
Он еще эти файлы после себя может не удалять, оставляя как мусор, судя по всему: http://www.midnight-commander.org/ticket/32

Так что пользуйтесь sftp или же сделайте себе alias mc='TMPDIR=/тут-много-места mc'..

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

51. "Новая версия systemd 214"  +/
Сообщение от Аноим on 14-Июн-14, 13:05 
А зачем для этого юзать mc?
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

42. "Новая версия systemd 214"  +2 +/
Сообщение от Аноним email(??) on 13-Июн-14, 04:21 
Загрузчик добавить и ядро можно выкидывать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру