Systemd 258 отказывается от cgroup v1, повышает минимальную версию ядра до 5.4

Systemd 258 отказывается от cgroup v1, устанавливает базовый уровень ядра 5.4, ужесточает разрешения TTY и делает OpenSSL единственным TLS-бэкендом, отмечая изменения, ориентированные на безопасность.

Systemd, широко используемый менеджер систем и сервисов для Linux, выпустил свою последнюю версию, v258, которая вводит значительные изменения, о которых администраторам следует знать.

Вероятно, главное изменение заключается в том, что поддержка cgroup v1 — так называемых «наследуемых» и «гибридных» иерархий — была удалена. С этого момента при загрузке и внутри контейнеров systemd-nspawn монтируется только cgroup v2.

Еще одним заметным шагом является повышение минимальных требований к ядру. Базовой версией теперь является Linux 5.4, впервые выпущенный в 2019 году, а версией, рекомендованной к использованию, указана 5.7. Это означает, что более старые дистрибутивы или ядра просто не смогут запускать systemd 258.

Также происходят изменения в области безопасности. По умолчанию узлы устройств tty/pts теперь получают режим 0600 вместо старого 0620, что фактически означает, что «mesg n» стало новым стандартом. С точки зрения криптографии, OpenSSL стал единственным поддерживаемым бекендом для systemd-resolved и systemd-importd, при этом поддержка GnuTLS и libgcrypt была прекращена.

Обработка сессий также была переработана. systemd-logind теперь по умолчанию назначает системные задачи, такие как задания cron или FTP-сессии, новым «легким» классам. Таким образом, они не будут запускать полноценный менеджер служб для каждого пользователя, если это явно не настроено. PAM-сессии, связанные с обычными пользователями, остаются без изменений.

Администраторам, поддерживающим старые конфигурации, также следует обратить внимание: поддержка скриптов инициализации в стиле System V официально устарела и планируется к удалению в systemd 259. То же касается устаревшей директории /run/lock/ и поддержки iptables в networkd и nspawn, которая с следующего релиза будет полностью полагаться на nftables.

С точки зрения функционала, нововведений много. Новая опция PrivateUsers=full отображает все 32-битное пространство UID, а ProtectHostname=private позволяет юнитам изменять собственное имя хоста в изолированном пространстве имён. systemd также добавляет ограничения параллельной работы для слайсов, квоты на каталоги для отдельных сервисов и директиву ConditionVersion=, которая проверяет версии нескольких компонентов, а не только ядра.

Сетевые подключения и управление устройствами также видят улучшения. systemd-resolved вводит делегированные зоны DNS для более гибкой маршрутизации, а udev теперь применяет более строгие правила для настроек OWNER=/GROUP=. Networkd сокращает время обнаружения дубликатов IPv4 до 200 мс по умолчанию, добавляет маршрутизацию MPLS, поддержку BOOTP и новые опции для мостов, VXLAN и устройств HSR.

Наконец, что касается процесса загрузки, systemd-boot теперь понимает новые секции UKI, а новая утилита systemd-factory-reset позволяет инициировать или отменять сброс прямо из пространства пользователя. Также изменяется работа с TPM2: привязка к PCR7 больше не выполняется по умолчанию, и рекомендуется использовать systemd-pcrlock с подписанными политиками.

Для получения дополнительной информации обо всех изменениях в Systemd 258 посетите полный список изменений на GitHub.