systemd 256 llega con run0, el ‘clon’ de sudo que pretende mejorar la seguridad
systemd 256 ya es una realidad con una interesante novedad que puede representar un cambio importante dentro de Linux en un futuro no muy lejano, si bien eso al final dependerá de las decisiones que tomen las distribuciones. Sin más dilación, procedemos a exponer las principales novedades.
En primer lugar tenemos la introducción de run0, una especie de clon de sudo que pretende mejorar la seguridad mediante la reducción de la superficie de ataque. Para ello y según Lennart Poettering, creador de systemd, hace que “el comando de destino se invoque en un contexto de ejecución aislado, recién bifurcado del PID 1, sin heredar ningún contexto del cliente”, haciendo que su comportamiento sea más similar al de SSH.
Y ya que hemos mencionado a SSH, por ahí está el generador systemd-ssh-generator
, que ha sido añadido para ver si el binario de SSHD (el daemon de SSH) está presente y luego vincularlo mediante la activación del socket por conexión a varios sockets dependiendo del contexto en ejecución. También es capaz de generar opcionalmente un fichero de servicio de activación de socket por conexión que envuelve a SSHD.
Otra cosa interesante de systemd 256 es la nueva opción de línea de comando del kernel systemd.crash_action=
, que ha provocado que systemd.crash_reboot
haya sido marcada como obsoleta y soporta como valores o acciones la congelación, el reinicio y el apagado. Por otro lado, cgroup v1 ha pasado a ser considerado como obsoleto y por lo tanto systemd rechazará iniciarse debajo de este en su configuración predeterminada.
En lo que respecta a systemd-networkd
, este proporciona a partir de ahora soporte básico para la interfaz Varlink y puede recoger secretos de WireGuard desde las credenciales del propio systemd. Continuando con algo parecido, las credenciales de servicio cifradas pueden ser puestas a disposición de usuarios sin privilegios a través de nuevas opciones introducidas en systemd-creds
, mientras que systemd-homed
puede desbloquear directorios de usuario cuando se inicia sesión a través de SSH.
Una nueva herramienta de línea de comandos que ha llegado es importctl
, que permite descargar, importar y exportar imágenes de disco a través de systemd-importd
. Básicamente amplía las posibilidades proporcionadas por machinectl
.
Como bien sabrán nuestros lectores (y muy posiblemente muchas otras personas debido a la repercusión que tuvo el asunto), systemd se vio indirectamente golpeado por la puerta trasera que fue descubierta en XZ, la cual se quedó cerca de comprometer todo el ecosistema de Linux o al menos buena parte de este. Aquí nos encontramos con que varias bibliotecas de dependencia han sido convertidas de bibliotecas de dependencia normales a dependencias de dlopen()
con el fin de reforzar la seguridad.
Como último aspecto interesante tenemos que varios programas de systemd buscarán ahora cargar sus ficheros de configuración principales desde ubicaciones como /usr/lib
, /usr/local/lib
y /run
en lugar de solo /etc
.
Y estas son las novedades más importantes de systemd 256, la nueva versión del marco o framework que gobierna la mayoría de las distribuciones Linux más relevantes. Los que quieran conocer todos los detalles pueden consultarlos en el anuncio oficial, donde hay bastante material debido a que este proyecto tiene un desarrollo muy activo.
systemd es un componente cuya actualización no suele ser crítica para la inmensa mayoría de los usuarios, pero aquellos que quieran tener la última versión tienen la posibilidad de compilarlo o esperar a que sea suministrado a través de los repositorios de alguna distribución rolling release y bleeding edge como Arch Linux u openSUSE Tumbleweed.
La entrada systemd 256 llega con run0, el ‘clon’ de sudo que pretende mejorar la seguridad es original de MuyLinux