Linux Adictos Darkcrizt  

systemd 253 llega con UKI, mejoras de soporte y mas

systemd

systemd es un conjunto de demonios o daemons de administración de sistema, bibliotecas y herramientas diseñados como una plataforma de administración y configuración central para interactuar con el núcleo del Sistema operativo GNU/Linux

Después de tres meses y medio de desarrollo se dio a conocer el lanzamiento de la nueva versión de systemd 253, versión en la cual la utilidad ‘ukify’ se incluye para compilar, verificar y generar firmas para imágenes de kernel unificadas (UKI, Unified Kernel Image), combinando un controlador para cargar el kernel desde UEFI (stub de arranque UEFI), una imagen de kernel de Linux y un entorno de sistema cargado en la memoria initrd utilizada para la inicialización inicial en la etapa antes de montar el FS root.

La utilidad reemplaza la funcionalidad proporcionada anteriormente por el comando ‘dracut –uefi’ y la complementa con características para calcular compensaciones automáticamente en archivos PE, fusión initrd, firma de imágenes del kernel incrustables, creación de imágenes combinadas con sbsign, heurística para determinar el nombre del kernel, la imagen verificación con una pantalla de inicio y la adición de políticas de PCR firmadas generadas por la utilidad systemd-measure.

Otro de los cambios que se destaca, es que systemd-boot modificó la inicialización para los generadores de números pseudoaleatorios del kernel y para el backend del disco. Se agregó soporte para cargar el kernel no solo desde ESP (EFI System Partition), por ejemplo, desde el firmware o directamente para QEMU. Ademas se proporcionó el análisis de parámetros de SMBIOS para determinar el lanzamiento en un entorno de virtualización. Se implementó un nuevo modo «si es seguro» en el que el certificado para UEFI Secure Boot se carga desde ESP solo si se considera seguro (ejecutándose en una máquina virtual).

La utilidad bootctl implementa la generación de tokens del sistema en todos los sistemas EFI, excepto en los entornos de virtualización. Se agregaron los comandos ‘kernel-identify’ y ‘kernel-inspect’ para mostrar el tipo de imagen del kernel e información sobre las opciones de la línea de comandos y la versión del kernel, «desvincular» para eliminar el archivo asociado con el primer tipo de registro de arranque, «cleanup» para eliminar todos los archivos del directorio «entry-token» en ESP y XBOOTLDR, no asociado con el primer tipo de entrada de arranque. Se proporciona el procesamiento de la variable KERNEL_INSTALL_CONF_ROOT.

El parámetro «OpenFile» se ha agregado a los servicios para abrir archivos arbitrarios en el FS (o conectarse a sockets Unix) y pasar los descriptores de archivos asociados al proceso en ejecución (por ejemplo, cuando necesita organizar el acceso a un archivo para un usuario sin privilegios) .

En systemd-cryptenroll, al registrar nuevas claves, es posible desbloquear particiones cifradas usando tokens FIDO2 (–unlock-fido2-device) sin necesidad de ingresar una contraseña. Almacena un PIN especificado por el usuario con sal para dificultar la determinación de la fuerza bruta.

De los demás cambios que se destacan:

  • Se agregó soporte para entornos initrd sin memoria que usan overlayfs en lugar de tmpfs. Para dichos entornos, systemd no elimina todos los archivos en el initrd después de un cambio del sistema de archivos root.
  • Se agregaron configuraciones de ReloadLimitIntervalSec y ReloadLimitBurst, así como opciones de línea de comando del kernel (systemd.reload_limit_interval_sec y /systemd.reload_limit_burst) para limitar la tasa de reinicio del proceso en segundo plano.
  • Para las unidades, se implementa la opción «MemoryZSwapMax» para establecer la propiedad memory.zswap.max, que determina el tamaño máximo de zswap.
  • Para las unidades, se implementa la opción «LogFilterPatterns», que le permite establecer expresiones regulares para filtrar la información que se muestra en el registro (se puede usar para excluir cierta salida o guardar solo ciertos datos).
  • El comando ‘systemctl list-dependencies’ ahora maneja las opciones «–type» y «–state», y el comando ‘systemctl kexec’ agrega soporte para entornos basados ​​en el hipervisor Xen.
  • Se agregó soporte para las opciones SocketPriority y QuickAck, RouteMetric=high|medium|low, a los archivos .network en la sección [DHCPv4].
  • systemd-journal-remote permite que las configuraciones MaxUse, KeepFree, MaxFileSize y MaxFiles limiten el consumo de espacio en disco.
  • Se agregó compatibilidad con systemd-cryptsetup para enviar solicitudes proactivas a tokens FIDO2 para determinar su presencia antes de la autenticación.
  • Se agregaron nuevos parámetros tpm2-measure-bank y tpm2-measure-pcr a crypttab.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.