Tras tres meses de intenso desarrollo, la esperada versión 261 del gestor de sistemas systemd ya está entre nosotros. Esta actualización es absolutamente masiva y redefine la forma en que las distribuciones Linux pueden instalarse, actualizarse y gestionar su seguridad.

Uno de los añadidos más sorprendentes es la llegada de systemd-sysinstall, un componente totalmente nuevo que actúa como un instalador de sistema operativo nativo. Esta herramienta, manejable tanto desde la línea de comandos como mediante una interfaz de texto, no reinventa la rueda, sino que organiza inteligentemente capacidades que ya existían: utiliza systemd-repart para preparar las particiones del disco, bootctl para inyectar el kernel y el gestor de arranque, y systemd-creds para configurar los cimientos del nuevo sistema, como el idioma o el teclado.

Principales novedades de systemd 261

De la mano de este instalador, la herramienta systemd-sysupdate ha sido declarada estable, abandonando su fase experimental para ofrecer actualizaciones atómicas y seguras del sistema mediante un mecanismo de particiones A/B, garantizando que siempre haya una versión funcional a la cual recurrir si algo falla.

El rendimiento ininterrumpido en servidores críticos recibe la compatibilidad del controlador PID1 con los subsistemas del kernel LUO (Live Update Orchestration) y KHO (Kexec Handover). En la práctica, esto significa que ahora es posible actualizar el kernel de Linux y reiniciarlo sobre la marcha sin interrumpir el funcionamiento de los servicios y sin perder el estado de la memoria RAM o de los dispositivos de hardware.

Para lograr esta magia, systemd permite que las unidades guarden sus descriptores de archivo antes de ejecutar el kexec y los restauren inmediatamente después, asegurando una continuidad absoluta en operaciones delicadas como el manejo de interrupciones o el acceso directo a memoria (DMA).

La integración con la nube ha recibido el estreno del subsistema systemd-imdsd. Este demonio proporciona una API basada en el protocolo Varlink que permite a los programas locales consultar los metadatos de la instancia (IMDS) en entornos de nube. Gracias a una nueva base de datos de hardware, el sistema es capaz de reconocer automáticamente infraestructuras gigantescas como Amazon EC2, Microsoft Azure, Google Compute Engine o Hetzner leyendo la información de la BIOS. Esto es fantástico para los administradores, ya que permite crear imágenes de disco universales que detectan automáticamente si están en la nube para extraer datos vitales como su ubicación geográfica o configuración de red, pero que siguen funcionando a la perfección si se ejecutan en servidores locales tradicionales.

En el terreno de la seguridad y el cumplimiento legal, systemd 261 introduce herramientas para los equipos que no cuentan con un chip de seguridad físico, se ha implementado la función «boot secret», la cual genera una clave aleatoria cifrada desde el entorno UEFI. Esta clave puede ser consumida por el nuevo servicio de emulación systemd-tpm2-swtpm, proporcionando un TPM por software que, si bien no es tan robusto como el hardware dedicado, permite disfrutar de funciones de arranque seguro y cifrado de discos en sistemas antiguos o entornos virtuales.

Por otro lado, anticipándose a las normativas legales de los distintos países, la base de datos de usuarios ahora soporta el campo de fecha de nacimiento. Esto habilita una API estandarizada a través de D-Bus para que el sistema operativo y el entorno de escritorio puedan verificar la edad del usuario, facilitando la implementación de controles parentales integrados a nivel de sistema.

Finalmente, el servicio de resolución de nombres, systemd-resolved, ahora permite configurar registros DNS avanzados directamente mediante archivos JSON, superando las clásicas limitaciones del archivo hosts tradicional y permitiendo limitar el tamaño de sus cachés.

A nivel de dependencias, la librería base libsystemd ahora carga bibliotecas criptográficas y de red de forma dinámica solo cuando se necesitan realmente, aligerando el consumo del sistema. Si trabajas con máquinas virtuales, systemd-vmspawn estrena un modo verdaderamente invisible sin consola, soporte para arranque directo del kernel sin pasar por UEFI, y lo más destacable: compatibilidad con la tecnología AMD SEV-SNP para cifrar la memoria de las máquinas virtuales y garantizar la computación confidencial.

Como detalle técnico de cierre, esta versión marca el fin del soporte para bases de datos udev extremadamente antiguas (impidiendo la actualización directa desde versiones anteriores a la 247) y exige al menos la versión 1.2.6 si se compila utilizando la biblioteca C musl.

Finalmente, si estas interesado en poder conocer mas al respecto, puedes consultar los detalles en el siguiente enlace.

Artículo original