systemd 258 স্থায়ীভাবে cgroup v1 বন্ধ করে দেয় এবং এখন কমপক্ষে Linux 5.4 প্রয়োজন

  • cgroup v1 এর সমাপ্তি, সর্বনিম্ন কার্নেল 5.4, এবং TTY নিরাপত্তা বৃদ্ধি।
  • নতুন ইউটিলিটি: systemd-factory-reset এবং systemd-pty-forward।
  • বুট উন্নতি: UEFI ফার্মওয়্যার এবং সামঞ্জস্যপূর্ণ TPM2 নীতি সহ UKI।
  • ব্যবহারিক নির্দেশিকা: DNSSEC এবং পাই-হোল DNS বিভ্রাটের সমাধান।
Pablinux

9 মিনিট

SystemD 258

SystemD 258 লোড হয়ে আসে লিনাক্সে বুট, নিরাপত্তা, সেশন ব্যবস্থাপনা এবং দৈনিক প্রশাসনকে প্রভাবিত করে এমন পরিবর্তনগুলির একটি তালিকা। এটি একটি সহজ সংস্করণ: এটি মূল কার্নেল প্রযুক্তিগুলিকে সহজ করে তোলে এবং অনেক বিতরণে এখনও থাকা লিগ্যাসি সমর্থন সরিয়ে দেয়, একই সাথে বাস্তব-বিশ্বের পরিস্থিতির জন্য ডিজাইন করা নতুন ইউটিলিটিগুলি যুক্ত করে।

যদি আপনি সার্ভার, ওয়ার্কস্টেশন বা কন্টেইনার পরিবেশের সাথে কাজ করেন, এটা ধরার যোগ্য।. cgroup v1 এর চূড়ান্ত প্রত্যাহার থেকে শুরু করে আরও চাহিদাপূর্ণ কার্নেল ন্যূনতম পর্যন্ত, TTY অনুমতি সমন্বয়ের মাধ্যমে, পরিবর্তনগুলি systemd-logind এবং খবর যেমন systemd-factory-reset o systemd-pty-forward, এই সংস্করণটি কেবল কোনও আপডেট নয়।

cgroup v1 কে বিদায়: এখন থেকে শুধুমাত্র cgroup v2

উৎক্ষেপণের সবচেয়ে আলোচিত অংশটি হল cgroup v1 এর জন্য সমর্থন সম্পূর্ণরূপে অপসারণ করা হচ্ছে। আর কোন লিগ্যাসি বা হাইব্রিড মোড নেই: systemd 258 দিয়ে শুরু করে, বুট করার সময় শুধুমাত্র cgroup v2 মাউন্ট করা হয়, এবং একই জিনিস ঘটে systemd-nspawnএই পরিবর্তনটি কার্নেল রিসোর্স নিয়ন্ত্রণ স্ট্যাককে সহজ করে তোলে এবং আক্রমণ পৃষ্ঠ এবং কনফিগারেশনের অস্পষ্টতা হ্রাস করে।

কেন এটা কোন ব্যাপার? cgroup v2 CPU, মেমোরি, I/O এবং আরও অনেক কিছুর জন্য নিয়ন্ত্রণ মডেলকে একটি সুসংগত শ্রেণিবিন্যাসে একত্রিত করে, অতীতের অসঙ্গতিগুলি এড়িয়ে। এই পদক্ষেপটি দুই বছরেরও বেশি সময় ধরে ঘোষণা করা হয়েছে, তাই এটি অবাক করার মতো কিছু নয়; তবে, যারা এখনও পুরানো কনফিগারেশন ব্যবহার করছিলেন বা v2 এর সাথে খাপ খাইয়ে নেয়নি এমন সরঞ্জামগুলির উপর নির্ভর করছিলেন তাদের উপর এটি প্রভাব ফেলতে পারে।

systemd 258-এ কার্নেলের প্রয়োজনীয়তা: সর্বনিম্ন 5.4, প্রস্তাবিত 5.7

সেই পরিষ্কারের পাশাপাশি, systemd 258 একটি স্থাপন করে সর্বনিম্ন সমর্থিত লিনাক্স কার্নেল 5.4 এবং সুপারিশকৃত হিসাবে 5.7 সুপারিশ করে। এই লাফ পুরোনো শাখাগুলিকে পিছনে ফেলে দেয়: বাস্তবে, এটি প্রতিটি বিতরণকারীর দায়িত্ব। সামঞ্জস্যপূর্ণ কার্নেল অফার করে, কিন্তু যদি আপনি পুরোনো সংস্করণ সহ সিস্টেম রক্ষণাবেক্ষণ করেন তবে আপনাকে এটি করতে হবে কার্নেল আপডেটের পরিকল্পনা করুন systemd এর সাথে আপ টু ডেট থাকার জন্য।

আধুনিক কার্যকারিতা সক্ষম করার পাশাপাশি, একটি সাম্প্রতিক কার্নেল সাধারণত নিরাপত্তার উন্নতি নিয়ে আসে এবং কর্মক্ষমতা, যা এই সংস্করণের উদ্দেশ্যের সাথে খাপ খায়: আচরণগুলিকে মানসম্মত করা এবং রক্ষণাবেক্ষণ করা কঠিন এজ কেসগুলি হ্রাস করা।

নিরাপত্তা: আরও সীমাবদ্ধ TTY অনুমতি এবং একীভূত ক্রিপ্টোগ্রাফি

নিরাপত্তার ক্ষেত্রে, systemd 258 ডিফল্টরূপে TTY/PTS ডিভাইসগুলিতে অ্যাক্সেস শক্ত করে। তৈরি নোডগুলিতে এখন 0620 এর পরিবর্তে 0600 অনুমতি রয়েছে, যা অন্যান্য ব্যবহারকারীদের টার্মিনালে লেখা থেকে বিরত রাখে। এই ব্যবস্থাটি বহু-ব্যবহারকারী পরিবেশে বেশ কয়েকটি বিরক্তিকর এবং সম্ভাব্য বিপজ্জনক পরিস্থিতি দূর করে।

এনক্রিপশন নির্ভরতাগুলির মধ্যেও একীকরণ রয়েছে: systemd-resolved y systemd-importd এখন একচেটিয়াভাবে OpenSSL সমর্থন করেGnuTLS এবং libgcrypt এই উপাদানগুলি থেকে বাদ দেওয়া হয়েছে, যা সামঞ্জস্যতা ম্যাট্রিক্সকে সহজ করে এবং ডুপ্লিকেশন এড়িয়ে যায়। যদি আপনি ধরে নেন যে GnuTLS বা libgcrypt আপনার বিল্ড বা ডিস্ট্রো নীতিতে অন্তর্ভুক্ত ছিল, তাহলে এখনই তাদের পর্যালোচনা করার সময়।

সেশন ম্যানেজমেন্ট: ব্যাকগ্রাউন্ড টাস্ক পুনঃশ্রেণীবদ্ধ করা হয়েছে

আরেকটি গুরুত্বপূর্ণ নতুনত্ব হল systemd-logindএই সংস্করণ অনুসারে, কিছু ব্যাকগ্রাউন্ড কাজ যেমন ক্রোন বা FTP সেশন নতুন 'হালকা' শ্রেণীর অধীনে পুনর্গঠিত করা হয়েছে। এর অর্থ কী? একটি পূর্ণাঙ্গ পরিষেবা ব্যবস্থাপক আর শুরু হবে না তাদের জন্য যদি না স্পষ্টভাবে কনফিগার করা হয়। শেষ ব্যবহারকারীর জন্য, এটি খুব বেশি পরিবর্তন করে না, তবে প্রশাসন এবং নিরীক্ষণের উদ্দেশ্যে, সেশন অ্যাকাউন্টিং এবং রিসোর্স খরচের উপর প্রভাবের কারণে এটি মনে রাখা গুরুত্বপূর্ণ।

systemd 258 লিগ্যাসি সাপোর্ট সরিয়ে দেয়: সিস্টেম V স্ক্রিপ্টের সমাপ্তি

পরিষ্কারের প্রক্রিয়া চলতে থাকে: সিস্টেম ভি-স্টাইলের স্টার্টআপ স্ক্রিপ্টগুলি স্থায়ীভাবে মুছে ফেলা হয়। তাদের সাথে, ক্লাসিক কমান্ড যেমন initctl o telinitএটি একটি প্রত্যাশিত পদক্ষেপ এবং বর্তমান লিনাক্স ইকোসিস্টেমের বাস্তবতার সাথে সামঞ্জস্যপূর্ণ, যেখানে systemd বেশিরভাগ ডিস্ট্রোতে পূর্ববর্তী প্রক্রিয়াগুলিকে প্রতিস্থাপন করেছে।

একইভাবে, ঐতিহ্যবাহী রুটগুলি প্রত্যাহার করা হয়, যেমন /forcefsck y /fastbootপরিবর্তে, সুপারিশটি হল কার্নেল প্যারামিটার বা শংসাপত্র ব্যবহার করুন এই ক্রিয়াকলাপগুলি নির্দেশ করার জন্য। কম জাদু এবং আরও স্বচ্ছ এবং অডিটযোগ্য কনফিগারেশন।

নতুন সরঞ্জাম: ফ্যাক্টরি রিসেট এবং PTY ফরওয়ার্ডিং

systemd 258 আকর্ষণীয় বাস্তব-বিশ্বের ইউটিলিটিগুলি অন্তর্ভুক্ত করে। সবচেয়ে উল্লেখযোগ্য হল systemd-factory-reset, যা আপনাকে ব্যবহারকারীর স্থান থেকে সরাসরি সম্পূর্ণ ফ্যাক্টরি রিসেট অনুরোধ বা বাতিল করতে দেয়। এটি সোনালী পরীক্ষাগার, যন্ত্রপাতি বা সার্ভার পরিবেশ যেখানে নিয়ন্ত্রিত পদ্ধতিতে পরিষ্কার অবস্থায় ফিরে আসা প্রয়োজন।

তার পাশেই দেখা যাচ্ছে systemd-pty-forward, একটি সরঞ্জাম সিউডো-টার্মিনাল (PTY) বরাদ্দ এবং ফরোয়ার্ড করুনএটি অটোমেশন, ডিবাগিং এবং ব্যাকগ্রাউন্ড প্রক্রিয়া পরিচালনার জন্য ব্যবহারিক যা নিরাপদে এবং নমনীয়ভাবে একটি TTY-এর সাথে সংযুক্ত করা প্রয়োজন।

স্টার্টআপ, UKI এবং TPM2: পরিবর্তন যা পথ প্রশস্ত করে

বুট বিভাগে, উন্নতি রয়েছে systemd-boot এবং, বিশেষ করে, TPM2 এর সাথে একীকরণের ক্ষেত্রে প্রাসঙ্গিক পরিবর্তনগুলি। এখন থেকে, নীতিমালা আর পিসিআর ৭-এর উপর ডিফল্টভাবে নির্ভর করে না।, যা যাচাইকৃত বুটের জন্য কী এবং নীতিগুলি পরিচালনা করার পদ্ধতি পরিবর্তন করে। এই সমন্বয় নির্দিষ্ট মেট্রিক্সের উপর সীমাবদ্ধতা হ্রাস করে এবং আরও অভিযোজিত সুরক্ষা স্কিমগুলির জন্য অনুমতি দেয়।

উপরন্তু, ইউকেআই (ইউনিফাইড কার্নেল ইমেজ)এই সংস্করণে, UKI গুলি করতে পারে UEFI ফার্মওয়্যার ছবি এম্বেড করুন, স্বয়ংসম্পূর্ণ বুট প্যাকেজ বিতরণ সহজতর করা এবং বিশ্বাসের শৃঙ্খল উন্নত করা। যাচাইকৃত বুটস্ট্র্যাপ, সুরক্ষিত বুট এবং পুনরুৎপাদনযোগ্য স্থাপনার সাথে কাজ করা প্রশাসকদের জন্য, এই পরিমার্জন বিশেষভাবে আকর্ষণীয়।

Systemd 258 সামঞ্জস্যতা এবং প্রশাসন: কী পরীক্ষা করতে হবে

উপরের সবগুলো বিষয়ের সাথে, বেশ কিছু যুক্তিসঙ্গত যাচাইকরণের কাজ রয়েছে। একদিকে, আপনার সিস্টেমে কার্নেল পরীক্ষা করুনযদি আপনার মান ৫.৪ এর নিচে থাকে, তাহলে আপনার আপগ্রেডের পরিকল্পনা করা উচিত; যদি সম্ভব হয়, তাহলে প্রকল্পের সুপারিশের সাথে সামঞ্জস্যপূর্ণ হওয়ার জন্য ৫.৭ বা তার বেশিতে আপগ্রেড করা আরও ভালো।

অন্যদিকে, পরীক্ষা করুন ক্রিপ্টোগ্রাফিক নির্ভরতা যদি আপনি প্রভাবিত উপাদানগুলির জন্য GnuTLS অথবা libgcrypt দিয়ে বিল্ডগুলি রক্ষণাবেক্ষণ করতেন। এবং যদি আপনার ওয়ার্কফ্লোতে এখনও সিস্টেম V স্ক্রিপ্টের অবশিষ্টাংশ একত্রিত করা থাকে, নেটিভ সিস্টেমড ড্রাইভে স্থানান্তর করুন সু-ঘোষিত নির্ভরতা সহ, আপনি ট্রেসেবিলিটি এবং দীর্ঘমেয়াদী রক্ষণাবেক্ষণে লাভবান হবেন।

মনোযোগ: সমাধান করা হয়েছে, DNSSEC এবং পাই-হোল কেস

এর একটি ব্যবহারিক প্রভাব রয়েছে যা তুলে ধরার যোগ্য: যদি আপনি এমন একটি নেমসার্ভার ব্যবহার করেন যা DNSSEC বাস্তবায়ন করে না (উদাহরণস্বরূপ, কারখানা থেকে আসা পাই-হোল), systemd 258-2 তে আপগ্রেড করলে রেজোলিউশন ভেঙে যেতে পারে। এটি সম্পূর্ণ রহস্যময় বাগ নয়: DNSSEC যাচাইকরণের প্রয়োজনের কারণে, আপস্ট্রিম সার্ভার যখন সেই বৈশিষ্ট্যটি সমর্থন করে না তখন সমাধান ব্যর্থ হবে।

খড় দুটি সহজ উপায় আপনার পছন্দের উপর নির্ভর করে এটি সমাধান করতে:

  1. systemd-resolved-এ DNSSEC অক্ষম করুন: সম্পাদনা /etc/systemd/resolved.conf, লাইনটি যোগ করুন বা মন্তব্য মুক্ত করুন DNSSEC=no, পরিবর্তনগুলি সংরক্ষণ করুন এবং পরিষেবাটি পুনরায় চালু করুন systemctl restart systemd-resolved। যদি আপনি হোস্ট নিয়ন্ত্রণ করেন এবং যত তাড়াতাড়ি সম্ভব রেজোলিউশন পুনরুদ্ধার করতে চান, তাহলে এটিই দ্রুততম পথ।
  2. পাই-হোলে DNSSEC সক্ষম করুন: পাই-হোল ইন্টারফেসে যান এবং সেটিংস -> অ্যাডভান্সড ডিএনএস সেটিংসের অধীনে ডিএনএসএসইসি সক্ষম করুন। যদি আপনার আপস্ট্রিম সার্ভার ডিএনএসএসইসি সমর্থন করে, তাহলে এই বিকল্পটি আপনাকে ডিএনএসএসইসি বৈধতা বজায় রাখতে এবং অতিরিক্ত সুরক্ষা থেকে উপকৃত হতে দেয়।

সর্বদা হিসাবে, আপনার টপোলজির সাথে মানানসই বিকল্পটি বেছে নিন।হোম বা ল্যাব নেটওয়ার্কে, DNSSEC অস্থায়ীভাবে নিষ্ক্রিয় করা বাস্তবসম্মত হতে পারে; উৎপাদনে, এন্ড-টু-এন্ড DNSSEC সমর্থন সক্ষম করা পছন্দের বিকল্প।

অনুমতি এবং মাল্টি-ইউজার সেটিংস: Systemd 258-এ আরও নিরাপদ TTY

TTY অনুমতিগুলিতে ফিরে আসা যাক, এটি কোনও ছোট কৃতিত্ব নয়: ০৬:২০ থেকে ০৬:০০ পর্যন্ত যান এটি অন্য ব্যবহারকারীদের আপনার টার্মিনালে টাইপ করতে বাধা দেয়, এমনকি এমন পরিস্থিতিতেও যেখানে গ্রুপগুলি অপ্রত্যাশিত ইন্টারঅ্যাকশনের দিকে পরিচালিত করতে পারে। যদি আপনার এমন প্রবাহ থাকে যা এই ধরনের শিথিল আচরণের উপর নির্ভর করে, তোমাকে এগুলো ঠিক করতে হবে। বিদেশী TTY তে টাইপ করার উপর নির্ভর না করে স্পষ্ট IPC চ্যানেল, শেয়ার্ড tmux, বা অনুরূপ সমাধান ব্যবহার করতে।

আরও systemd 258 পরিবর্তন: udev, networkd, journalctl, এবং সাধারণ পরিষ্কারকরণ

প্রতিটি সংস্করণের মতো, এখানেও রয়েছে অনেক ছোটখাটো সমন্বয় মধ্যে বিতরণ করা হয়েছে udev, networkd, journalctl এবং অন্যান্য অংশ। অপ্রচলিত বিকল্পগুলি সরানো হয়, বার্তাগুলি পালিশ করা হয়, আচরণগত কোণগুলি সংশোধন করা হয় এবং বৈধতা যোগ করা হয়। যদিও একে একে দেখা কঠিন, এই ছোট ছোট উন্নতির যোগফল আরও ধারাবাহিক এবং অনুমানযোগ্য অভিজ্ঞতায় অবদান রাখে।

যদি আপনি সূক্ষ্ম বিষয়ে আগ্রহী হন, GitHub-এর রিলিজ নোট সাবধান, এগুলো টেকনিক্যাল এবং ঘন; তবুও, ইন্টিগ্রেটর এবং ডিস্ট্রিবিউটরদের জন্য, এগুলো পরীক্ষা করে দেখা মূল্যবান। CI/CD, প্যাকেজিং স্ক্রিপ্ট, অথবা কর্পোরেট নীতিগুলিকে প্রভাবিত করতে পারে এমন পরিবর্তনগুলি সনাক্ত করতে।

পরবর্তী সংস্করণের জন্য অপেক্ষা করছি: লাফ দেওয়ার জন্য প্রস্তুতি নিচ্ছি

এই প্রকাশটি একটি ভূমিকা হিসেবেও কাজ করে: systemd 259 প্রয়োজনীয়তা বাড়ানোর পরিকল্পনা করছে সিস্টেমে, যা খুব পুরানো হার্ডওয়্যার এবং পরিবেশের উপর প্রভাব ফেলতে পারে। সংকেত স্পষ্ট: এখন সময় লিগ্যাসি ব্যালাস্ট কমানো এবং দীর্ঘমেয়াদী, সমর্থনযোগ্য পথের প্রতি প্রতিশ্রুতিবদ্ধ। এখনই cgroup v2 এ স্থানান্তরিত হওয়া এবং আধুনিক কার্নেলগুলি সুরক্ষিত করা আপনাকে আসন্ন পরিস্থিতির জন্য একটি ভাল অবস্থানে রাখবে।

মাইগ্রেশনের সর্বোত্তম অনুশীলন এবং পরীক্ষা

যারা এখনও হাইব্রিড বা লিগ্যাসিতে বাস করছেন, তাদের জন্য একটি চেকলিস্ট ক্ষতিকর নয়। আপনার কন্টেইনার এবং পরিষেবাগুলি যাচাই করুন তারা cgroup v2 এর সাথে ভালো কাজ করে; বেশিরভাগ আধুনিক অর্কেস্ট্রেটর এবং টুল ইতিমধ্যেই এটি সমর্থন করে, কিন্তু ডিফল্টগুলিকে হালকাভাবে নেয় না। রিসোর্স নির্দেশিকা (CPUQuota, MemoryMax, ইত্যাদি) সহ ইউনিটগুলি পর্যালোচনা করুন এবং v2 এর অধীনে তাদের প্রকৃত প্রভাব যাচাই করুন।

নিরাপত্তার ক্ষেত্রে, শেয়ার্ড টিটিওয়াই-এর উপর নির্ভরশীল অডিট পরিষেবাযদি এমন কোনও অটোমেশন থাকে যা অন্য ব্যবহারকারীর টার্মিনালে টাইপ করার দরজা খুলে দিচ্ছিল, তাহলে সেগুলিকে ক্লিয়ার, অনুমতি-নিয়ন্ত্রিত পদ্ধতিতে পুনঃনির্দেশিত করুন। এবং যদি আপনি প্রভাবিত উপাদানগুলির জন্য OpenSSL এর বাইরে ক্রিপ্টোগ্রাফিক লাইব্রেরির সাথে ইন্টিগ্রেশন বজায় রেখে থাকেন, তাহলে আপনার বিল্ড টুলচেইন সামঞ্জস্য করুন।

দ্রুত প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

  • আমি কি এখনও সিস্টেম V স্ক্রিপ্ট ব্যবহার করতে পারি? systemd 258 এর সাথে নয়। নেটিভ ইউনিটে স্থানান্তর করুন এবং নির্ভরতাগুলি সরিয়ে ফেলুন initctl o telinit.
  • যদি আমার কার্নেল ৫.৪ এর চেয়ে পুরনো হয়? systemd 258 এটি সমর্থন করে না। কার্নেল আপডেট করুন; যদি সম্ভব না হয়, আপনি এই সংস্করণটি গ্রহণ করতে পারবেন না।.
  • TTY অনুমতির পরিবর্তন কি আমাকে প্রভাবিত করে? বহু-ব্যবহারকারী পরিবেশে হ্যাঁ: অন্যদের TTY-তে লেখা কর্মপ্রবাহ পরীক্ষা করুন এবং স্পষ্ট প্রক্রিয়ার জন্য তাদের পরিবর্তন করুন.
  • আমার কি DNSSEC সক্রিয় করা উচিত? হ্যাঁ, তুমি পারবে। যদি তোমার আপস্ট্রিম DNS সার্ভার এটি সমর্থন না করে, resolved-এ এটি নিষ্ক্রিয় করুন অথবা Pi-hole-এ এটি সক্ষম করুন কাটা এড়াতে।

এটা স্পষ্ট যে systemd 258 একটি গভীর রিলিজ: cgroup v2 কে একীভূত করে, কার্নেলের জন্য মান বাড়ায়, নিরাপত্তা জোরদার করে এবং দরকারী টুল যোগ করে। যেমন ফ্যাক্টরি রিসেট এবং PTY ফরওয়ার্ডিং। এটি বুট, UKI এবং TPM2 তেও পরিবর্তন আনে যা ভবিষ্যতের প্রয়োজনীয়তার পথ প্রশস্ত করে এবং এটি সিস্টেম V স্ক্রিপ্টের মতো লিগ্যাসি বৈশিষ্ট্যগুলি অবসর নিতে দ্বিধা করে না। কার্নেল, এনক্রিপশন নির্ভরতা, অনুমতি এবং DNS এর একটি দ্রুত পর্যালোচনার মাধ্যমে, কঠিন পরিবেশেও রূপান্তরটি বেশ পরিচালনাযোগ্য।

লিনাক্স 6.16
সম্পর্কিত নিবন্ধ:
লিনাক্স ৬.১৬-এর সমস্ত গুরুত্বপূর্ণ নতুন বৈশিষ্ট্য: সমর্থন, উন্নতি এবং গুরুত্বপূর্ণ সমাধান