Материалы по тегу: systemd

22.07.2021 [17:15], Андрей Галадей

В Linux обнаружена серьёзная дыра, которую почти 7 лет никто не замечал

Компания Qualys обнаружила ряд проблем с ядром Linux и системным менеджером systemd. Как оказалось, там есть две уязвимости, которые позволяют пользователю повысить привилегии до root и выполнить произвольный код, а также привести к краху системы. Для этого используются манипуляции с каталогами.

Эксплойты работают в Ubuntu 20.04/20.10/21.04, Debian 11 и Fedora 34, если те сконфигурированы по умолчанию. Другие дистрибутивы не проверяли, однако, похоже, проблема есть и у них, ведь многие сборки основаны на вышеуказанных дистрибутивах. При этом она проявляется, начиная с версии ядра 3.16, то есть уже порядка 7 лет.

trendmicro.com

trendmicro.com

Исходники эксплойтов пока не опубликованы; они появятся после того, как проблему устранят. В Debian, Ubuntu, Fedora, RHEL, SUSE и Arch соответствующие обновления уже есть. Как отмечается, эксплойту требуется для работы 5 Гбайт памяти. Он монтирует порядка 1 млн вложенных каталогов, чтобы размер файлового пути превысил 1 Гбайт.

Аналогичная проблема есть и в systemd. Если там смонтировать с помощью механизма FUSE каталог, путь которого больше 8 Мбайт, возникает kernel panic. Эту проблему уже устранили в основном репозитории systemd и в ряде популярных дистрибутивов. Интересно, что в systemd 248 эксплойт не работает из-за ошибки в самом менеджере, а сама ошибка появилась ещё в версии 220 в 2015 году.

Постоянный URL: http://servernews.ru/1044894
16.01.2021 [21:34], Андрей Галадей

systemd 248 упростит использование аппаратных ключей шифрования

Для пользователей аппаратных токенов безопасности вроде YubiKey ожидается нововведение, которое упростит им жизнь. Будущий релиз systemd 248 позволит получать доступ к зашифрованным томам LUKS2.

Нынешняя версия systemd-cryptsetup уже поддерживает разблокировку томов LUKS2 при загрузке с помощью вводимых пользователем парольных фраз и ключевых файлов на локальных и внешних дисках. Однако systemd 248 значительно упростит этот процесс, так как позволит использовать оборудование TPM2, FIDO2 и PKCS # 11 для разблокировки томов.

hottg.com

hottg.com

Отметитим, что systemd является одним из компонентов, которые группа Hyperscale SIG хочет как можно быстрее обновлять в CentOS Stream. Поддержка аппаратных ключей шифрования весьма актуальна для этой категории пользователей.

Постоянный URL: http://servernews.ru/1030241
23.12.2020 [15:35], Андрей Галадей

В Fedora 34 планируют использовать Systemd-OOMD для улучшения работы при малом объёме ОЗУ

В конце осени появилась версия systemd 247 с новым демоном Out-of-Memory Daemon (Systemd-OOMD). Он призвал улучшить работу на системах, где мало оперативной памяти. И вот теперь разработчики Fedora сообщили, что в версии под номером 34 эта возможность может быть включена по умолчанию.

Технически идея состоит в том, чтобы принудительно завершать процессы отправкой SIGKILL в выбранной cgroup, когда рост нагрузки на память (memory pressure) для всех её процессов превышает 4% в течение 10 секунд. Также будет отслеживаться использование раздела подкачки (swap). При превышении заданного лимита заполнения swap процессы тех cgroup, которые занимают больше всего места в нём, также будут принудительно останавливаться.

Изначально Systemd-OOMD предназначался для Linux-серверов Facebook. Демон позволяет отслеживать объём занятой памяти и выгружать те процессы, которые превышают заданный объём. Пока что эта функция считается экспериментальной, но, учитывая, что Fedora 34 выйдет не раньше весны, разработчики уверены, что она будет готова к использованию со временем. В дальнейшем, надо полагать, эта функция попадёт и в RHEL, если не будет придуман более щадящий механизм для обработки нехватки памяти.

Постоянный URL: http://servernews.ru/1028572
29.11.2020 [13:44], Андрей Галадей

В systemd 247 включили экспериментальный обработчик нехватки памяти

Вышла свежая версия systemd 247 для Linux. Этот системный менеджер получил ряд обновлений, которые должны решить одну из старых проблем Linux. Речь идёт об экспериментальный функции обработчика нехватки памяти, который должен улучшить поведение системы в условиях недостаточности ОЗУ. Суть в том, что ядро не умеет мягко обрабатывать нехватку памяти, потому при её исчерпании ОС почти сразу зависает.

fossbytes.com

fossbytes.com

Новый экспериментальный демон systemd-oomd призван отслеживать подобные сценарии и заблаговременно выгружать из памяти ресурсоёмкие задачи. Для этого используется подсистема ядра PSI (Pressure Stall Information). Она работает в пространстве пользователя и позволяет анализировать загрузку CPU, памяти, системы ввода/вывода и так далее.

Помимо systemd-oomd, systemd 247 теперь по умолчанию использует файловую систему Btrfs с systemd-homed. Это позволяет задействовать её для домашних каталогов. А использование этой ФС дополнительно позволяет как увеличивать, так и уменьшать размеры каталогов динамически.

В числе других нововведений отметим поддержку «ключей восстановления» для разблокировки учётных записей и домашних каталогов. Установка переменной среды SYSTEMD_RDRAND = 0 теперь отключает использование инструкции RdRand даже с поддерживаемыми CPU. Также появились и другие улучшения. Сам код доступен на GitHub.

Постоянный URL: http://servernews.ru/1026545
29.12.2019 [13:41], Андрей Галадей

Подведены итоги голосования о судьбе systemd в Debian Linux

Результаты общего голосования разработчиков Debian опубликованы. Они касались судьбы системы инициализации systemd и других аналогов. В результате победу одержал второй вариант: systemd в приоритете, но с возможностью поддержки альтернатив.

При этом допускается использование unit-файлов systemd или же init-скриптов для запуска служб. Главное, чтобы они не были привязаны к экспериментальным или неподдерживаемым в Debian возможностям в других пакетах. В целом, на рассмотрение были вынесены 8 пунктов, однако только один из них набрал большинство голосов. 

linux-notes.org

linux-notes.org

Кроме того, в альтернативных системах инициализации могут использоваться специфические элементы, которых нет в systemd. Это допускается в сторонних дистрибутивах на базе Debian, однако решение о принятии или отказе принимать код таких пакетов в основную ветвь материнского дистрибутива остаётся за сопровождающими специалистами.

Следует отметить, что переход на systemd по умолчанию был утверждён для Debian ещё в 2014 году, однако тогда не рассматривался вариант альтернативных систем, а в самом техническом комитете, который принимал решения, возникли разногласия. В течение 5 лет после этого всплывали несовместимости в ряде ключевых пакетов, что приводило к конфликтам среди разработчиков. Последний такой конфликт показал острую необходимость повторного голосования относительно систем инициализации в Debian. 

Постоянный URL: http://servernews.ru/1000642
Система Orphus