- bookworm 4.18.1-1
- bookworm-backports 4.24.0-2~bpo12+1
- testing 4.24.0-2
- unstable 4.25.0-1
SYSTEMD-SYSEXT(8) | systemd-sysext | SYSTEMD-SYSEXT(8) |
BEZEICHNUNG¶
systemd-sysext, systemd-sysext.service, systemd-confext, systemd-confext.service- Aktivierung von Systemerweiterungsabbildern
ÜBERSICHT¶
systemd-sysext [OPTIONEN…] BEFEHL
systemd-sysext.service
systemd-confext [OPTIONEN…] BEFEHL
systemd-confext.service
BESCHREIBUNG¶
systemd-sysext (de)aktiviert Systemerweiterungsabbilder. Diese können die /usr/- und /opt/-Hierarchien dynamisch zur Laufzeit mit zusätzlichen Dateien erweitern. Dies ist besonders für unveränderbare Systemabbilder nützlich, bei der eine /usr/- und/oder /opt/-Hierarchie auf einem schreibgeschützten Dateisystem vorübergehend zur Laufzeit erweitert werden soll, ohne daran dauerhafte Veränderungen vorzunehmen.
Systemerweiterungsabbilder sollten Dateien und Verzeichnisse auf eine ähnliche Art wie bei einem normalen Betriebssystembaum enthalten. Werden eine oder mehrere Systemerweiterungsabbilder aktiviert, werden ihre /usr/- und /opt/-Hierarchien mittels »overlayfs« mit den gleichen Hierarchien auf dem Systembetriebssystem kombiniert und die /usr/ und /opt/ des Abbildes werden darüber eingehängt (»zusammengeführt«). Werden die Erweiterungen deaktiviert, wird der Einhängepunkt auseinandergenommen — dadurch wird die unveränderte Version der Hierarchie des Systems wieder sichtbar (»auseinandernehmen«). Durch das Zusammenführen werden die Ressourcen der Erweiterung plötzlich unterhalb der /usr/- und /opt/-Hierarchien auftauchen, als ob sie Teil des grundlegenden Betriebssystemabbildes selbst wären. Beim Auseinandernehmen werden die Ressourcen wieder verschwinden und an der Stelle verbleiben nur die Dateien, die mit dem zugrundeliegenden Betriebssystemabbild selbst ausgeliefert wurden.
Dateien und Verzeichnisse, die sich im Erweiterungsabbild außerhalb der /usr/- und /opt/-Hierarchien befinden, werden nicht zusammengeführt und haben daher keine Auswirkung, wenn sie in ein Systemerweiterungsabbild aufgenommen werden. Insbesondere werden Dateien, die in /etc/ und /var in einem Systemerweiterungsabbild enthalten sind, nicht in den entsprechenden Hierarchien nach der Aktivierung auftauchen.
Systemerweiterungsabbilder sind standardmäßig schreibgeschützt. Auf veränderlichen Dateisystemen auf dem Hauptsystem werden die Hierarchien /usr/ und /opt/ schreibgeschützt, während die Erweiterungen hinzugefügt werden, außer wenn die Veränderbarkeit aktiviert wurde. Die Veränderbarkeit kann über die Option --mutable= aktiviert werden; siehe »Veränderbarkeit« weiter unten für weitere Informationen.
Systemerweiterungen sollen rein ergänzend sein, d.h. sie sollen nur Dateien enthalten, die im zugrundeliegenden Betriebssystemabbild nicht enthalten sind. Allerdings erlaubt der zugrundeliegende Mechanismus (Overlayfs) auch das Überdecken und Entfernen von Dateien, allerdings wird empfohlen, dies nicht zu verwenden.
Systemerweiterungsabbilder können in den folgenden Formaten bereitgestellt werden:
Diese Abbildformate sind die gleichen, die systemd-nspawn(1) mittels der Schalter --directory=/--image= und die der Diensteverwalter mittels RootDirectory=/RootImage= unterstützt. Ähnlich wie dort können sie optional Verity-Authentifizierungsinformationen tragen.
Es wird in den Verzeichnissen /etc/extensions/, /run/extensions/ und /var/lib/extensions/ nach Systemerweiterungen gesucht. Die ersten zwei aufgeführten Verzeichnisse sind nicht zum Überbringen von großen Binär-Abbildern geeignet, allerdings weiterhin zum Überbringen von Symlinks darauf. Der Hauptort zur Installation von Systemerweiterungen ist /var/lib/extensions/. Alle in diesen Suchverzeichnissen gefundenen Verzeichnisse werden als Verzeichnis-basierte Erweiterungsabbilder und alle Dateien mit der Endung .raw werden als plattenbasierte Erweiterungsabbilder betrachtet. Beim Aufruf in der Initrd wird das zusätzliche Verzeichnis /.extra/sysext/ in die nach Erweiterungsabbilder zu durchsuchenden Verzeichnisse eingeschlossen. Beachten Sie allerdings, dass standardmäßig eine striktere Abbildrichtline für dort gefundene Abbilder gilt, siehe unten. Dieses Verzeichnis wird durch systemd-stub(7) mit Erweiterungsabbildern gefüllt, die in der EFI-System-Partition des Systems gefunden wurden
Während des Systemstarts werden Systemerweiterungsabbilder automatisch aktiviert, falls der systemd-sysext.service aktiviert ist. Beachten Sie, dass dieser Dienst erst ausgeführt wird, wenn die zugrundeliegenden Dateisysteme, auf denen Systemerweiterungen gefunden werden können, eingehängt wurden. Das bedeutet, dass sie nicht dazu geeignet sind, Ressourcen auszuliefern, die von Subsystemen verarbeitet werden, die in der frühsten Systemstartphase ausgeführt werden. Insbesondere sind Betriebssystemabbilder nicht dazu geeignet, System-Dienste oder systemd-sysusers(8)-Definitionen auszuliefern. Siehe die Seite Portierbare Dienste[2] für einen einfachen Mechanismus (ähnlich zu Betriebssystemabbildern) zum Ausliefern von Systemdiensten in Plattenabbildern. Beachten Sie die unterschiedlichen Isolationsmechanismen bei diesen zwei Varianten: Während Systemerweiterungen direkt das zugrundeliegende Betriebssystemabbild mit zusätzlichen Dateien erweitern, die auf eine ähnliche Art auftauchen, als wenn sie vom Betriebssystemabbild selbst ausgeliefert worden wären und daher keinerlei Sicherheitsisolationen implizieren, implizieren portierbare Dienste ein Sandboxing auf die eine oder andere Art auf Ebene des Dienstes. Es wird garantiert, dass der systemd-sysext.service sein Hochfahren beendet, bevor basic.target erreicht wird; d.h. zum Zeitpunkt, zu dem reguläre Dienste initialisieren (solche, die DefaultDependencies=no nicht verwenden), sind die Dateien und Verzeichnisse, die die Systemerweiterungen bereitstellen, in /usr/ und /opt/ für den Zugriff bereit.
Beachten Sie, dass es kein Konzept zum Aktivieren/Deaktivieren installierter Systemerweiterungsabbilder gibt: alle installierten Erweiterungsabbilder werden beim Systemstart automatisch aktiviert. Sie können allerdings ein leeres Verzeichnis in /etc/extensions/ anlegen, das den entsprechenden Namen wie die Erweiterung (ohne .raw) hat, um eine Erweiterung mit dem gleichen Namen in einem Systemverzeichnis mit niedrigerer Priorität zu »maskieren«.
Es wird ein einfacher Mechanismus zur Versionskompatibilität durchgesetzt: Ein Systemerweiterungsabbild muss eine Datei /usr/lib/extension-release.d/extension-release.NAME transportieren, die auf seinen Abbildnamen passen muss, die mit der Datei »os-release« verglichen wird: die enthaltenen Felder ID= müssen übereinstimmen, außer »_any« wurde für die Erweiterung gesetzt. Falls die ID= der Erweiterung nicht »_any« ist, muss das Feld SYSEXT_LEVEL= (falls definiert) passen. Falls Letzteres nicht definiert ist, müssen stattdessen die Felder VERSION_ID= übereinstimmen. Falls die Erweiterung das Feld ARCHITECTURE= definiert und der Wert nicht »_any« ist, muss er auf die Architektur des Kernels passen, wie diese von uname(2) berichtet wird, aber die verwandten Architekturkennzeichner sind die gleichen wie bei ConditionArchitecture= (in systemd.unit(5) beschrieben). EXTENSION_RELOAD_MANAGER= kann auf 1 gesetzt werden, falls die Erweiterung ein Neuladen des Diensteverwalters nach der Anwendung der Erweiterung benötigt. Beachten Sie, dass aufgrund der weiter oben beschriebenen Gründe die Portablen Dienste[2] die empfohlene Art bleiben, um System-Dienste auszuliefern. Systemerweiterungsabbilder sollten keine Datei /usr/lib/os-release ausliefern (da diese in den /usr/-Baum des Rechners integriert würde und damit die Versionsdaten des Rechnerbetriebssystems außer Kraft setzen würde, was nicht wünschenswert ist). Die Datei extension-release folgt dem gleichen Format und der gleichen Semantik und transportiert den gleichen Inhalt wie die Datei os-release des Betriebssystems aber sie beschreibt die Ressourcen, die im Erweiterungsabbild transportiert werden.
Das Konzept systemd-confext folgt den gleichen Prinzipien wie die Funktionalität systemd-sysext(8), statt aber auf /usr und /opt zu arbeiten, wird confext nur /etc erweitern. Im Confext-Abbild enthaltene Dateien und Verzeichnisse außerhalb der Hierarchie /etc/ werden nicht zusammengeführt und haben daher keine Auswirkung, wenn sie im Abbild aufgenommen werden. Die für diese Abbilder verwandten Formate sind identisch zu denen von Sysext-Abbildern. Die zusammengeführten Hierarchien werden mit »nosuid« und mit »noexec« (falls nicht über --noexec=false deaktiviert) eingehängt.
Genau wie Sysexts sind Confexts standardmäßig schreibgeschützt. Werden Confexts auf veränderbaren Dateisystemen auf dem Hauptsystem hinzugefügt, wird /etc/ schreibgeschützt werden. Wie bei Sysexts kann die Veränderbarkeit über die Option --mutable= aktiviert werden. Siehe »Veränderbarkeit« weiter unten für weitere Informationen.
Es wird in den Verzeichnissen /run/confexts/, /var/lib/confexts/, /usr/lib/confexts/ und /usr/local/lib/confexts/ nach Confexts geschaut. Das erste aufgeführte Verzeichnis ist nicht zum Überbringen von großen Binär-Abbildern geeignet, allerdings weiterhin zum Überbringen von Symlinks darauf. Der Hauptort zur Installation von Konfigurationserweiterungen ist /var/lib/confexts/. Alle in diesen Suchverzeichnissen gefundenen Verzeichnisse werden als Verzeichnis-basierte Confext-Abbilder und alle Dateien mit der Endung .raw werden als plattenbasierte Confext-Abbilder betrachtet.
Wie bei Sysext-Abbildern werden auch die Confext-Abbilder eine Datei /etc/extension-release.d/extension-release.NAME enthalten, die auf den Abbildnamen passen muss (mit dem normalen Notausstieg des user.extension-release.strict xattr(7)) und der Inhalt eines oder mehrere aus ID=, VERSION_ID= und CONFEXT_LEVEL sein muss. Confext-Abbilder werden dann überprüft und mit der grundlegenden Betriebssystemschicht verglichen.
VERWENDUNGEN¶
Der primäre Einsatzfall für Systemabbilder sind unveränderbare Umgebungen, bei denen optional Fehlersuch- und Entwicklungswerkzeuge verfügbar gemacht werden sollen, die aber nicht im unveränderbaren, grundlegenden Betriebssystemabbild enthalten sind (z.B. strace(1) und gdb(1) sollen eine optionale Ergänzung sein, um die Fehlersuche/Entwicklung zu vereinfachen). Systemerweiterungsabbilder sollten nicht als ein generisches Software-Paketierungs-Rahmenwerk missverstanden werden, da kein Abhängigkeitsschema verfügbar ist: Systemerweiterungen sollten alle Dateien transportieren, die sie selbst benötigen, außer denen, die bereits in dem zugrundeliegenden Betriebssystemabbild ausgeliefert sind. Typischerweise werden Systemerweiterungsabbilder zum gleichen Zeitpunkt gebaut, zu dem auch das zugrundeliegende Betriebssystemabbild gebaut wurde — innerhalb des gleichen Bausystems.
Ein anderer Anwendungsfall für das Konzept der Systemerweiterung ist das temporäre Außerkraftsetzen von Ressourcen, die vom Betriebssystem bereitgestellt werden, durch neuere, beispielsweise um eine lokal kompilierte Entwicklungsversion einer systemnahen Komponenten über das unveränderbare Betriebssystemabbild zu installieren, ohne das Betriebssystem komplett neu zu bauen oder das dem Namen nach unveränderbare Abbild zu verändern (z.B. ein lokal gebautes Paket mit DESTDIR=/var/lib/extensions/mytest make install && systemd-sysext refresh zu »installieren« und es unter /usr/ bereitzustellen, als ob es im Betriebssystemabbild selbst installiert wäre). Dieser Fall funktioniert unabhängig davon, ob das /usr/ des Rechners als unveränderbares Plattenabbild verwaltet wird oder ein traditionell durch einen Paketverwalter gesteuerter (d.h. schreibbarer) Baum ist.
Mit systemd-confext können Sie Laufzeit-Neukonfigurationen von Betriebssystemdiensten durchführen. Manchmal ist es notwendig, bestimmte Konfigurationsparameter auszutauschen oder nur einen bestimmten Dienst neuzustarten, ohne neuen Code oder ein komplettes Betriebssystem auszurollen. Anders formuliert sollen die am meisten konfigurierten Optionen an zur Laufzeit aktualisierbare Schalter geknüpft werden, die dann ohne einen Systemneustart geändert werden können. Dies hilft bei der Reduktion von Service-Zeiten, wenn die Notwendigkeit besteht, die Betriebssystemkonfiguration zu ändern. Es bietet auche ein verlässliches Werkzeug für die Verwaltung von Konfiguration an, da alle alten Konfigurationsdateien verschwinden, wenn das systemd-confext-Abbild entfernt wird.
VERÄNDERBARKEIT¶
Standardmäßig wird das Hinzufügen von Systemerweiterungen auf veränderbaren Dateisystemen des Hauptsystems dazu führen, dass die Hierarchien /usr/ und /opt/ schreibgeschützt werden. Das Hinzufügen von Konfigurationserweiterungen hat die gleiche Auswirkung auf /etc/. Der Veränderbarkeitsmodus erlaubt das Schreiben an diese Orte, bei denen Erweiterungen hinzugefügt werden.
Die folgenden Modi werden unterstützt:
Siehe nachfolgende »Optionen« zur Angabe der Modi mittels der Befehlszeilenoption --mutable=.
Mit der Ausnahme des Modus »ephemeral«, schreiben die veränderbaren Modusweiterleitungen in Unterverzeichnisse in /var/lib/extensions.mutable/.
Falls usr/, opt/ oder etc/ in /var/lib/extensions.mutable/ Symlinks sind, dann werden Schreibaktionen zu den Zielen der Symlinks gelenkt. Um Veränderbarkeit eines Dateisystems des Hauptsystems zu erhalten, erstellen Sie konsequenterweise Symlinks
Alternativ kann ein temporäres Dateisystem auf /var/lib/extensions.mutable/ eingehängt werden oder Symlinks in /var/lib/extensions.mutable/ können auf Unterverzeichnisse eines temporären Dateisystems zeigen (z.B. unterhalb /tmp/), um nur kurzlebige Änderungen zu erlauben. Beachten Sie, dass dies nicht mit dem Modus »ephemeral« identisch ist, da temporäre Dateisysteme nach dem Auftrennen weiterhin existieren.
Hinzugefügt in Version 256.
BEFEHLE¶
Die folgenden Befehle werden sowohl vom Sysext- als auch Confext-Konzept verstanden:
status
Hinzugefügt in Version 248.
merge
Hinzugefügt in Version 248.
unmerge
Hinzugefügt in Version 248.
refresh
Hinzugefügt in Version 248.
list
Hinzugefügt in Version 248.
-h, --help
--version
OPTIONEN¶
--root=
Hinzugefügt in Version 248.
--force
Hinzugefügt in Version 248.
--image-policy=Richtlinie
Hinzugefügt in Version 254.
--mutable=LOGISCH|auto|import
no
Hinzugefügt in Version 256.
auto
Hinzugefügt in Version 256.
yes
Hinzugefügt in Version 256.
import
Hinzugefügt in Version 256.
ephemeral
Hinzugefügt in Version 256.
ephemeral-import
Hinzugefügt in Version 256.
Hinzugefügt in Version 256.
--noexec=LOGISCH
Hinzugefügt in Version 254.
--no-reload
Hinzugefügt in Version 255.
--no-pager
--no-legend
--json=MODUS
EXIT-STATUS¶
Bei Erfolg wird 0 zurückgeliefert.
SIEHE AUCH¶
systemd(1), systemd-nspawn(1), systemd-stub(7), importctl(1)
ANMERKUNGEN¶
- 1.
- Spezifikation für auffindbare Partitionen
- 2.
- Portable Dienste
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.
systemd 257~rc3 |