Microsoft het 'n opdatering van die CBL-Mariner-verspreiding 1.0.20210901 (Common Base Linux Mariner) gepubliseer, wat ontwikkel word as 'n universele basisplatform vir Linux-omgewings wat in wolkinfrastruktuur, randstelsels en verskeie Microsoft-dienste gebruik word. Die projek is daarop gemik om Microsoft Linux-oplossings te verenig en die instandhouding van Linux-stelsels vir verskeie doeleindes op datum te vereenvoudig. Die projek se ontwikkelings word onder die MIT-lisensie versprei.
In die nuwe vrystelling:
- Die vorming van die basiese iso-beeld (700 MB) het begin. In die eerste weergawe is klaargemaakte ISO-beelde nie verskaf nie; daar is aanvaar dat die gebruiker 'n beeld met die nodige vulling kon skep (monteerinstruksies is vir Ubuntu 18.04 voorberei).
- Ondersteuning vir outomatiese pakketopdaterings is geïmplementeer, waarvoor die Dnf-Automatic-toepassing ingesluit is.
- Die Linux-kern is opgedateer na weergawe 5.10.60.1. Opgedateerde programweergawes, insluitend openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, 4.4 squashfs-tools 8.0.26, mysql XNUMX.
- OpenSSL bied die opsie om ondersteuning vir TLS 1 en TLS 1.1 terug te gee.
- Om die bronkode van die gereedskapstel na te gaan, word die sha256sum-hulpmiddel gebruik.
- Nuwe pakkette ingesluit: ens-gereedskap, kajuit, aide, fipscheck, tini.
- Die brp-strip-debug-simbole, brp-strip-unneeded en ca-legacy-pakkette is verwyder. Het SPEC-lêers vir Dotnet- en aspnetcore-pakkette verwyder, wat nou saamgestel is deur die kern .NET-ontwikkelingspan en in 'n aparte bewaarplek geplaas word.
- Kwesbaarheidoplossings is geskuif na die pakketweergawes wat gebruik is.
Laat ons onthou dat die CBL-Mariner-verspreiding 'n klein standaardstel basiese pakkette bied wat as 'n universele basis dien vir die skep van die inhoud van houers, gasheeromgewings en dienste wat in wolkinfrastruktuur en op randtoestelle loop. Meer komplekse en gespesialiseerde oplossings kan geskep word deur bykomende pakkette bo-op CBL-Mariner by te voeg, maar die basis vir al sulke stelsels bly dieselfde, wat instandhouding en opdaterings makliker maak. Byvoorbeeld, CBL-Mariner word gebruik as die basis vir die WSLg-miniverspreiding, wat grafiese stapelkomponente verskaf vir die uitvoer van Linux GUI-toepassings in omgewings gebaseer op die WSL2 (Windows Subsystem for Linux) substelsel. Uitgebreide funksionaliteit in WSLg word gerealiseer deur die insluiting van bykomende pakkette met Weston Composite Server, XWayland, PulseAudio en FreeRDP.
Die CBL-Mariner-boustelsel laat jou toe om beide individuele RPM-pakkette op grond van SPEC-lêers en bronkode te genereer, sowel as monolitiese stelselbeelde wat gegenereer word met die rpm-otree-gereedskapstel en atomies opgedateer word sonder om in aparte pakkette te verdeel. Gevolglik word twee opdateringsleweringsmodelle ondersteun: deur individuele pakkette op te dateer en deur die hele stelselbeeld te herbou en op te dateer. 'n Bewaarplek van ongeveer 3000 XNUMX voorafgeboude RPM-pakkette is beskikbaar wat u kan gebruik om u eie beelde te bou gebaseer op 'n konfigurasielêer.
Die verspreiding sluit slegs die nodigste komponente in en is geoptimaliseer vir minimale geheue- en skyfspasieverbruik, sowel as hoë laaispoed. Die verspreiding is ook opvallend vir die insluiting van verskeie bykomende meganismes om sekuriteit te verbeter. Die projek volg 'n "maksimum sekuriteit by verstek" benadering. Dit is moontlik om stelseloproepe te filter deur die seccomp-meganisme te gebruik, skyfpartisies te enkripteer en pakkette met 'n digitale handtekening te verifieer.
Adresruimte-randomiseringsmodusse wat in die Linux-kern ondersteun word, word geaktiveer, sowel as beskermingsmeganismes teen simlink-aanvalle, mmap, /dev/mem en /dev/kmem. Die geheue-areas wat segmente met kern- en moduledata bevat, is op leesalleen-modus gestel en kode-uitvoering word verbied. 'n Opsionele opsie is om die laai van kernmodules na stelselinisialisasie te deaktiveer. Die iptables toolkit word gebruik om netwerkpakkies te filter. By die boustadium word beskerming teen stapeloorloop, bufferoorloop en stringformateringsprobleme by verstek geaktiveer (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Die stelselbestuurder systemd word gebruik om dienste te bestuur en selflaai. Vir pakketbestuur word pakketbestuurders RPM en DNF (tdnf-variant van vmWare) verskaf. Die SSH-bediener is nie by verstek geaktiveer nie. Om die verspreiding te installeer, word 'n installeerder voorsien wat in beide teks- en grafiese modusse kan werk. Die installeerder bied die opsie om te installeer met 'n volledige of basiese stel pakkette, en bied 'n koppelvlak om 'n skyfpartisie te kies, 'n gasheernaam te kies en gebruikers te skep.
Bron: opennet.ru