نشرت Microsoft تحديثًا لتوزيع CBL-Mariner 1.0.20210901 (Common Base Linux Mariner)، والذي يتم تطويره كمنصة أساسية عالمية لبيئات Linux المستخدمة في البنية التحتية السحابية وأنظمة الحافة وخدمات Microsoft المتنوعة. يهدف المشروع إلى توحيد حلول Microsoft Linux وتبسيط صيانة أنظمة Linux لأغراض مختلفة محدثة. يتم توزيع تطورات المشروع بموجب ترخيص MIT.
في الإصدار الجديد:
- بدأ تكوين صورة ISO الأساسية (700 ميجابايت). في الإصدار الأول، لم يتم توفير صور ISO جاهزة، وكان من المفترض أن المستخدم يمكنه إنشاء صورة بالملء اللازم (تم إعداد تعليمات التجميع لـ Ubuntu 18.04).
- تم تنفيذ دعم التحديثات التلقائية للحزمة، والتي تم تضمين تطبيق Dnf-Automatic لها.
- تم تحديث نواة Linux إلى الإصدار 5.10.60.1. إصدارات البرامج المحدثة، بما في ذلك openvswitch 2.15.1، golang 1.16.7، logrus 1.8.1، tcell 1.4.0، gonum 0.9.3، testify 1.7.0، crunchy 0.4.0، xz 0.5.10، swig 4.0.2، أدوات squashfs 4.4، الخلية 8.0.26.
- يوفر OpenSSL خيار إعادة الدعم لـ TLS 1 وTLS 1.1.
- للتحقق من الكود المصدري لمجموعة الأدوات، يتم استخدام الأداة المساعدة sha256sum.
- وشملت الحزم الجديدة: أدوات الخ، قمرة القيادة، مساعد، fipscheck، تيني.
- تمت إزالة الحزم brp-strip-debug-symbols وbrp-strip-unneeded وca-legacy. تمت إزالة ملفات SPEC لحزم Dotnet وaspnetcore، والتي تم تجميعها الآن بواسطة فريق تطوير .NET الأساسي ووضعها في مستودع منفصل.
- تم نقل إصلاحات الثغرات الأمنية إلى إصدارات الحزمة المستخدمة.
دعونا نتذكر أن توزيع CBL-Mariner يوفر مجموعة قياسية صغيرة من الحزم الأساسية التي تعمل كأساس عالمي لإنشاء محتويات الحاويات والبيئات المضيفة والخدمات التي تعمل في البنى التحتية السحابية والأجهزة الطرفية. يمكن إنشاء حلول أكثر تعقيدًا وتخصصًا عن طريق إضافة حزم إضافية فوق CBL-Mariner، ولكن الأساس لجميع هذه الأنظمة يظل كما هو، مما يجعل الصيانة والتحديثات أسهل. على سبيل المثال، يتم استخدام CBL-Mariner كأساس للتوزيع المصغر WSLg، الذي يوفر مكونات مكدس الرسومات لتشغيل تطبيقات Linux GUI في بيئات تعتمد على النظام الفرعي WSL2 (نظام Windows الفرعي لنظام Linux). يتم تحقيق الوظائف الموسعة في WSLg من خلال تضمين حزم إضافية مع Weston Composite Server وXWayland وPulseAudio وFreeRDP.
يتيح لك نظام البناء CBL-Mariner إنشاء حزم RPM منفصلة استنادًا إلى ملفات ومصادر SPEC، بالإضافة إلى صور النظام المتجانسة التي تم إنشاؤها باستخدام مجموعة أدوات rpm-ostree وتحديثها ذريًا دون تقسيمها إلى حزم منفصلة. وبناءً على ذلك، يتم دعم نموذجين لتسليم التحديث: من خلال تحديث الحزم الفردية وإعادة بناء صورة النظام بالكامل وتحديثها. يتوفر مستودع يحتوي على حوالي 3000 دورة في الدقيقة تم إنشاؤها بالفعل والتي يمكنك استخدامها لإنشاء صورك الخاصة بناءً على ملف التكوين.
يتضمن التوزيع فقط المكونات الأكثر أهمية وهو مُحسّن للحد الأدنى من استهلاك الذاكرة ومساحة القرص، فضلاً عن سرعات التنزيل العالية. التوزيع ملحوظ أيضًا لأنه يتضمن آليات أمان إضافية مختلفة. يستخدم المشروع نهج "أقصى قدر من الأمان بشكل افتراضي". فهو يوفر القدرة على تصفية مكالمات النظام باستخدام آلية seccomp، وتشفير أقسام القرص، والتحقق من الحزم عن طريق التوقيع الرقمي.
يتم تنشيط أوضاع التوزيع العشوائي لمساحة العنوان المدعومة في Linux kernel، بالإضافة إلى آليات الحماية ضد الهجمات المتعلقة بالروابط الرمزية وmmap و/dev/mem و/dev/kmem. بالنسبة لمناطق الذاكرة التي تحتوي على مقاطع تحتوي على بيانات kernel والوحدة النمطية، يتم ضبط الوضع على القراءة فقط ويحظر تنفيذ التعليمات البرمجية. تتوفر بشكل اختياري القدرة على تعطيل تحميل وحدات kernel بعد تهيئة النظام. يتم استخدام مجموعة أدوات iptables لتصفية حزم الشبكة. افتراضيًا، يمكّن ممر البناء أوضاع الحماية من تجاوزات المكدس وتجاوزات المخزن المؤقت ومشكلات تنسيق السلسلة (_FORTIFY_SOURCE، -fstack-protector، -Wformat-security، relro).
يتم استخدام مدير النظام systemd لإدارة الخدمات والتمهيد. لإدارة الحزم، يتم توفير مديري الحزم RPM وDNF (متغير tdnf من برنامج vmWare). لا يتم تمكين خادم SSH بشكل افتراضي. لتثبيت التوزيع، يتم توفير برنامج تثبيت يمكنه العمل في كل من الوضعين النصي والرسومي. يوفر برنامج التثبيت خيار التثبيت مع مجموعة كاملة أو أساسية من الحزم، ويوفر واجهة لاختيار قسم القرص، واختيار اسم المضيف، وإنشاء المستخدمين.
المصدر: opennet.ru