Кампанія Microsoft апублікавала абнаўленне дыстрыбутыва CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), які развіваецца ў якасці ўніверсальнай базавай платформы для Linux-акружэнняў, якія выкарыстоўваюцца ў хмарнай інфраструктуры, edge-сістэмах і розных сэрвісах Microsoft. Праект накіраваны на ўніфікацыю ўжывальных у Microsoft Linux-рашэнняў і спрашчэнне падтрымання Linux-сістэм рознага прызначэння ў актуальным стане. Напрацоўкі праекту распаўсюджваюцца пад ліцэнзіяй MIT.
У новым выпуску:
- Пачалося фармаванне базавай iso-выявы (700 МБ). У першым выпуску гатовыя ISO-вобразы не падаваліся, мелася на ўвазе, што карыстач можа сам стварыць выяву з неабходнай начыннем (зборачныя інструкцыі падрыхтаваны для Ubuntu 18.04).
- Рэалізавана падтрымка аўтаматычнага абнаўлення пакетаў, для чаго ў склад уключана дадатак Dnf-Automatic.
- Ядро Linux абноўлена да версіі 5.10.60.1. Абноўлены версіі праграм, у тым ліку openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, 4.0.2, squashfs-tools 4.4, mysql 8.0.26.
- У OpenSSL прадстаўлена магчымасць вяртання падтрымкі TLS 1 і TLS 1.1.
- Для праверкі зыходных тэкстаў інструментара задзейнічана ўтыліта sha256sum.
- У склад уключаны новыя пакеты: etcd-tools, cockpit, aide, fipscheck, tini.
- Выдалены пакеты brp-strip-debug-symbols, brp-strip-unneeded і ca-legacy. Выдалены SPEC-файлы для пакетаў Dotnet і aspnetcore, якія зараз збіраюцца асноўнай камандай распрацоўнікаў. NET і размяшчаюцца ў асобным рэпазітары.
- У выкарыстоўваныя версіі пакетаў перанесеныя выпраўленні ўразлівасцяў.
Нагадаем, што дыстрыбутыў CBL-Mariner падае невялікі тыпавы набор асноўных пакетаў, якія выступаюць універсальнай асновай для стварэння начыння кантэйнераў, хост-акружэнняў і сэрвісаў, якія запускаюцца ў хмарных інфраструктурах і на edge-прыладах. Больш складаныя і спецыялізаваныя рашэнні могуць стварацца шляхам дадання дадатковых пакетаў па-над CBL-Mariner, але аснова для ўсіх падобных сістэм застаецца нязменнай, што спрашчае суправаджэнне і падрыхтоўку абнаўленняў. Напрыклад, CBL-Mariner ужываецца ў якасці асновы міні-дыстрыбутыва WSLg, у якім падаюцца кампаненты графічнага стэка для арганізацыі запуску GUI-прыкладанняў Linux у асяроддзі на базе падсістэмы WSL2 (Windows Subsystem for Linux). Пашыраная функцыянальнасць у WSLg рэалізуецца праз уключэнне дадатковых пакетаў з кампазітным серверам Weston, XWayland, PulseAudio і FreeRDP.
Сістэма зборкі CBL-Mariner дазваляе генераваць як асобныя RPM-пакеты на аснове SPEC-файлаў і зыходных тэкстаў, так і маналітныя сістэмныя выявы, якія фармуюцца пры дапамозе інструментара rpm-ostree і абнаўляюцца атамарна без разбіўкі на асобныя пакеты. Адпаведна, падтрымліваецца дзве мадэлі дастаўкі абнаўленняў: праз абнаўленне асобных пакетаў і праз перастраенне і абнаўленне ўсёй сістэмнай выявы. Даступны рэпазітар, які ўключае каля 3000 ужо сабраных RPM-пакетаў, які можна выкарыстоўваць для кампаноўкі ўласных выяў на аснове файла канфігурацыі.
Дыстрыбутыў уключае толькі самыя неабходныя кампаненты і аптымізаваны для мінімальнага спажывання памяці і дыскавай прасторы, а таксама для высокай хуткасці загрузкі. Дыстрыбутыў таксама адметны уключэннем розных дадатковых механізмаў для павышэння абароны. У праекце прымяняецца падыход "максімальная бяспека па змаўчанні". Прадастаўляецца магчымасць фільтрацыі сістэмных выклікаў пры дапамозе механізму seccomp, шыфравання дыскавых раздзелаў, верыфікацыі пакетаў па лічбавым подпісе.
Актываваны падтрымоўваныя ў ядры Linux рэжымы рандомизации адраснай прасторы, а таксама механізмы абароны ад нападаў, злучаных з сімвалічнымі спасылкамі, mmap, /dev/mem і /dev/kmem. Для абласцей памяці, у якіх размяшчаюцца сегменты з дадзенымі ядра і модуляў, усталяваны рэжым толькі для чытання і забаронена выкананне кода. Апцыянальна даступная магчымасць забароны загрузкі модуляў ядра пасля ініцыялізацыі сістэмы. Для фільтравання сеткавых пакетаў задзейнічаны інструментар iptables. На этапе зборкі па змаўчанні ўключаны рэжымы абароны ад перапаўнення стэка, перапаўненняў буфера і праблем з фарматаваннем радкоў (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Для кіравання сэрвісамі і загрузкай прымяняецца сістэмны менеджэр systemd. Для кіравання пакетамі пастаўляюцца пакетныя мэнэджары RPM і DNF (варыянт tdnf ад vmWare). SSH-сервер па змаўчанні не ўключаецца. Для ўсталёўкі дыстрыбутыва падаецца ўсталёўнік, які можа працаваць як у тэкставым, так і ў графічным рэжымах. Ва ўсталёўніку падаецца магчымасць усталёўкі з поўным або базавым наборам пакетаў, прапануецца інтэрфейс для выбару дыскавай часткі, выбару імя хаста і стварэнні карыстачоў.
Крыніца: opennet.ru