Microsoft je objavio ažuriranje distribucije CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), koja se razvija kao univerzalna bazna platforma za Linux okruženja koja se koriste u infrastrukturi oblaka, rubnim sistemima i raznim Microsoft servisima. Projekat ima za cilj objedinjavanje Linux rješenja koja se koriste u Microsoftu i pojednostavljenje ažuriranja Linux sistema za različite namjene. Razvoj projekta se distribuira pod licencom MIT-a.
U novom izdanju:
- Počelo je formiranje osnovne iso slike (700 MB). U prvom izdanju nisu bile obezbeđene gotove ISO slike, pretpostavljalo se da korisnik može da kreira sliku sa potrebnim punjenjem (uputstva za montažu su pripremljena za Ubuntu 18.04).
- Implementirana je podrška za automatsko ažuriranje paketa, za koje je uključena aplikacija Dnf-Automatic.
- Linux kernel je ažuriran na verziju 5.10.60.1. Ažurirane verzije programa, uključujući openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2. squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL pruža opciju vraćanja podrške za TLS 1 i TLS 1.1.
- Za provjeru izvornog koda alata koristi se uslužni program sha256sum.
- Novi paketi uključeni: etcd-tools, cockpit, aide, fipscheck, tini.
- Brp-strip-debug-symbols, brp-strip-unneeded i ca-legacy paketi su uklonjeni. Uklonjene su SPEC datoteke za Dotnet i aspnetcore pakete, koje sada kompajlira glavni .NET razvojni tim i stavljaju u zasebno spremište.
- Ispravke ranjivosti su premještene u korištene verzije paketa.
Podsjetimo, CBL-Mariner distribucija pruža mali standardni set osnovnih paketa koji služe kao univerzalna osnova za kreiranje sadržaja kontejnera, host okruženja i servisa koji rade u cloud infrastrukturama i na rubnim uređajima. Složenija i specijalizovanija rješenja mogu se kreirati dodavanjem dodatnih paketa na CBL-Mariner, ali osnova za sve takve sisteme ostaje ista, što olakšava održavanje i ažuriranja. Na primjer, CBL-Mariner se koristi kao osnova za WSLg mini-distribuciju, koja obezbjeđuje komponente grafičkog steka za pokretanje Linux GUI aplikacija u okruženjima baziranim na podsistemu WSL2 (Windows Subsystem for Linux). Proširena funkcionalnost u WSLg-u se ostvaruje kroz uključivanje dodatnih paketa sa Weston Composite Server, XWayland, PulseAudio i FreeRDP.
CBL-Mariner build sistem vam omogućava da generišete i pojedinačne RPM pakete zasnovane na SPEC datotekama i izvornom kodu, kao i monolitne sistemske slike generisane korišćenjem rpm-ostree alata i ažurirane atomski bez razdvajanja u zasebne pakete. U skladu s tim, podržana su dva modela isporuke ažuriranja: kroz ažuriranje pojedinačnih paketa i kroz ponovnu izgradnju i ažuriranje cjelokupne slike sistema. Dostupno je spremište od približno 3000 unaprijed napravljenih RPM paketa koje možete koristiti za pravljenje vlastitih slika na osnovu konfiguracijske datoteke.
Distribucija uključuje samo najpotrebnije komponente i optimizirana je za minimalnu potrošnju memorije i prostora na disku, kao i veliku brzinu učitavanja. Distribucija je također značajna po uključivanju raznih dodatnih mehanizama za poboljšanje sigurnosti. Projekat koristi pristup „maksimalne sigurnosti prema zadanim postavkama“. Moguće je filtrirati sistemske pozive pomoću mehanizma seccomp, šifrirati particije diska i provjeriti pakete pomoću digitalnog potpisa.
Aktivirani su načini randomizacije adresnog prostora koji su podržani u Linux kernelu, kao i mehanizmi zaštite od napada na symlink, mmap, /dev/mem i /dev/kmem. Memorijska područja koja sadrže segmente s podacima kernela i modula su postavljena na način samo za čitanje i zabranjeno je izvršavanje koda. Opciona opcija je da onemogućite učitavanje modula kernela nakon inicijalizacije sistema. Iptables alat se koristi za filtriranje mrežnih paketa. U fazi izgradnje, zaštita od prekoračenja steka, prekoračenja bafera i problema sa formatiranjem stringova je podrazumevano omogućena (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Sistemski menadžer systemd se koristi za upravljanje uslugama i pokretanje. Za upravljanje paketima obezbeđeni su menadžeri paketa RPM i DNF (tdnf varijanta iz vmWarea). SSH server nije uključen po defaultu. Da biste instalirali distribuciju, osiguran je instalater koji može raditi i u tekstualnom i u grafičkom režimu. Instalater pruža mogućnost instaliranja sa punim ili osnovnim skupom paketa i nudi interfejs za izbor particije diska, izbor imena hosta i kreiranje korisnika.
izvor: opennet.ru