Microsoft ha publicat una actualització de la distribució CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), que s'està desenvolupant com a plataforma base universal per a entorns Linux utilitzats en infraestructura de núvol, sistemes perifèrics i diversos serveis de Microsoft. El projecte té com a objectiu unificar les solucions de Microsoft Linux i simplificar el manteniment dels sistemes Linux per a diversos propòsits actualitzats. Els desenvolupaments del projecte es distribueixen sota la llicència MIT.
A la nova versió:
- La formació de la imatge iso bàsica (700 MB) ha començat. A la primera versió, no es van proporcionar imatges ISO preparades; es va suposar que l'usuari podia crear una imatge amb el farcit necessari (es van preparar instruccions de muntatge per a Ubuntu 18.04).
- S'ha implementat el suport per a les actualitzacions automàtiques de paquets, per a les quals s'inclou l'aplicació Dnf-Automatic.
- El nucli de Linux s'ha actualitzat a la versió 5.10.60.1. Versions actualitzades del programa, incloent openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL ofereix l'opció de retornar el suport per a TLS 1 i TLS 1.1.
- Per comprovar el codi font del conjunt d'eines, s'utilitza la utilitat sha256sum.
- Nous paquets inclosos: etcd-tools, cockpit, aide, fipscheck, tini.
- S'han eliminat els paquets brp-strip-debug-symbols, brp-strip-unneeded i ca-legacy. S'han eliminat els fitxers SPEC per als paquets Dotnet i aspnetcore, que ara són compilats per l'equip de desenvolupament principal de .NET i col·locats en un repositori separat.
- Les correccions de vulnerabilitats s'han mogut a les versions de paquets utilitzades.
Recordem que la distribució CBL-Mariner proporciona un petit conjunt estàndard de paquets bàsics que serveixen de base universal per crear continguts de contenidors, entorns host i serveis que s'executen en infraestructures de núvol i en dispositius perifèrics. Es poden crear solucions més complexes i especialitzades afegint paquets addicionals a CBL-Mariner, però la base de tots aquests sistemes segueix sent la mateixa, facilitant el manteniment i les actualitzacions. Per exemple, CBL-Mariner s'utilitza com a base per a la minidistribució WSLg, que proporciona components de pila de gràfics per executar aplicacions GUI de Linux en entorns basats en el subsistema WSL2 (Windows Subsystem for Linux). La funcionalitat ampliada a WSLg es realitza mitjançant la inclusió de paquets addicionals amb Weston Composite Server, XWayland, PulseAudio i FreeRDP.
El sistema de compilació CBL-Mariner us permet generar paquets RPM individuals basats en fitxers SPEC i codi font, així com imatges monolítics del sistema generades amb el kit d'eines rpm-ostree i actualitzades atòmicament sense dividir-vos en paquets separats. En conseqüència, s'admeten dos models de lliurament d'actualitzacions: mitjançant l'actualització de paquets individuals i mitjançant la reconstrucció i actualització de la imatge completa del sistema. Hi ha disponible un dipòsit d'aproximadament 3000 paquets RPM preconstruïts que podeu utilitzar per crear les vostres pròpies imatges basades en un fitxer de configuració.
La distribució inclou només els components més necessaris i està optimitzada per a un consum mínim de memòria i espai de disc, així com una gran velocitat de càrrega. La distribució també destaca per la inclusió de diversos mecanismes addicionals per millorar la seguretat. El projecte adopta un enfocament de "màxima seguretat per defecte". És possible filtrar les trucades del sistema mitjançant el mecanisme seccomp, xifrar particions de disc i verificar paquets mitjançant una signatura digital.
S'activen els modes d'aleatorització de l'espai d'adreces compatibles amb el nucli de Linux, així com els mecanismes de protecció contra atacs d'enllaços simbòlics, mmap, /dev/mem i /dev/kmem. Les àrees de memòria que contenen segments amb dades del nucli i del mòdul estan configurades en mode només lectura i l'execució de codi està prohibida. Una opció opcional és desactivar la càrrega de mòduls del nucli després de la inicialització del sistema. El kit d'eines iptables s'utilitza per filtrar paquets de xarxa. En l'etapa de creació, la protecció contra desbordaments de pila, desbordaments de memòria intermèdia i problemes de format de cadenes està activada per defecte (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
El gestor del sistema systemd s'utilitza per gestionar els serveis i l'arrencada. Per a la gestió de paquets, es proporcionen gestors de paquets RPM i DNF (variant tdnf de vmWare). El servidor SSH no està habilitat per defecte. Per instal·lar la distribució, es proporciona un instal·lador que pot funcionar tant en mode text com en mode gràfic. L'instal·lador ofereix l'opció d'instal·lar amb un conjunt complet o bàsic de paquets i ofereix una interfície per seleccionar una partició de disc, seleccionar un nom d'amfitrió i crear usuaris.
Font: opennet.ru