Microsoft hà publicatu un aghjurnamentu di a distribuzione CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), chì hè sviluppata cum'è una piattaforma di basa universale per l'ambienti Linux utilizati in l'infrastruttura di nuvola, sistemi di punta è diversi servizii Microsoft. U prugettu hè destinatu à unificà e soluzioni Microsoft Linux è simplificà u mantenimentu di i sistemi Linux per diversi scopi à ghjornu. I sviluppi di u prugettu sò distribuiti sottu a licenza MIT.
In a nova versione:
- A furmazione di l'imagine iso basica (700 MB) hè cuminciata. In a prima versione, l'imaghjini ISO pronti ùn sò micca stati furniti; si suppone chì l'utilizatore puderia creà una maghjina cù u riempimentu necessariu (istruzzioni di assemblea sò state preparate per Ubuntu 18.04).
- U supportu per l'aghjurnamenti automatichi di i pacchetti hè statu implementatu, per quale l'applicazione Dnf-Automatic hè inclusa.
- U kernel Linux hè statu aghjurnatu à a versione 5.10.60.1. Versioni di u prugramma aghjurnati, cumpresi openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL furnisce l'opzione per rinvià u supportu per TLS 1 è TLS 1.1.
- Per verificà u codice fonte di u toolkit, l'utilità sha256sum hè aduprata.
- Novi pacchetti inclusi: etcd-tools, cockpit, aide, fipscheck, tini.
- I pacchetti brp-strip-debug-symbols, brp-strip-unneeded è ca-legacy sò stati eliminati. Sguassati i schedari SPEC per i pacchetti Dotnet è aspnetcore, chì sò avà compilati da u core di sviluppu .NET è postu in un repository separatu.
- I correzioni di vulnerabilità sò stati trasferiti à e versioni di pacchettu utilizati.
Ricurdemu chì a distribuzione CBL-Mariner furnisce una piccula serie standard di pacchetti basi chì serve com'è una basa universale per creà u cuntenutu di cuntenituri, ambienti d'ospiti è servizii in esecuzione in infrastrutture nuvola è in i dispositi di punta. Soluzioni più cumplesse è specializate ponu esse create agghiuncennu pacchetti supplementari in cima à CBL-Mariner, ma a basa per tutti questi sistemi resta a stessa, facilitendu u mantenimentu è l'aghjurnamenti. Per esempiu, CBL-Mariner hè utilizzatu cum'è a basa per a mini-distribuzione WSLg, chì furnisce cumpunenti di stack di gràficu per eseguisce l'applicazioni GUI Linux in ambienti basati nantu à u sottosistema WSL2 (Windows Subsystem for Linux). A funziunalità estesa in WSLg hè realizata attraversu l'inclusione di pacchetti supplementari cù Weston Composite Server, XWayland, PulseAudio è FreeRDP.
U sistema di creazione di CBL-Mariner permette di generà tramindui pacchetti RPM individuali basati nantu à i schedari SPEC è u codice fonte, è ancu l'imaghjini di u sistema monoliticu generati cù u toolkit rpm-ostree è aghjurnati atomicamente senza split in pacchetti separati. In cunsiquenza, sò supportati dui mudelli di consegna di l'aghjurnamenti: per mezu di l'aghjurnamentu di pacchetti individuali è per ricustruisce è aghjurnà l'imaghjini di u sistema tutale. Un repository di circa 3000 pacchetti RPM pre-custruiti hè dispunibule chì pudete aduprà per custruisce e vostre propiu imagine basatu annantu à un schedariu di cunfigurazione.
A distribuzione include solu i cumpunenti più necessarii è hè ottimizatu per u minimu cunsumu di memoria è spaziu di discu, è ancu una alta velocità di carica. A distribuzione hè ancu notu per l'inclusione di diversi miccanismi supplementari per rinfurzà a sicurità. U prughjettu piglia un approcciu di "securità massima per difettu". Hè pussibule filtrà e chjama di u sistema utilizendu u mecanismu seccomp, criptà e partizioni di discu, è verificate i pacchetti cù una firma digitale.
I modi di randomizazione di u spaziu di l'indirizzu supportati in u kernel Linux sò attivati, è ancu i meccanismi di prutezzione contra l'attacchi di simlink, mmap, /dev/mem è /dev/kmem. L'area di memoria chì cuntenenu segmenti cù dati di u kernel è di u modulu sò impostate in modu di sola lettura è l'esecuzione di codice hè pruibita. Una opzione opzionale hè di disattivà a carica di i moduli di u kernel dopu l'inizializazione di u sistema. U toolkit iptables hè utilizatu per filtrà i pacchetti di rete. In u stadiu di custruzzione, a prutezzione contr'à stack overflows, buffer overflows, è i prublemi di furmatu di stringa hè attivata per automaticamente (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
U gestore di sistema systemd hè utilizatu per gestisce i servizii è boot. Per a gestione di pacchetti, i gestori di pacchetti RPM è DNF (variante tdnf da vmWare) sò furniti. U servitore SSH ùn hè micca attivatu per difettu. Per installà a distribuzione, hè furnitu un installatore chì pò travaglià in modu testu è gràficu. L'installatore furnisce l'opzione di installà cù un inseme cumpletu o basicu di pacchetti, è offre una interfaccia per selezziunà una partizione di discu, selezziunate un nome d'ospite, è creà utilizatori.
Source: opennet.ru