Společnost Microsoft zveřejnila aktualizaci distribuce CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), která je vyvíjena jako univerzální základní platforma pro prostředí Linuxu používaná v cloudové infrastruktuře, okrajových systémech a různých službách společnosti Microsoft. Projekt je zaměřen na sjednocení řešení Microsoft Linux a zjednodušení údržby linuxových systémů pro různé účely. Vývoj projektu je distribuován pod licencí MIT.
V novém vydání:
- Začala tvorba základního iso obrazu (700 MB). V prvním vydání nebyly k dispozici hotové ISO obrazy, předpokládalo se, že uživatel dokáže vytvořit obraz s potřebnou náplní (návod na sestavení byl připraven pro Ubuntu 18.04).
- Byla implementována podpora automatických aktualizací balíčků, pro které je součástí aplikace Dnf-Automatic.
- Linuxové jádro bylo aktualizováno na verzi 5.10.60.1. Aktualizované verze programu, včetně openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig, 4.0.2. 4.4 squashfs-tools 8.0.26, mysql XNUMX.
- OpenSSL poskytuje možnost vrátit podporu pro TLS 1 a TLS 1.1.
- Ke kontrole zdrojového kódu toolkitu se používá utilita sha256sum.
- Zahrnuty nové balíčky: nástroje etcd, kokpit, asistent, fipscheck, tini.
- Byly odstraněny balíčky brp-strip-debug-symbols, brp-strip-unneeded a ca-legacy. Odstraněny soubory SPEC pro balíčky Dotnet a aspnetcore, které jsou nyní kompilovány základním vývojovým týmem .NET a umístěny do samostatného úložiště.
- Opravy zranitelnosti byly přesunuty do používaných verzí balíčků.
Připomeňme, že distribuce CBL-Mariner poskytuje malou standardní sadu základních balíčků, které slouží jako univerzální základ pro vytváření obsahu kontejnerů, hostitelských prostředí a služeb běžících v cloudových infrastrukturách a na okrajových zařízeních. Složitější a specializovanější řešení lze vytvořit přidáním dalších balíčků nad CBL-Mariner, ale základ všech takových systémů zůstává stejný, což usnadňuje údržbu a aktualizace. Například CBL-Mariner se používá jako základ pro minidistribuci WSLg, která poskytuje komponenty grafického zásobníku pro spouštění aplikací GUI pro Linux v prostředích založených na subsystému WSL2 (Windows Subsystem for Linux). Rozšířená funkčnost ve WSLg je realizována zahrnutím dalších balíčků s Weston Composite Server, XWayland, PulseAudio a FreeRDP.
Sestavovací systém CBL-Mariner vám umožňuje generovat jak jednotlivé balíčky RPM založené na souborech SPEC a zdrojovém kódu, tak i monolitické systémové obrazy generované pomocí sady nástrojů rpm-ostree a aktualizované atomicky bez rozdělení do samostatných balíčků. V souladu s tím jsou podporovány dva modely poskytování aktualizací: prostřednictvím aktualizace jednotlivých balíčků a prostřednictvím přestavby a aktualizace celého obrazu systému. K dispozici je úložiště přibližně 3000 XNUMX předem sestavených RPM balíčků, které můžete použít k vytvoření vlastních obrazů na základě konfiguračního souboru.
Distribuce obsahuje pouze nejnutnější komponenty a je optimalizována pro minimální spotřebu paměti a místa na disku a také vysokou rychlost načítání. Distribuce je také pozoruhodná zahrnutím různých dalších mechanismů pro zvýšení bezpečnosti. Projekt využívá přístup „maximální zabezpečení ve výchozím nastavení“. Je možné filtrovat systémová volání pomocí mechanismu seccomp, šifrovat diskové oddíly a ověřovat balíčky pomocí digitálního podpisu.
Jsou aktivovány režimy randomizace adresního prostoru podporované v linuxovém jádře a také ochranné mechanismy proti útokům pomocí symbolických odkazů, mmap, /dev/mem a /dev/kmem. Oblasti paměti, které obsahují segmenty s daty jádra a modulu, jsou nastaveny do režimu pouze pro čtení a provádění kódu je zakázáno. Volitelnou možností je zakázat načítání modulů jádra po inicializaci systému. K filtrování síťových paketů se používá sada nástrojů iptables. Ve fázi sestavení je ve výchozím nastavení povolena ochrana proti přetečení zásobníku, přetečení vyrovnávací paměti a problémům s formátováním řetězců (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
System manager systemd se používá ke správě služeb a bootování. Pro správu balíčků jsou k dispozici správci balíčků RPM a DNF (varianta tdnf od vmWare). Server SSH není ve výchozím nastavení povolen. Pro instalaci distribuce je k dispozici instalační program, který může pracovat v textovém i grafickém režimu. Instalační program poskytuje možnost instalace s úplnou nebo základní sadou balíčků a nabízí rozhraní pro výběr diskového oddílu, výběr názvu hostitele a vytváření uživatelů.
Zdroj: opennet.ru