Microsoft har udgivet en opdatering til CBL-Mariner-distributionen 1.0.20210901 (Common Base Linux Mariner), som udvikles som en universel basisplatform til Linux-miljøer, der bruges i cloud-infrastruktur, edge-systemer og forskellige Microsoft-tjenester. Projektet har til formål at forene Microsoft Linux-løsninger og forenkle vedligeholdelsen af Linux-systemer til forskellige formål up to date. Projektets udviklinger distribueres under MIT-licensen.
I den nye udgivelse:
- Dannelsen af det grundlæggende iso-billede (700 MB) er begyndt. I den første udgivelse blev der ikke leveret færdige ISO-billeder; det blev antaget, at brugeren kunne oprette et billede med den nødvendige udfyldning (samlevejledning blev udarbejdet til Ubuntu 18.04).
- Der er implementeret understøttelse af automatiske pakkeopdateringer, hvortil Dnf-Automatic applikationen er inkluderet.
- Linux-kernen er blevet opdateret til version 5.10.60.1. Opdaterede programversioner, herunder openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, 4.4. squashfs-tools 8.0.26, mysql XNUMX.
- OpenSSL giver mulighed for at returnere support til TLS 1 og TLS 1.1.
- For at kontrollere kildekoden til værktøjssættet bruges sha256sum-værktøjet.
- Nye pakker inkluderet: etcd-værktøj, cockpit, aide, fipscheck, tini.
- Pakkerne brp-strip-debug-symboler, brp-strip-unneeded og ca-legacy-pakker er blevet fjernet. Fjernede SPEC-filer for Dotnet- og aspnetcore-pakker, som nu er kompileret af kerne-.NET-udviklingsteamet og placeret i et separat lager.
- Sårbarhedsrettelser er blevet flyttet til de anvendte pakkeversioner.
Lad os huske på, at CBL-Mariner-distributionen giver et lille standardsæt af basispakker, der tjener som et universelt grundlag for at skabe indholdet af containere, værtsmiljøer og tjenester, der kører i cloud-infrastrukturer og på kant-enheder. Mere komplekse og specialiserede løsninger kan skabes ved at tilføje yderligere pakker oven på CBL-Mariner, men grundlaget for alle sådanne systemer forbliver det samme, hvilket gør vedligeholdelse og opdateringer nemmere. For eksempel bruges CBL-Mariner som grundlag for WSLg-minidistributionen, som leverer grafikstakkomponenter til at køre Linux GUI-applikationer i miljøer baseret på WSL2-undersystemet (Windows Subsystem for Linux). Udvidet funktionalitet i WSLg realiseres gennem inklusion af yderligere pakker med Weston Composite Server, XWayland, PulseAudio og FreeRDP.
CBL-Mariner-byggesystemet giver dig mulighed for at generere både individuelle RPM-pakker baseret på SPEC-filer og kildekode, såvel som monolitiske systembilleder, der er genereret ved hjælp af rpm-ostree-værktøjssættet og opdateret atomisk uden opdeling i separate pakker. Følgelig understøttes to opdateringsleveringsmodeller: gennem opdatering af individuelle pakker og gennem genopbygning og opdatering af hele systembilledet. Et lager med cirka 3000 forudbyggede RPM-pakker er tilgængeligt, som du kan bruge til at bygge dine egne billeder baseret på en konfigurationsfil.
Distributionen omfatter kun de mest nødvendige komponenter og er optimeret til minimalt forbrug af hukommelse og diskplads, samt høj indlæsningshastighed. Fordelingen er også bemærkelsesværdig for medtagelsen af forskellige yderligere mekanismer for at øge sikkerheden. Projektet tager en "maksimal sikkerhed som standard" tilgang. Det er muligt at filtrere systemkald ved hjælp af seccomp-mekanismen, kryptere diskpartitioner og verificere pakker ved hjælp af en digital signatur.
Randomiseringstilstande for adresserum, der understøttes i Linux-kernen, aktiveres, såvel som beskyttelsesmekanismer mod symlink-angreb, mmap, /dev/mem og /dev/kmem. Hukommelsesområderne, der indeholder segmenter med kerne- og moduldata, er indstillet til skrivebeskyttet tilstand, og kodeudførelse er forbudt. En mulighed er tilgængelig for at deaktivere indlæsning af kernemoduler efter systeminitialisering. iptables-værktøjssættet bruges til at filtrere netværkspakker. På byggestadiet er beskyttelse mod stackoverløb, bufferoverløb og strengformateringsproblemer aktiveret som standard (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Systemadministratoren systemd bruges til at administrere tjenester og boote. Til pakkehåndtering leveres pakkeadministratorer RPM og DNF (tdnf-variant fra vmWare). SSH-serveren er ikke aktiveret som standard. For at installere distributionen leveres et installationsprogram, der kan fungere i både tekst- og grafisk tilstand. Installationsprogrammet giver mulighed for at installere med et komplet eller grundlæggende sæt pakker og tilbyder en grænseflade til at vælge en diskpartition, vælge et værtsnavn og oprette brugere.
Kilde: opennet.ru