Microsoft hat ein Update für die Linux-Distribution CBL-Mariner veröffentlicht.

Microsoft hat ein Update für das CBL-Mariner 1.0.20210901-Paket (Common Base Linux Mariner) veröffentlicht, das als universelle Basisplattform für Linux-Umgebungen in Cloud-Infrastrukturen, Edge-Systemen und verschiedenen Microsoft-Diensten entwickelt wird. Das Projekt zielt darauf ab, die in Microsoft verwendeten Linux-Lösungen zu vereinheitlichen und die Wartung von Linux-Systemen für unterschiedliche Anwendungen auf dem neuesten Stand zu erleichtern. Die Arbeit des Projekts wird unter der MIT-Lizenz veröffentlicht.

In der neuen Version:

  • Es hat mit der Erstellung eines Basis-ISO-Abbilds (700 MB) begonnen. In der ersten Version wurden keine fertigen ISO-Abbilder bereitgestellt; es wurde vorausgesetzt, dass der Benutzer selbst ein Abbild mit den erforderlichen Inhalten erstellen kann (Bauanleitungen sind für Ubuntu 18.04 vorbereitet).
  • Die Unterstützung für automatische Paketaktualisierungen wurde implementiert, weshalb die Anwendung Dnf-Automatic integriert ist.
  • Der Linux-Kernel wurde auf Version 5.10.60.1 aktualisiert. Die Versionen mehrerer Programme wurden ebenfalls aktualisiert, darunter openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, squashfs-tools 4.4, mysql 8.0.26.
  • In OpenSSL wurde die Möglichkeit zur Rückkehr der Unterstützung für TLS 1 und TLS 1.1 bereitgestellt.
  • Zur Überprüfung der Quelltexte des Tools wurde das Dienstprogramm sha256sum verwendet.
  • Es wurden neue Pakete hinzugefügt: etcd-tools, cockpit, aide, fipscheck, tini.
  • Die Pakete brp-strip-debug-symbols, brp-strip-unneeded und ca-legacy wurden entfernt. Die SPEC-Dateien für die Pakete Dotnet und aspnetcore wurden entfernt, da sie jetzt vom Hauptentwicklungsteam von .NET erstellt und in einem separaten Repository bereitgestellt werden.
  • Sicherheitsupdates wurden in die verwendeten Paketversionen übernommen.

Bitte beachten Sie, dass die CBL-Mariner-Distribution eine kleine, standardisierte Sammlung grundlegender Pakete bereitstellt, die als universelle Grundlage für die Erstellung von Containervorlagen, Hosting-Umgebungen und Diensten dient, die in Cloud-Infrastrukturen und auf Edge-Geräten betrieben werden. Komplexere und spezialisierte Lösungen können durch das Hinzufügen zusätzlicher Pakete über CBL-Mariner erstellt werden, jedoch bleibt die Basis für alle derartigen Systeme unverändert, was die Wartung und Vorbereitung von Updates erleichtert. Zum Beispiel wird CBL-Mariner als Grundlage für die Mini-Distribution WSLg verwendet, die Komponenten des Grafikstapels bereitstellt, um die Ausführung von GUI-Anwendungen für Linux in Umgebungen der WSL2 (Windows Subsystem for Linux) zu ermöglichen. Erweiterte Funktionen in WSLg werden durch die Einbeziehung zusätzlicher Pakete mit kompakten. dem Server durch Weston, XWayland, PulseAudio und FreeRDP.

Das CBL-Mariner-Bausystem ermöglicht die Erstellung sowohl einzelner RPM-Pakete auf Basis von SPEC-Dateien und Quelltexten als auch monolithischer Systemabbilder, die mithilfe des rpm-ostree-Werkzeugs erstellt und atomar aktualisiert werden, ohne in separate Pakete zerlegt zu werden. Folglich werden zwei Update-Modelle unterstützt: über die Aktualisierung einzelner Pakete und über den Neuaufbau und die Aktualisierung des gesamten Systemabbilds. Ein Repository ist verfügbar, das rund 3000 bereits erstellte RPM-Pakete umfasst und zur Erstellung eigener Abbilder basierend auf der Konfigurationsdatei verwendet werden kann.

Die Distribution umfasst nur die notwendigsten Komponenten und ist für einen minimalen Speicher- und Festplattenspeicherverbrauch sowie eine hohe Bootgeschwindigkeit optimiert. Außerdem zeichnet sich die Distribution durch verschiedene zusätzliche Mechanismen zur Verbesserung der Sicherheit aus. Im Projekt wird der Ansatz „maximale Sicherheit als Standard“ verfolgt. Es besteht die Möglichkeit, Systemaufrufe durch den seccomp-Mechanismus zu filtern, Festplattenteile zu verschlüsseln und Pakete durch digitale Signaturen zu überprüfen.

Die unterstützten Kernel-Modi zur Adressraum-Randomisierung sowie Schutzmechanismen gegen Angriffe, die mit symbolischen Links, mmap, /dev/mem und /dev/kmem verbunden sind, wurden aktiviert. Für die Speicherbereiche, in denen Segmente mit Kernel- und Moduldaten platziert werden, ist der Modus auf "nur lesen" gesetzt und die Ausführung von Code ist untersagt. Optional besteht die Möglichkeit, das Laden von Kernelmodulen nach der Systeminitialisierung zu verbieten. Zur Filterung von Netzwerkpaketen wird das Werkzeug iptables verwendet. In der Standardkonfiguration sind Schutzmodi gegen Stacküberläufe, Pufferüberläufe und Formatierungsprobleme aktiviert (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).

Zur Verwaltung von Services und Lasten wird der Systemmanager systemd verwendet. Für die Paketverwaltung kommen die Paketmanager RPM und DNF (eine Variante tdnf von vmWare) zum Einsatz. Der SSH-Server wird standardmäßig nicht aktiviert. Für die Installation des Distributionspakets steht ein Installer zur Verfügung, der sowohl im Text- als auch im Grafikmodus arbeiten kann. Der Installer bietet die Möglichkeit, mit einer vollständigen oder grundlegenden Paketauswahl zu installieren, einen Interface zur Auswahl der Partition, zur Benennung des Hosts und zur Erstellung von Benutzern.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster