Microsoft hat ein Update der CBL-Mariner-Distribution 1.0.20210901 (Common Base Linux Mariner) veröffentlicht, die als universelle Basisplattform für Linux-Umgebungen entwickelt wird, die in Cloud-Infrastrukturen, Edge-Systemen und verschiedenen Microsoft-Diensten eingesetzt werden. Ziel des Projekts ist es, Microsoft-Linux-Lösungen zu vereinheitlichen und die Wartung von Linux-Systemen für verschiedene Einsatzzwecke zeitgemäß zu vereinfachen. Die Entwicklungen des Projekts werden unter der MIT-Lizenz vertrieben.
In der neuen Version:
- Die Erstellung des Basis-ISO-Images (700 MB) hat begonnen. In der ersten Version wurden keine vorgefertigten ISO-Images bereitgestellt; es wurde davon ausgegangen, dass der Benutzer ein Image mit der erforderlichen Füllung erstellen konnte (Montageanweisungen wurden für Ubuntu 18.04 erstellt).
- Es wurde Unterstützung für automatische Paketaktualisierungen implementiert, für die die Anwendung Dnf-Automatic enthalten ist.
- Der Linux-Kernel wurde auf Version 5.10.60.1 aktualisiert. Aktualisierte Programmversionen, einschließlich OpenVSwitch 2.15.1, Golang 1.16.7, Logrus 1.8.1, Tcell 1.4.0, Gonum 0.9.3, Testify 1.7.0, Crunchy 0.4.0, XZ 0.5.10, Swig 4.0.2, Squashfs-Tools 4.4, MySQL 8.0.26.
- OpenSSL bietet die Option, die Unterstützung für TLS 1 und TLS 1.1 zurückzugeben.
- Um den Quellcode des Toolkits zu überprüfen, wird das Dienstprogramm sha256sum verwendet.
- Neue Pakete enthalten: etcd-tools, Cockpit, Aide, Fipscheck, Tini.
- Die Pakete brp-strip-debug-symbols, brp-strip-unneeded und ca-legacy wurden entfernt. SPEC-Dateien für Dotnet- und aspnetcore-Pakete wurden entfernt, die jetzt vom .NET-Kernentwicklungsteam kompiliert und in einem separaten Repository abgelegt werden.
- Die Fehlerbehebungen wurden in die verwendeten Paketversionen verschoben.
Erinnern wir uns daran, dass die CBL-Mariner-Distribution einen kleinen Standardsatz an Basispaketen bereitstellt, die als universelle Grundlage für die Erstellung der Inhalte von Containern, Hostumgebungen und Diensten dienen, die in Cloud-Infrastrukturen und auf Edge-Geräten ausgeführt werden. Komplexere und spezialisiertere Lösungen können durch das Hinzufügen zusätzlicher Pakete zu CBL-Mariner erstellt werden. Die Basis für alle derartigen Systeme bleibt jedoch dieselbe, was Wartung und Aktualisierungen erleichtert. CBL-Mariner dient beispielsweise als Basis für die WSLg-Minidistribution, die Grafik-Stack-Komponenten für die Ausführung von Linux-GUI-Anwendungen in Umgebungen bereitstellt, die auf dem WSL2-Subsystem (Windows Subsystem for Linux) basieren. Die erweiterte Funktionalität in WSLg wird durch die Aufnahme zusätzlicher Pakete mit Weston Composite Server, XWayland, PulseAudio und FreeRDP realisiert.
Mit dem CBL-Mariner-Build-System können Sie sowohl einzelne RPM-Pakete basierend auf SPEC-Dateien und Quellcode generieren als auch monolithische System-Images, die mit dem rpm-ostree-Toolkit generiert und atomar aktualisiert werden, ohne in separate Pakete aufzuteilen. Dementsprechend werden zwei Update-Bereitstellungsmodelle unterstützt: durch die Aktualisierung einzelner Pakete und durch Neuerstellung und Aktualisierung des gesamten Systemabbilds. Es steht ein Repository mit etwa 3000 vorgefertigten RPM-Paketen zur Verfügung, mit denen Sie Ihre eigenen Images basierend auf einer Konfigurationsdatei erstellen können.
Die Distribution enthält nur die notwendigsten Komponenten und ist auf minimalen Speicher- und Speicherplatzverbrauch sowie hohe Ladegeschwindigkeit optimiert. Die Distribution zeichnet sich außerdem dadurch aus, dass sie verschiedene zusätzliche Mechanismen zur Erhöhung der Sicherheit enthält. Das Projekt verfolgt den Ansatz „maximale Sicherheit standardmäßig“. Es ist möglich, Systemaufrufe mithilfe des Seccomp-Mechanismus zu filtern, Festplattenpartitionen zu verschlüsseln und Pakete mithilfe einer digitalen Signatur zu überprüfen.
Die im Linux-Kernel unterstützten Adressraum-Randomisierungsmodi sowie Schutzmechanismen gegen Symlink-Angriffe, mmap, /dev/mem und /dev/kmem sind aktiviert. Die Speicherbereiche, die Segmente mit Kernel- und Moduldaten enthalten, werden auf den Nur-Lese-Modus gesetzt und die Codeausführung ist verboten. Eine optionale Option besteht darin, das Laden von Kernelmodulen nach der Systeminitialisierung zu deaktivieren. Das iptables-Toolkit wird zum Filtern von Netzwerkpaketen verwendet. In der Build-Phase ist der Schutz vor Stapelüberläufen, Pufferüberläufen und Zeichenfolgenformatierungsproblemen standardmäßig aktiviert (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Der Systemmanager systemd dient der Verwaltung von Diensten und dem Booten. Zur Paketverwaltung stehen die Paketmanager RPM und DNF (tdnf-Variante von vmWare) zur Verfügung. Der SSH-Server ist standardmäßig nicht aktiviert. Zur Installation der Distribution wird ein Installationsprogramm bereitgestellt, das sowohl im Text- als auch im Grafikmodus arbeiten kann. Das Installationsprogramm bietet die Möglichkeit, die Installation mit einem vollständigen oder Basissatz an Paketen durchzuführen, und bietet eine Schnittstelle zum Auswählen einer Festplattenpartition, zum Auswählen eines Hostnamens und zum Erstellen von Benutzern.
Source: opennet.ru