Η Microsoft δημοσίευσε μια ενημέρωση για τη διανομή CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), η οποία αναπτύσσεται ως μια καθολική βασική πλατφόρμα για περιβάλλοντα Linux που χρησιμοποιούνται σε υποδομές cloud, συστήματα αιχμής και διάφορες υπηρεσίες της Microsoft. Το έργο στοχεύει στην ενοποίηση των λύσεων Microsoft Linux και στην απλούστευση της συντήρησης των συστημάτων Linux για διάφορους σκοπούς μέχρι σήμερα. Οι εξελίξεις του έργου διανέμονται με άδεια MIT.
Στη νέα έκδοση:
- Ο σχηματισμός της βασικής εικόνας iso (700 MB) έχει ξεκινήσει. Στην πρώτη έκδοση, δεν παρέχονταν έτοιμες εικόνες ISO· υποτίθεται ότι ο χρήστης μπορούσε να δημιουργήσει μια εικόνα με το απαραίτητο γέμισμα (οι οδηγίες συναρμολόγησης ετοιμάστηκαν για το Ubuntu 18.04).
- Έχει υλοποιηθεί υποστήριξη για αυτόματες ενημερώσεις πακέτων, για τις οποίες περιλαμβάνεται η εφαρμογή Dnf-Automatic.
- Ο πυρήνας του Linux έχει ενημερωθεί στην έκδοση 5.10.60.1. Ενημερωμένες εκδόσεις προγράμματος, συμπεριλαμβανομένων των openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, τραγανό 0.4.0, xz 0.5.10, swig 4.0.2. squashfs-tools 4.4, mysql 8.0.26.
- Το OpenSSL παρέχει την επιλογή επιστροφής υποστήριξης για TLS 1 και TLS 1.1.
- Για να ελέγξετε τον πηγαίο κώδικα της εργαλειοθήκης, χρησιμοποιείται το βοηθητικό πρόγραμμα sha256sum.
- Περιλαμβάνονται νέα πακέτα: etcd-tools, cockpit, aide, fipscheck, tini.
- Τα πακέτα brp-strip-debug-symbos, brp-strip-unneeded και ca-legacy έχουν αφαιρεθεί. Καταργήθηκαν τα αρχεία SPEC για πακέτα Dotnet και aspnetcore, τα οποία τώρα μεταγλωττίζονται από την βασική ομάδα ανάπτυξης .NET και τοποθετούνται σε ξεχωριστό αποθετήριο.
- Οι διορθώσεις ευπάθειας έχουν μεταφερθεί στις εκδόσεις του πακέτου που χρησιμοποιούνται.
Ας θυμηθούμε ότι η διανομή CBL-Mariner παρέχει ένα μικρό τυπικό σύνολο βασικών πακέτων που χρησιμεύουν ως καθολική βάση για τη δημιουργία των περιεχομένων των κοντέινερ, των περιβαλλόντων κεντρικού υπολογιστή και των υπηρεσιών που εκτελούνται σε υποδομές cloud και σε συσκευές αιχμής. Πιο πολύπλοκες και εξειδικευμένες λύσεις μπορούν να δημιουργηθούν προσθέτοντας επιπλέον πακέτα πάνω από το CBL-Mariner, αλλά η βάση για όλα αυτά τα συστήματα παραμένει η ίδια, κάνοντας τη συντήρηση και τις ενημερώσεις ευκολότερες. Για παράδειγμα, το CBL-Mariner χρησιμοποιείται ως βάση για τη μίνι διανομή WSLg, η οποία παρέχει στοιχεία στοίβας γραφικών για την εκτέλεση εφαρμογών Linux GUI σε περιβάλλοντα που βασίζονται στο υποσύστημα WSL2 (Windows Subsystem for Linux). Η εκτεταμένη λειτουργικότητα στο WSLg πραγματοποιείται μέσω της συμπερίληψης πρόσθετων πακέτων με Weston Composite Server, XWayland, PulseAudio και FreeRDP.
Το σύστημα δημιουργίας CBL-Mariner σάς επιτρέπει να δημιουργείτε ξεχωριστά πακέτα RPM με βάση αρχεία και πηγές SPEC, καθώς και μονολιθικές εικόνες συστήματος που δημιουργούνται με τη χρήση της εργαλειοθήκης rpm-ostree και ενημερώνονται ατομικά χωρίς να χωρίζονται σε ξεχωριστά πακέτα. Αντίστοιχα, υποστηρίζονται δύο μοντέλα παράδοσης ενημερώσεων: με ενημέρωση μεμονωμένων πακέτων και με ανακατασκευή και ενημέρωση ολόκληρης της εικόνας του συστήματος. Ένα αποθετήριο είναι διαθέσιμο με περίπου 3000 RPM ήδη ενσωματωμένες που μπορείτε να χρησιμοποιήσετε για να δημιουργήσετε τις δικές σας εικόνες με βάση το αρχείο διαμόρφωσης.
Η διανομή περιλαμβάνει μόνο τα πιο απαραίτητα στοιχεία και είναι βελτιστοποιημένη για ελάχιστη κατανάλωση μνήμης και χώρου στο δίσκο, καθώς και για υψηλές ταχύτητες λήψης. Η διανομή είναι επίσης αξιοσημείωτη επειδή περιλαμβάνει διάφορους πρόσθετους μηχανισμούς ασφαλείας. Το έργο χρησιμοποιεί μια προσέγγιση "μέγιστη ασφάλεια από προεπιλογή". Παρέχει τη δυνατότητα φιλτραρίσματος κλήσεων συστήματος χρησιμοποιώντας τον μηχανισμό seccomp, κρυπτογράφησης κατατμήσεων δίσκων και επαλήθευσης πακέτων με ψηφιακή υπογραφή.
Ενεργοποιούνται οι λειτουργίες τυχαιοποίησης χώρου διευθύνσεων που υποστηρίζονται στον πυρήνα Linux, καθώς και μηχανισμοί προστασίας από επιθέσεις που σχετίζονται με συμβολικούς συνδέσμους, mmap, /dev/mem και /dev/kmem. Για περιοχές μνήμης που περιέχουν τμήματα με δεδομένα πυρήνα και λειτουργικής μονάδας, η λειτουργία έχει ρυθμιστεί σε μόνο ανάγνωση και η εκτέλεση κώδικα απαγορεύεται. Προαιρετικά διατίθεται η δυνατότητα απενεργοποίησης της φόρτωσης λειτουργικών μονάδων πυρήνα μετά την προετοιμασία του συστήματος. Η εργαλειοθήκη iptables χρησιμοποιείται για το φιλτράρισμα πακέτων δικτύου. Από προεπιλογή, το build pass επιτρέπει λειτουργίες προστασίας έναντι υπερχείλισης στοίβας, υπερχείλισης buffer και προβλημάτων μορφοποίησης συμβολοσειρών (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Ο διαχειριστής συστήματος systemd χρησιμοποιείται για τη διαχείριση υπηρεσιών και την εκκίνηση. Για τη διαχείριση πακέτων, παρέχονται οι διαχειριστές πακέτων RPM και DNF (παραλλαγή tdnf από το vmWare). Ο διακομιστής SSH δεν είναι ενεργοποιημένος από προεπιλογή. Για να εγκαταστήσετε τη διανομή, παρέχεται ένα πρόγραμμα εγκατάστασης που μπορεί να λειτουργήσει τόσο σε λειτουργίες κειμένου όσο και σε γραφικά. Το πρόγραμμα εγκατάστασης παρέχει την επιλογή εγκατάστασης με ένα πλήρες ή βασικό σύνολο πακέτων και προσφέρει μια διεπαφή για την επιλογή ενός διαμερίσματος δίσκου, την επιλογή ενός ονόματος κεντρικού υπολογιστή και τη δημιουργία χρηστών.
Πηγή: opennet.ru