Mikrosofto publikigis ĝisdatigon al la distribuo CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), kiu estas disvolvita kiel universala baza platformo por Linukso-medioj uzataj en nuba infrastrukturo, randsistemoj kaj diversaj Microsoft-servoj. La projekto celas unuigi Mikrosoftan Linukso-solvojn kaj simpligi la prizorgadon de Linuksaj sistemoj por diversaj celoj ĝisdata. La evoluoj de la projekto estas distribuitaj sub la MIT-licenco.
En la nova eldono:
- La formado de la baza iso-bildo (700 MB) komenciĝis. En la unua eldono, pretaj ISO-bildoj ne estis disponigitaj; estis supozite ke la uzanto povis krei bildon kun la necesa plenigaĵo (kunig instrukcioj estis preparitaj por Ubuntu 18.04).
- Subteno por aŭtomataj pakaj ĝisdatigoj estis efektivigita, por kiu la aplikaĵo Dnf-Automatic estas inkluzivita.
- La Linukso-kerno estis ĝisdatigita al versio 5.10.60.1. Ĝisdatigitaj programversioj, inkluzive de openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, squashfs-iloj 4.4, mysql 8.0.26.
- OpenSSL disponigas la eblon resendi subtenon por TLS 1 kaj TLS 1.1.
- Por kontroli la fontkodon de la ilaro, la ilo sha256sum estas uzata.
- Novaj pakaĵoj inkludis: etcd-iloj, cockpit, aide, fipscheck, tini.
- La pakaĵoj brp-strip-debug-symbols, brp-strip-unneeded kaj ca-heredaĵo estis forigitaj. Forigitaj SPEC-dosieroj por Dotnet kaj aspnetcore-pakaĵoj, kiuj nun estas kompilitaj de la kerna .NET-disvolva teamo kaj metitaj en apartan deponejon.
- Riparoj pri vundeblecoj estis movitaj al la uzataj pakaĵversioj.
Ni rememoru, ke la distribuo CBL-Mariner provizas malgrandan norman aron de bazaj pakaĵoj, kiuj funkcias kiel universala bazo por krei enhavojn de ujoj, gastigaj medioj kaj servoj kurantaj en nubaj infrastrukturoj kaj sur randaj aparatoj. Pli kompleksaj kaj specialigitaj solvoj povas esti kreitaj aldonante pliajn pakaĵojn al CBL-Mariner, sed la bazo por ĉiuj tiaj sistemoj restas la sama, faciligante prizorgadon kaj ĝisdatigojn. Ekzemple, CBL-Mariner estas utiligita kiel la bazo por la WSLg-mini-distribuo, kiu disponigas grafikajn stakkomponentojn por prizorgado de Linuksaj GUI-aplikoj en medioj bazitaj sur la WSL2 (Windows Subsystem por Linukso) subsistemo. Plilongigita funkcieco en WSLg estas realigita per la inkludo de kromaj pakaĵoj kun Weston Composite Server, XWayland, PulseAudio kaj FreeRDP.
La konstrusistemo CBL-Mariner ebligas al vi generi ambaŭ apartajn RPM-pakaĵojn bazitajn sur SPEC-dosieroj kaj fontoj, same kiel monolitajn sistemajn bildojn generitajn per la ilaro rpm-ostree kaj ĝisdatigitaj atome sen rompi en apartajn pakaĵojn. Sekve, du ĝisdatigaj livermodeloj estas subtenataj: ĝisdatigante individuajn pakaĵojn kaj rekonstruante kaj ĝisdatigante la tutan sistembildon. Deponejo haveblas kun ĉirkaŭ 3000 RPM-oj jam konstruitaj, kiujn vi povas uzi por konstrui viajn proprajn bildojn bazitajn sur la agorda dosiero.
La distribuo inkluzivas nur la plej necesajn komponantojn kaj estas optimumigita por minimuma konsumo de memoro kaj diskspaco, kaj ankaŭ por altaj elŝutaj rapidoj. La distribuo ankaŭ estas rimarkinda pro inkludado de diversaj kromaj sekurecaj mekanismoj. La projekto uzas "maksimuman sekurecon defaŭlte" aliron. Ĝi disponigas la kapablon filtri sistemajn vokojn uzante la sekcomp-mekanismon, ĉifri disksekciojn kaj kontroli pakaĵojn per cifereca subskribo.
Adresspacaj hazardaj reĝimoj subtenataj en la Linukso-kerno, same kiel protektaj mekanismoj kontraŭ atakoj rilataj al simbolaj ligiloj, mmap, /dev/mem kaj /dev/kmem, estas aktivigitaj. Por memorareoj kiuj enhavas segmentojn kun kerno kaj moduldatenoj, la reĝimo estas agordita nur legado kaj kodekzekuto estas malpermesita. Laŭvole disponebla estas la kapablo malŝalti la ŝarĝon de kernaj moduloj post la sistemkomencigo. La ilaro iptables estas uzata por filtri retajn pakaĵojn. Defaŭlte, la konstru-paso ebligas protektajn reĝimojn kontraŭ stakaj superfluoj, bufro-superfluoj kaj problemoj pri formatado de ĉenoj (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
La sistemmanaĝero systemd estas uzata por administri servojn kaj ekbruligi. Por pakaĵadministrado, pakaĵmanaĝeroj RPM kaj DNF (tdnf-variaĵo de vmWare) estas disponigitaj. La SSH-servilo ne estas ebligita defaŭlte. Por instali la distribuon, instalilo estas provizita, kiu povas funkcii en kaj teksta kaj grafika reĝimoj. La instalilo disponigas la eblon de instali kun plena aŭ baza aro de pakaĵoj, kaj ofertas interfacon por elekti diskdiskodiskon, elekti gastigantan nomon kaj krei uzantojn.
fonto: opennet.ru