Microsoft ha publicado una actualización de la distribución CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), que se está desarrollando como una plataforma base universal para entornos Linux utilizados en infraestructura de nube, sistemas perimetrales y diversos servicios de Microsoft. El proyecto tiene como objetivo unificar las soluciones de Microsoft Linux y simplificar el mantenimiento de los sistemas Linux para diversos fines actualizados. Los desarrollos del proyecto se distribuyen bajo licencia MIT.
En el nuevo lanzamiento:
- Ha comenzado la formación de la imagen ISO básica (700 MB). En la primera versión, no se proporcionaron imágenes ISO listas para usar, se suponía que el usuario podía crear una imagen con el relleno necesario (las instrucciones de ensamblaje se prepararon para Ubuntu 18.04).
- Se ha implementado soporte para actualizaciones automáticas de paquetes, para lo cual se incluye la aplicación Dnf-Automatic.
- El kernel de Linux se ha actualizado a la versión 5.10.60.1. Versiones actualizadas del programa, incluidos openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL ofrece la opción de devolver soporte para TLS 1 y TLS 1.1.
- Para comprobar el código fuente del kit de herramientas, se utiliza la utilidad sha256sum.
- Nuevos paquetes incluidos: etcd-tools, cockpit, aide, fipscheck, tini.
- Se eliminaron los paquetes brp-strip-debug-symbols, brp-strip-unneeded y ca-legacy. Se eliminaron los archivos SPEC para los paquetes Dotnet y aspnetcore, que ahora son compilados por el equipo principal de desarrollo de .NET y colocados en un repositorio separado.
- Las correcciones de vulnerabilidades se han trasladado a las versiones de paquetes utilizadas.
Recordemos que la distribución CBL-Mariner proporciona un pequeño conjunto estándar de paquetes básicos que sirven como base universal para crear contenidos de contenedores, entornos de host y servicios que se ejecutan en infraestructuras de nube y en dispositivos de borde. Se pueden crear soluciones más complejas y especializadas agregando paquetes adicionales además de CBL-Mariner, pero la base de todos estos sistemas sigue siendo la misma, lo que facilita el mantenimiento y las actualizaciones. Por ejemplo, CBL-Mariner se utiliza como base para la minidistribución WSLg, que proporciona componentes de pila de gráficos para ejecutar aplicaciones GUI de Linux en entornos basados en el subsistema WSL2 (Subsistema de Windows para Linux). La funcionalidad ampliada en WSLg se logra mediante la inclusión de paquetes adicionales con Weston Composite Server, XWayland, PulseAudio y FreeRDP.
El sistema de compilación CBL-Mariner le permite generar paquetes RPM individuales basados en archivos SPEC y código fuente, así como imágenes monolíticas del sistema generadas utilizando el kit de herramientas rpm-ostree y actualizadas atómicamente sin dividirse en paquetes separados. En consecuencia, se admiten dos modelos de entrega de actualizaciones: mediante la actualización de paquetes individuales y mediante la reconstrucción y actualización de toda la imagen del sistema. Hay disponible un repositorio de aproximadamente 3000 paquetes RPM prediseñados que puede utilizar para crear sus propias imágenes basadas en un archivo de configuración.
La distribución incluye solo los componentes más necesarios y está optimizada para un consumo mínimo de memoria y espacio en disco, así como una alta velocidad de carga. La distribución también destaca por la inclusión de varios mecanismos adicionales para mejorar la seguridad. El proyecto adopta un enfoque de “máxima seguridad por defecto”. Es posible filtrar llamadas al sistema utilizando el mecanismo seccomp, cifrar particiones de disco y verificar paquetes mediante una firma digital.
Se activan los modos de aleatorización del espacio de direcciones soportados en el kernel de Linux, así como los mecanismos de protección contra ataques de enlaces simbólicos, mmap, /dev/mem y /dev/kmem. Las áreas de memoria que contienen segmentos con datos del núcleo y del módulo están configuradas en modo de solo lectura y la ejecución de código está prohibida. Una opción opcional es desactivar la carga de módulos del kernel después de la inicialización del sistema. El kit de herramientas iptables se utiliza para filtrar paquetes de red. En la etapa de compilación, la protección contra desbordamientos de pila, desbordamientos de búfer y problemas de formato de cadenas está habilitada de forma predeterminada (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
El administrador del sistema systemd se utiliza para administrar servicios y arrancar. Para la gestión de paquetes, se proporcionan los administradores de paquetes RPM y DNF (variante tdnf de vmWare). El servidor SSH no está habilitado de forma predeterminada. Para instalar la distribución, se proporciona un instalador que puede funcionar tanto en modo texto como gráfico. El instalador ofrece la opción de instalar con un conjunto de paquetes completo o básico y ofrece una interfaz para seleccionar una partición de disco, seleccionar un nombre de host y crear usuarios.
Fuente: opennet.ru