Microsoft ha lanzado una actualización para su distribución Azure. Linux 3.0.20241101, un desarrollo continuo de la rama estable 3.0 formada en agosto. La distribución se está desarrollando como una plataforma base universal para LinuxEntornos utilizados en infraestructura en la nube, sistemas perimetrales y diversos servicios de Microsoft. El trabajo del proyecto se distribuye bajo la licencia MIT. Se generan paquetes para las arquitecturas aarch64 y x86_64. El tamaño de la imagen de instalación es de 751 MB.
Entre los cambios de la nueva versión:
- Para sistemas basados en arquitectura ARM, se ha agregado compatibilidad con la especificación FF-A (Firmware Framework for Arm A-profile).
- Se incluye el módulo del kernel intel_ifs (In-Field Scan), que le permite ejecutar pruebas de diagnóstico de CPU de bajo nivel en procesadores Intel que pueden identificar problemas que no son detectados por herramientas estándar basadas en códigos de corrección de errores (ECC) o bits de paridad.
- Se han añadido entradas SBAT para Fedora al gestor de arranque GRUB2. Linux.
- Al compilar el kernel, se habilita la configuración CONFIG_X86_AMD_PLATFORM_DEVICE, que trata los dispositivos ACPI específicos del chip AMD como dispositivos de plataforma estándar, como I2C, UART y GPIO.
- El funcionamiento de los comandos de iptables se garantiza traduciendo las reglas al código de bytes de nftables (además de iptables-legacy, se utiliza el paquete iptables-nft).
- Versiones actualizadas de los paquetes, incluido el kernel. Linux 6.6.57, Go 1.23, OpenIPMI 2.0.36, libpcap 1.10.5, vim 9.1.0791, mysql 8.0.40, clamav 1.0.7, cloud-init 24.3.1, php 8.3.12, mdadm 4.3, libarchive 3.7.7.
Distribución de Azure Linux Proporciona un conjunto pequeño y estándar de paquetes básicos que sirven como base universal para crear marcos de contenedores, entornos de host y servicios que se ejecutan en infraestructuras en la nube y dispositivos periféricos. Se pueden crear soluciones más complejas y especializadas agregando paquetes adicionales sobre Azure. LinuxPero la base de todos estos sistemas permanece inalterada, lo que simplifica el mantenimiento y la preparación de las actualizaciones.
Azure Linux Se utiliza como base para la minidistribución WSLg, que proporciona componentes de la pila gráfica para ejecutar aplicaciones con interfaz gráfica de usuario (GUI). Linux en entornos basados en el subsistema WSL2 (Windows Subsistema para Linux). La funcionalidad extendida en WSLg se implementa mediante la inclusión de paquetes adicionales con composición servidor Weston, XWayland, PulseAudio y FreeRDP.
El administrador del sistema systemd se utiliza para administrar servicios y arrancar. Se proporcionan administradores de paquetes RPM y DNF para la gestión de paquetes. El servidor SSH no está habilitado de forma predeterminada. Para instalar la distribución, se proporciona un instalador que puede funcionar tanto en modo texto como gráfico. El instalador ofrece la opción de instalar con un conjunto de paquetes completo o básico y ofrece una interfaz para seleccionar una partición de disco, seleccionar un nombre de host y crear usuarios.
Sistema de compilación de Azure Linux Permite generar paquetes RPM individuales a partir de archivos SPEC y código fuente, así como imágenes de sistema monolíticas creadas con el kit de herramientas rpm-ostree y actualizadas de forma atómica sin dividirlas en paquetes individuales. Por lo tanto, admite dos modelos de entrega de actualizaciones: actualización de paquetes individuales y reconstrucción y actualización de la imagen completa del sistema. Se encuentra disponible un repositorio con aproximadamente 3000 paquetes RPM precompilados, que se puede utilizar para crear imágenes personalizadas a partir de un archivo de configuración.
La plataforma base incluye solo los componentes esenciales y está optimizada para un consumo mínimo de memoria y espacio en disco, así como altas velocidades de carga. El proyecto utiliza un enfoque de “máxima seguridad por defecto”, que implica la inclusión de varios mecanismos adicionales para aumentar la seguridad:
- Filtrado de llamadas al sistema mediante el mecanismo seccomp.
- Cifrado de particiones de disco.
- Verificación de paquetes mediante firma digital.
- Aleatorización del espacio de direcciones.
- Protección contra ataques de enlaces simbólicos, mmap, /dev/mem y /dev/kmem.
- Modo de solo lectura y prohibición de la ejecución de código en áreas de memoria que contienen segmentos con datos del kernel y del módulo.
- Opción para deshabilitar la carga de módulos del kernel después de la inicialización del sistema.
- Usando iptables para filtrar paquetes de red.
- Habilite los modos de protección contra desbordamientos de pila, desbordamientos de búfer y problemas de formato de cadenas durante la compilación (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Fuente: opennet.ru
