Microsoft ha publicado una actualización de la distribución Azure Linux 3.0.20241203. La distribución se está desarrollando como una plataforma base universal para entornos Linux utilizados en infraestructura de nube, sistemas perimetrales y diversos servicios de Microsoft. Los desarrollos propios del proyecto se distribuyen bajo licencia MIT. Las compilaciones de paquetes se generan para las arquitecturas aarch64 y x86_64. El tamaño de la imagen de instalación es de 750 MB.
Entre los cambios de la nueva versión:
- El filtro de paquetes iptables se ha cambiado para procesar comandos traduciendo reglas a código de bytes nftables (de forma predeterminada, se usa el paquete iptables-nft en lugar de iptables-legacy).
- Para los sistemas Aarch64, se propone un paquete adicional con el kernel kernel-64k, que utiliza páginas de memoria grandes de 64 KB (el kernel se compila con la opción CONFIG_ARM64_64K_PAGES).
- El administrador de paquetes tdnf (análogo de dnf basado en bibliotecas C) ha agregado soporte para la configuración "installonlypkgs", que se utiliza para organizar la instalación del kernel kernel-64k.
- Cuando se utiliza systemd-networkd, se habilita el procesamiento de rootfs de livenet desde Dracut.
- Se agregó un controlador para los adaptadores de red Intel Ethernet Connection E800.
- Se ha agregado compatibilidad con el idioma Lua al procesador de registros de bits fluidos.
- Se habilitó la verificación de la firma digital de los núcleos cargados a través del mecanismo kexec.
- Para detectar compilaciones de contenedores, en lugar de verificar el archivo “/.dockerenv”, se utiliza la utilidad systemd-detect-virt.
- Las versiones actualizadas del paquete incluyen el kernel de Linux 6.6.57, shim 15.8, SymCrypt 103.6.0, Valkey (Redis fork) 8.0.1, Go 1.23.3, MariaDB 10.11.10, PostgreSQL 16.5.
La distribución de Azure Linux proporciona un pequeño conjunto estándar de paquetes básicos que sirven como base universal para crear contenedores, entornos de host y servicios que se ejecutan en infraestructuras de nube y en dispositivos perimetrales. Se pueden crear soluciones más complejas y especializadas agregando paquetes adicionales además de Azure Linux, pero la base de todos estos sistemas sigue siendo la misma, lo que facilita el mantenimiento y la preparación de actualizaciones.
Azure Linux se utiliza como base para la minidistribución WSLg, que proporciona componentes de pila de gráficos para ejecutar aplicaciones GUI de Linux en entornos basados en el subsistema WSL2 (Subsistema de Windows para Linux). La funcionalidad ampliada en WSLg se implementa mediante la inclusión de paquetes adicionales con Weston Composite Server, XWayland, PulseAudio y FreeRDP.
El administrador del sistema systemd se utiliza para administrar servicios y arrancar. Se proporcionan administradores de paquetes RPM y DNF para la gestión de paquetes. El servidor SSH no está habilitado de forma predeterminada. Para instalar la distribución, se proporciona un instalador que puede funcionar tanto en modo texto como gráfico. El instalador ofrece la opción de instalar con un conjunto de paquetes completo o básico y ofrece una interfaz para seleccionar una partición de disco, seleccionar un nombre de host y crear usuarios.
El sistema de compilación Azure Linux le permite generar paquetes RPM individuales basados en archivos SPEC y código fuente, así como imágenes monolíticas del sistema generadas utilizando el kit de herramientas rpm-ostree y actualizadas atómicamente sin dividirse en paquetes separados. En consecuencia, se admiten dos modelos de entrega de actualizaciones: mediante la actualización de paquetes individuales y mediante la reconstrucción y actualización de toda la imagen del sistema. Hay disponible un repositorio de aproximadamente 3000 paquetes RPM prediseñados que puede utilizar para crear sus propias imágenes basadas en un archivo de configuración.
La plataforma base incluye solo los componentes esenciales y está optimizada para un consumo mínimo de memoria y espacio en disco, así como altas velocidades de carga. El proyecto utiliza un enfoque de “máxima seguridad por defecto”, que implica la inclusión de varios mecanismos adicionales para aumentar la seguridad:
- Filtrado de llamadas al sistema mediante el mecanismo seccomp.
- Cifrado de particiones de disco.
- Verificación de paquetes mediante firma digital.
- Aleatorización del espacio de direcciones.
- Protección contra ataques de enlaces simbólicos, mmap, /dev/mem y /dev/kmem.
- Modo de solo lectura y prohibición de la ejecución de código en áreas de memoria que contienen segmentos con datos del kernel y del módulo.
- Opción para deshabilitar la carga de módulos del kernel después de la inicialización del sistema.
- Usando iptables para filtrar paquetes de red.
- Habilite los modos de protección contra desbordamientos de pila, desbordamientos de búfer y problemas de formato de cadenas durante la compilación (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Fuente: opennet.ru
