Microsoft on avaldanud värskenduse CBL-Marineri distributsioonile 1.0.20210901 (Common Base Linux Mariner), mida arendatakse universaalse baasplatvormina Linuxi keskkondadele, mida kasutatakse pilveinfrastruktuuris, servasüsteemides ja erinevates Microsofti teenustes. Projekti eesmärk on ühendada Microsoft Linuxi lahendused ja lihtsustada erinevatel eesmärkidel kasutatavate Linuxi süsteemide ajakohastamist. Projekti arendusi levitatakse MIT litsentsi all.
Uues väljaandes:
- Alanud on iso põhipildi (700 MB) moodustamine. Esimeses versioonis valmis ISO-kujutisi ei pakutud, eeldati, et kasutaja saab luua vajaliku täidisega pildi (Ubuntu 18.04 jaoks koostati monteerimisjuhend).
- Rakendatud on automaatsete pakettide uuenduste tugi, mille jaoks on kaasas rakendus Dnf-Automatic.
- Linuxi kernel on värskendatud versioonile 5.10.60.1. Uuendatud programmiversioonid, sealhulgas openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2. squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL pakub võimalust tagastada TLS 1 ja TLS 1.1 tugi.
- Tööriistakomplekti lähtekoodi kontrollimiseks kasutatakse utiliiti sha256sum.
- Kaasas uued paketid: etcd-tööriistad, kokpit, aide, fipscheck, tini.
- Paketid brp-strip-debug-symbols, brp-strip-uneeded ja ca-legacy on eemaldatud. Dotneti ja aspnetcore pakettide jaoks on eemaldatud SPEC-failid, mille nüüd koostab .NET-i arendusmeeskond ja paigutab need eraldi hoidlasse.
- Turvaaukude parandused on viidud kasutatud paketiversioonidesse.
Tuletagem meelde, et CBL-Marineri distributsioon pakub väikest standardset põhipakettide komplekti, mis on universaalseks aluseks pilveinfrastruktuurides ja servaseadmetes töötavate konteinerite, hostikeskkondade ja teenuste sisu loomiseks. Keerulisemaid ja spetsialiseeritud lahendusi saab luua lisapakettide lisamisega CBL-Marineri peale, kuid kõigi selliste süsteemide alus jääb samaks, muutes hoolduse ja uuendamise lihtsamaks. Näiteks kasutatakse CBL-Marinerit WSLg mini-levituse alusena, mis pakub graafikapinu komponente Linuxi GUI rakenduste käitamiseks WSL2 (Windows Subsystem for Linux) alamsüsteemil põhinevates keskkondades. WSLg laiendatud funktsionaalsus saavutatakse Weston Composite Serveri, XWaylandi, PulseAudio ja FreeRDP-ga täiendavate pakettide kaasamise kaudu.
CBL-Marineri ehitussüsteem võimaldab genereerida nii individuaalseid RPM-pakette SPEC-failide ja lähtekoodi põhjal kui ka monoliitseid süsteemipilte, mis on genereeritud rpm-ostree tööriistakomplekti abil ja mida värskendatakse aatomipõhiselt ilma eraldi pakettidena jagamata. Sellest lähtuvalt toetatakse kahte värskenduste tarnemudelit: üksikute pakettide värskendamise ning kogu süsteemipildi ümberehitamise ja värskendamise kaudu. Saadaval on umbes 3000 eelehitatud RPM-paketi hoidla, mida saate kasutada konfiguratsioonifaili põhjal oma piltide koostamiseks.
Jaotus sisaldab ainult kõige vajalikumaid komponente ja on optimeeritud minimaalse mälu- ja kettaruumi tarbimise ning suure laadimiskiiruse jaoks. Jaotus on tähelepanuväärne ka erinevate lisamehhanismide lisamisega turvalisuse suurendamiseks. Projekt kasutab vaikimisi maksimaalset turvalisust. Süsteemikõnesid on võimalik filtreerida seccomp-mehhanismi abil, krüptida ketta partitsioone ja kontrollida pakette digitaalallkirja abil.
Aktiveeritakse Linuxi kerneli toetatud aadressiruumi randomiseerimisrežiimid, samuti kaitsemehhanismid sümlinki rünnakute, mmap, /dev/mem ja /dev/kmem vastu. Mälupiirkonnad, mis sisaldavad kerneli ja mooduli andmetega segmente, on seatud kirjutuskaitstud režiimile ja koodi täitmine on keelatud. Valikuline võimalus on keelata kerneli moodulite laadimine pärast süsteemi initsialiseerimist. Võrgupakettide filtreerimiseks kasutatakse tööriistakomplekti iptables. Koostamisetapis on kaitse virna ületäitumise, puhvri ületäitumise ja stringi vormindamise probleemide eest vaikimisi lubatud (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Süsteemihaldurit systemd kasutatakse teenuste haldamiseks ja alglaadimiseks. Paketihalduse jaoks on saadaval paketihaldurid RPM ja DNF (vmWare tdnf variant). SSH-server pole vaikimisi lubatud. Jaotuse installimiseks on kaasas installer, mis võib töötada nii teksti- kui ka graafilises režiimis. Installer pakub võimalust installida täis- või põhipakettidega ning pakub liidest kettapartitsiooni valimiseks, hostinime valimiseks ja kasutajate loomiseks.
Allikas: opennet.ru