Microsoft on julkaissut päivityksen CBL-Mariner-jakeluun 1.0.20210901 (Common Base Linux Mariner), jota kehitetään universaaliksi perusalustaksi pilviinfrastruktuurissa, reunajärjestelmissä ja erilaisissa Microsoftin palveluissa käytettäville Linux-ympäristöille. Hankkeen tavoitteena on yhtenäistää Microsoftissa käytössä olevia Linux-ratkaisuja ja yksinkertaistaa Linux-järjestelmien ylläpitoa erilaisiin tarkoituksiin ajan tasalla. Projektin kehitystyöt jaetaan MIT-lisenssillä.
Uudessa julkaisussa:
- Iso-peruskuvan (700 MB) muodostus on alkanut. Ensimmäisessä julkaisussa ei toimitettu valmiita ISO-kuvia, vaan oletettiin, että käyttäjä pystyi luomaan kuvan tarvittavalla täytteellä (kokoamisohjeet valmistettiin Ubuntu 18.04:lle).
- Automaattisten pakettipäivitysten tuki on otettu käyttöön, johon sisältyy Dnf-Automatic -sovellus.
- Linux-ydin on päivitetty versioon 5.10.60.1. Päivitetyt ohjelmaversiot, mukaan lukien openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2. squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL tarjoaa mahdollisuuden palauttaa tuen TLS 1:lle ja TLS 1.1:lle.
- Työkalusarjan lähdekoodin tarkistamiseen käytetään sha256sum-apuohjelmaa.
- Uudet paketit mukana: etcd-työkalut, ohjaamo, apu, fipscheck, tini.
- Paketit brp-strip-debug-symbols, brp-strip-unneeded ja ca-legacy on poistettu. Poistettiin SPEC-tiedostot Dotnet- ja aspnetcore-paketteista, jotka nyt .NET-ydinkehitystiimi kokoaa ja sijoitetaan erilliseen arkistoon.
- Haavoittuvuuksien korjaukset on siirretty käytettyihin pakettiversioihin.
Muistettakoon, että CBL-Mariner-jakelu tarjoaa pienen peruspaketin peruspaketteja, jotka toimivat universaalina pohjana pilviinfrastruktuureissa ja reunalaitteissa toimivien säiliöiden, isäntäympäristöjen ja palveluiden sisällön luomiselle. Monimutkaisempia ja erikoistuneita ratkaisuja voidaan luoda lisäämällä lisäpaketteja CBL-Marinerin päälle, mutta kaikkien tällaisten järjestelmien perusta pysyy samana, mikä helpottaa ylläpitoa ja päivityksiä. Esimerkiksi CBL-Marineria käytetään perustana WSLg-minijakelulle, joka tarjoaa grafiikkapinokomponentteja Linuxin GUI-sovellusten suorittamiseen WSL2-alijärjestelmään (Windows Subsystem for Linux) perustuvissa ympäristöissä. Laajennettu toiminnallisuus WSLg:ssä toteutetaan sisällyttämällä lisäpaketteja Weston Composite Serverin, XWaylandin, PulseAudion ja FreeRDP:n kanssa.
CBL-Mariner-rakennusjärjestelmän avulla voit luoda sekä yksittäisiä RPM-paketteja SPEC-tiedostojen ja lähdekoodin perusteella että monoliittisia järjestelmäkuvia, jotka on luotu rpm-ostree-työkalupakin avulla ja päivitetty atomaalisesti jakamatta erillisiin paketteihin. Tämän mukaisesti tuetaan kahta päivityksen toimitusmallia: yksittäisten pakettien päivittämisellä ja koko järjestelmäkuvan uudelleenrakentamisella ja päivittämisellä. Saatavilla on noin 3000 XNUMX valmiiksi rakennetun RPM-paketin arkisto, joiden avulla voit rakentaa omia kuviasi asetustiedoston perusteella.
Jakelu sisältää vain tarpeellisimmat komponentit ja on optimoitu minimaaliseen muistin ja levytilan kulutukseen sekä suureen latausnopeuteen. Jakelu on huomionarvoista myös siitä, että se sisältää erilaisia lisämekanismeja turvallisuuden parantamiseksi. Projekti noudattaa "oletusarvoisesti suurinta turvallisuutta" -lähestymistapaa. On mahdollista suodattaa järjestelmäkutsuja seccomp-mekanismilla, salata levyosiot ja tarkistaa paketit digitaalisella allekirjoituksella.
Linux-ytimen tukemat osoitetilan satunnaistustilat sekä suojausmekanismit symlink-hyökkäyksiltä, mmap, /dev/mem ja /dev/kmem ovat aktivoituina. Muistialueet, jotka sisältävät segmenttejä, joissa on ydin- ja moduulitietoja, on asetettu vain luku -tilaan, ja koodin suorittaminen on kielletty. Valinnainen vaihtoehto on estää ydinmoduulien lataaminen järjestelmän alustuksen jälkeen. Iptables-työkalupakkia käytetään verkkopakettien suodattamiseen. Rakennusvaiheessa suojaus pinon ylivuodoilta, puskurin ylivuodoilta ja merkkijonojen muotoiluongelmilta on oletusarvoisesti käytössä (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Järjestelmänhallintaa systemd käytetään palvelujen hallintaan ja käynnistykseen. Pakettien hallintaa varten tarjotaan paketinhallintaohjelmat RPM ja DNF (vmWaren tdnf-variantti). SSH-palvelin ei ole oletusarvoisesti käytössä. Jakelun asentamista varten toimitetaan asennusohjelma, joka voi toimia sekä teksti- että graafisessa tilassa. Asennusohjelma tarjoaa mahdollisuuden asennukseen täydellä tai peruspaketilla ja tarjoaa käyttöliittymän levyosion valitsemiseen, isäntänimen valitsemiseen ja käyttäjien luomiseen.
Lähde: opennet.ru