Microsoft hat in update publisearre foar de CBL-Mariner-distribúsje 1.0.20210901 (Common Base Linux Mariner), dy't ûntwikkele wurdt as in universele basisplatfoarm foar Linux-omjouwings dy't brûkt wurde yn wolkynfrastruktuer, rânesystemen en ferskate Microsoft-tsjinsten. It projekt is rjochte op it ferienigjen fan Microsoft Linux-oplossingen en it ferienfâldigjen fan it ûnderhâld fan Linux-systemen foar ferskate doelen aktueel. De ûntwikkelingen fan it projekt wurde ferspraat ûnder de MIT-lisinsje.
Yn de nije release:
- De foarming fan de basis iso ôfbylding (700 MB) is begûn. Yn 'e earste release waarden klearmakke ISO-ôfbyldings net levere; der waard oannommen dat de brûker in ôfbylding koe meitsje mei de nedige ynfolling (montage-ynstruksjes waarden taret foar Ubuntu 18.04).
- Stipe foar automatyske pakketfernijings is ymplementearre, wêrfoar de Dnf-Automatic-applikaasje is opnommen.
- De Linux kernel is bywurke nei ferzje 5.10.60.1. Bywurke programmaferzjes, ynklusyf openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, 4.4 squashfs-tools 8.0.26, mysql XNUMX.
- OpenSSL biedt de opsje om stipe foar TLS 1 en TLS 1.1 werom te jaan.
- Om de boarnekoade fan 'e toolkit te kontrolearjen, wurdt it sha256sum-hulpprogramma brûkt.
- Nije pakketten opnommen: etcd-ark, cockpit, aide, fipscheck, tini.
- De brp-strip-debug-symboalen, brp-strip-unneeded en ca-legacy-pakketten binne fuortsmiten. Fuortsmite SPEC triemmen foar Dotnet en aspnetcore pakketten, dy't no gearstald troch de kearn .NET ûntwikkeling team en pleatst yn in apart repository.
- Fixaasjes foar kwetsberens binne ferpleatst nei de brûkte pakketferzjes.
Lit ús ûnthâlde dat de CBL-Mariner-distribúsje in lytse standert set fan basispakketten leveret dy't tsjinje as in universele basis foar it meitsjen fan de ynhâld fan konteners, host-omjouwings en tsjinsten dy't rinne yn wolkinfrastruktuer en op râneapparaten. Mear komplekse en spesjalisearre oplossings kinne makke wurde troch it tafoegjen fan ekstra pakketten boppe op CBL-Mariner, mar de basis foar al sokke systemen bliuwt itselde, wêrtroch ûnderhâld en fernijings makliker wurde. Bygelyks, CBL-Mariner wurdt brûkt as de basis foar de WSLg mini-distribúsje, dy't jout graphics stack komponinten foar it útfieren fan Linux GUI applikaasjes yn omjouwings basearre op de WSL2 (Windows Subsystem foar Linux) subsysteem. Utwreide funksjonaliteit yn WSLg wurdt realisearre troch it opnimmen fan ekstra pakketten mei Weston Composite Server, XWayland, PulseAudio en FreeRDP.
It CBL-Mariner-bousysteem lit jo sawol aparte RPM-pakketten generearje op basis fan SPEC-bestannen en boarnen, lykas monolithyske systeemôfbyldings generearre mei de rpm-ostree toolkit en atomysk bywurke sûnder te brekken yn aparte pakketten. Dêrtroch wurde twa modellen foar levering fan updates stipe: troch it bywurkjen fan yndividuele pakketten en troch it opnij opbouwen en bywurkjen fan it hiele systeemôfbylding. In repository is beskikber mei sawat 3000 RPM's al boud dat jo kinne brûke om jo eigen ôfbyldings te bouwen basearre op it konfiguraasjetriem.
De distribúsje omfettet allinich de meast needsaaklike komponinten en is optimalisearre foar minimale konsumpsje fan ûnthâld en skiifromte, lykas foar hege downloadsnelheden. De ferdieling is ek opmerklik foar it opnimmen fan ferskate ekstra feiligensmeganismen. It projekt brûkt in "maksimale feiligens standert" oanpak. It biedt de mooglikheid om systeemoproppen te filterjen mei it seccomp-meganisme, skiifpartysjes te fersiferjen en pakketten te ferifiearjen troch digitale hantekening.
Randomisaasjemodi foar adresromte stipe yn 'e Linux-kernel, lykas beskermingsmeganismen tsjin oanfallen yn ferbân mei symboalyske keppelings, mmap, /dev/mem en /dev/kmem, binne aktivearre. Foar ûnthâldgebieten dy't segminten befetsje mei kernel- en modulegegevens, is de modus ynsteld om allinich te lêzen en koade-útfiering is ferbean. Opsjoneel beskikber is de mooglikheid om it laden fan kernelmodules út te skeakeljen nei systeeminisjalisaasje. De iptables toolkit wurdt brûkt om netwurkpakketten te filterjen. Standert makket de boupas beskermingsmodi mooglik tsjin stack-oerlêst, buffer-oerlêst, en problemen mei string-opmaak (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
De systeembehearder systemd wurdt brûkt om tsjinsten te behearjen en te booten. Foar pakketbehear wurde pakketbehearders RPM en DNF (tdnf fariant fan vmWare) levere. De SSH-tsjinner is standert net ynskeakele. Om de distribúsje te ynstallearjen, wurdt in ynstallearder levere dat kin wurkje yn sawol tekst as grafyske modus. It ynstallearder biedt de opsje fan ynstallearjen mei in folsleine as basis set fan pakketten, en biedt in ynterface foar it selektearjen fan in skiifpartysje, selektearjen fan in hostnamme en it meitsjen fan brûkers.
Boarne: opennet.ru