Microsoft publicou unha actualización da distribución CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), que se está a desenvolver como unha plataforma base universal para contornas Linux utilizadas en infraestruturas de nube, sistemas de borde e varios servizos de Microsoft. O proxecto ten como obxectivo unificar as solucións de Microsoft Linux e simplificar o mantemento dos sistemas Linux para diversos fins actualizados. Os desenvolvementos do proxecto distribúense baixo a licenza MIT.
Na nova versión:
- Comezou a formación da imaxe iso básica (700 MB). Na primeira versión, non se proporcionaron imaxes ISO preparadas; supoñíase que o usuario podía crear unha imaxe co recheo necesario (preparáronse as instrucións de montaxe para Ubuntu 18.04).
- Implementouse o soporte para actualizacións automáticas de paquetes, para o que se inclúe a aplicación Dnf-Automatic.
- O núcleo de Linux actualizouse á versión 5.10.60.1. Versións do programa actualizadas, incluíndo openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL ofrece a opción de devolver compatibilidade con TLS 1 e TLS 1.1.
- Para comprobar o código fonte do conxunto de ferramentas, utilízase a utilidade sha256sum.
- Novos paquetes incluídos: etcd-tools, cockpit, aide, fipscheck, tini.
- Elimináronse os paquetes brp-strip-debug-symbols, brp-strip-unneeded e ca-legacy. Elimináronse os ficheiros SPEC dos paquetes Dotnet e aspnetcore, que agora son compilados polo equipo de desenvolvemento de .NET central e colocados nun repositorio separado.
- As correccións de vulnerabilidade movéronse ás versións do paquete utilizadas.
Lembremos que a distribución CBL-Mariner ofrece un pequeno conxunto estándar de paquetes básicos que serven de base universal para crear contidos de contedores, ambientes host e servizos que se executan en infraestruturas na nube e en dispositivos de punta. Pódense crear solucións máis complexas e especializadas engadindo paquetes adicionais enriba de CBL-Mariner, pero a base de todos estes sistemas segue sendo a mesma, facilitando o mantemento e as actualizacións. Por exemplo, CBL-Mariner utilízase como base para a minidistribución WSLg, que proporciona compoñentes da pila de gráficos para executar aplicacións GUI de Linux en ambientes baseados no subsistema WSL2 (Windows Subsystem for Linux). A funcionalidade estendida en WSLg realízase mediante a inclusión de paquetes adicionais con Weston Composite Server, XWayland, PulseAudio e FreeRDP.
O sistema de compilación CBL-Mariner permítelle xerar paquetes RPM individuais baseados en ficheiros SPEC e código fonte, así como imaxes monolíticas do sistema xeradas mediante o kit de ferramentas rpm-ostree e actualizadas atómicamente sen dividir en paquetes separados. En consecuencia, son compatibles dous modelos de entrega de actualizacións: mediante a actualización de paquetes individuais e a través da reconstrución e actualización da imaxe completa do sistema. Hai dispoñible un repositorio de aproximadamente 3000 paquetes RPM preconstruídos que podes usar para crear as túas propias imaxes baseadas nun ficheiro de configuración.
A distribución inclúe só os compoñentes máis necesarios e está optimizada para un consumo mínimo de memoria e espazo en disco, así como unha alta velocidade de carga. A distribución tamén destaca pola inclusión de varios mecanismos adicionais para mellorar a seguridade. O proxecto adopta un enfoque de "máxima seguridade por defecto". É posible filtrar as chamadas do sistema usando o mecanismo seccomp, cifrar particións de disco e verificar paquetes mediante unha sinatura dixital.
Actívanse os modos de aleatorización do espazo de enderezos admitidos no núcleo de Linux, así como os mecanismos de protección contra ataques de ligazóns simbólicas, mmap, /dev/mem e /dev/kmem. As áreas de memoria que conteñen segmentos con datos do núcleo e do módulo están configuradas en modo de só lectura e a execución de código está prohibida. Unha opción opcional é desactivar a carga de módulos do núcleo despois da inicialización do sistema. O kit de ferramentas iptables úsase para filtrar paquetes de rede. Na fase de compilación, a protección contra desbordamentos de pila, desbordamentos de búfer e problemas de formato de cadeas está activada por defecto (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
O xestor do sistema systemd úsase para xestionar servizos e arrancar. Para a xestión de paquetes, ofrécense xestores de paquetes RPM e DNF (variante tdnf de vmWare). O servidor SSH non está activado por defecto. Para instalar a distribución, ofrécese un instalador que pode funcionar tanto en modo texto como gráfico. O instalador ofrece a opción de instalar un conxunto completo ou básico de paquetes e ofrece unha interface para seleccionar unha partición de disco, seleccionar un nome de host e crear usuarios.
Fonte: opennet.ru