Microsoft je objavio ažuriranje distribucije CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), koja se razvija kao univerzalna bazna platforma za Linux okruženja koja se koriste u infrastrukturi oblaka, rubnim sustavima i raznim Microsoftovim servisima. Projekt je usmjeren na objedinjavanje Microsoft Linux rješenja i pojednostavljenje održavanja Linux sustava za različite namjene do danas. Razvoj projekta distribuira se pod licencom MIT-a.
U novom izdanju:
- Započelo je formiranje osnovne iso slike (700 MB). U prvom izdanju nisu bile dostupne gotove ISO slike; pretpostavljalo se da korisnik može stvoriti sliku s potrebnim punjenjem (upute za montažu pripremljene su za Ubuntu 18.04).
- Implementirana je podrška za automatsko ažuriranje paketa, za što je uključena aplikacija Dnf-Automatic.
- Linux kernel je ažuriran na verziju 5.10.60.1. Ažurirane verzije programa, uključujući openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2. 4.4, squashfs-alati 8.0.26, mysql XNUMX.
- OpenSSL pruža opciju vraćanja podrške za TLS 1 i TLS 1.1.
- Za provjeru izvornog koda alata koristi se uslužni program sha256sum.
- Uključeni novi paketi: etcd-tools, cockpit, aide, fipscheck, tini.
- Paketi brp-strip-debug-symbols, brp-strip-unneeded i ca-legacy su uklonjeni. Uklonjene su SPEC datoteke za Dotnet i aspnetcore pakete, koje je sada sastavio glavni .NET razvojni tim i smjestio u zasebno spremište.
- Popravci ranjivosti premješteni su u korištene verzije paketa.
Podsjetimo, distribucija CBL-Mariner pruža mali standardni skup osnovnih paketa koji služe kao univerzalna osnova za kreiranje sadržaja spremnika, host okruženja i servisa koji se izvode u cloud infrastrukturama i na rubnim uređajima. Složenija i specijalizirana rješenja mogu se stvoriti dodavanjem dodatnih paketa na CBL-Mariner, ali osnova za sve takve sustave ostaje ista, što olakšava održavanje i ažuriranje. Na primjer, CBL-Mariner se koristi kao osnova za WSLg mini distribuciju, koja pruža komponente grafičkog skupa za pokretanje Linux GUI aplikacija u okruženjima temeljenim na podsustavu WSL2 (Windows Subsystem for Linux). Proširena funkcionalnost u WSLg-u ostvarena je uključivanjem dodatnih paketa s Weston Composite Serverom, XWaylandom, PulseAudiom i FreeRDP-om.
Sustav izrade CBL-Mariner omogućuje vam generiranje pojedinačnih RPM paketa na temelju SPEC datoteka i izvornog koda, kao i monolitnih slika sustava generiranih korištenjem alata rpm-ostree i ažuriranih atomski bez razdvajanja u zasebne pakete. Sukladno tome, podržana su dva modela isporuke ažuriranja: kroz ažuriranje pojedinačnih paketa i kroz ponovnu izgradnju i ažuriranje cjelokupne slike sustava. Dostupno je spremište od približno 3000 unaprijed izgrađenih RPM paketa koje možete koristiti za izradu vlastitih slika na temelju konfiguracijske datoteke.
Distribucija uključuje samo najnužnije komponente i optimizirana je za minimalnu potrošnju memorije i prostora na disku, kao i veliku brzinu učitavanja. Distribucija je također značajna po uključivanju raznih dodatnih mehanizama za poboljšanje sigurnosti. Projekt ima pristup "maksimalne sigurnosti prema zadanim postavkama". Moguće je filtrirati sistemske pozive pomoću mehanizma seccomp, šifrirati particije diska i verificirati pakete pomoću digitalnog potpisa.
Aktiviraju se načini randomizacije adresnog prostora podržani u jezgri Linuxa, kao i mehanizmi zaštite od napada simboličke veze, mmap, /dev/mem i /dev/kmem. Područja memorije koja sadrže segmente s podacima jezgre i modula postavljena su na način rada samo za čitanje i izvršenje koda je zabranjeno. Opcijska opcija je onemogućavanje učitavanja modula jezgre nakon inicijalizacije sustava. Iptables alat se koristi za filtriranje mrežnih paketa. U fazi izgradnje, zaštita od prekoračenja stogova, prekoračenja međuspremnika i problema s formatiranjem nizova omogućena je prema zadanim postavkama (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Upravitelj sustava systemd koristi se za upravljanje uslugama i podizanje sustava. Za upravljanje paketima osigurani su upravitelji paketa RPM i DNF (tdnf varijanta iz vmWare). SSH poslužitelj nije omogućen prema zadanim postavkama. Za instalaciju distribucije osiguran je instalacijski program koji može raditi iu tekstualnom iu grafičkom načinu rada. Instalacijski program nudi mogućnost instalacije s punim ili osnovnim skupom paketa i nudi sučelje za odabir particije diska, odabir naziva glavnog računala i kreiranje korisnika.
Izvor: opennet.ru