A Microsoft közzétette a CBL-Mariner 1.0.20210901 (Common Base Linux Mariner) disztribúció frissítését, amelyet a felhőinfrastruktúrában, szélrendszerekben és különféle Microsoft-szolgáltatásokban használt Linux-környezetek univerzális alapplatformjaként fejlesztenek. A projekt célja a Microsoft Linux megoldások egységesítése és a Linux rendszerek különböző célú karbantartásának egyszerűsítése. A projekt fejlesztései MIT licenc alatt kerülnek terjesztésre.
Az új kiadásban:
- Megkezdődött az alap iso kép (700 MB) kialakítása. Az első kiadásban nem biztosítottak kész ISO-képeket, feltételezték, hogy a felhasználó képes létrehozni egy képet a szükséges kitöltéssel (az Ubuntu 18.04-hez készült összeszerelési útmutató).
- Megvalósult az automatikus csomagfrissítések támogatása, amelyhez a Dnf-Automatic alkalmazás is tartozik.
- A Linux kernel az 5.10.60.1-es verzióra frissült. Frissített programverziók, köztük openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2. squashfs-tools 4.4, mysql 8.0.26.
- Az OpenSSL lehetőséget biztosít a TLS 1 és TLS 1.1 támogatásának visszaküldésére.
- Az eszközkészlet forráskódjának ellenőrzéséhez az sha256sum segédprogramot kell használni.
- Új csomagok tartalmazzák: etcd-tools, cockpit, aide, fipscheck, tini.
- A brp-strip-debug-symbols, a brp-strip-unneeded és a ca-legacy csomagokat eltávolítottuk. Eltávolítottuk a SPEC-fájlokat a Dotnet- és az aspnetcore-csomagokhoz, amelyeket most a központi .NET-fejlesztőcsapat állít össze, és külön tárolóban helyezi el.
- A biztonsági rés javításait áthelyeztük a használt csomagverziókra.
Emlékezzünk vissza, hogy a CBL-Mariner disztribúció egy kis szabványos alapcsomag-készletet biztosít, amelyek univerzális alapként szolgálnak a felhő infrastruktúrákban és szélső eszközökön futó konténerek, gazdagép környezetek és szolgáltatások tartalmának létrehozásához. Bonyolultabb és speciálisabb megoldások is létrehozhatók további csomagok hozzáadásával a CBL-Marinerhez, de az összes ilyen rendszer alapja ugyanaz marad, ami megkönnyíti a karbantartást és a frissítéseket. Például a CBL-Mariner a WSLg mini disztribúció alapja, amely grafikus verem-összetevőket biztosít Linux grafikus felületű alkalmazások futtatásához a WSL2 (Windows Subsystem for Linux) alrendszeren alapuló környezetekben. A WSLg kiterjesztett funkcionalitása a Weston Composite Server, az XWayland, a PulseAudio és a FreeRDP kiegészítő csomagjaival valósul meg.
A CBL-Mariner build rendszer lehetővé teszi, hogy SPEC fájlok és források alapján különálló RPM-csomagokat, valamint az rpm-ostree eszközkészlettel generált és atomosan frissített monolitikus rendszerképeket külön csomagokba bontás nélkül generáljon. Ennek megfelelően két frissítés-szállítási modell támogatott: az egyes csomagok frissítésével és a teljes rendszerkép újraépítésével és frissítésével. Elérhető egy körülbelül 3000 RPM-es tárház, amelyből a konfigurációs fájl alapján saját képfájljait készítheti el.
A disztribúció csak a legszükségesebb komponenseket tartalmazza, és minimális memória- és lemezterület-fogyasztásra, valamint nagy letöltési sebességre van optimalizálva. A disztribúció emellett számos további biztonsági mechanizmust is tartalmaz. A projekt "alapértelmezés szerint maximális biztonság" megközelítést alkalmaz. Lehetővé teszi a rendszerhívások seccomp mechanizmussal történő szűrését, a lemezpartíciók titkosítását és a csomagok digitális aláírással történő ellenőrzését.
Aktiválódnak a Linux kernel által támogatott címterület véletlenszerűsítési módok, valamint a szimbolikus hivatkozásokhoz, mmap, /dev/mem és /dev/kmem kapcsolódó támadások elleni védelmi mechanizmusok. Azon memóriaterületeken, amelyek kernel- és moduladatokat tartalmazó szegmenseket tartalmaznak, a mód csak olvasható, és a kódfuttatás tilos. Opcionálisan elérhető a kernelmodulok rendszerinicializálás utáni betöltésének letiltása. Az iptables eszközkészlet a hálózati csomagok szűrésére szolgál. Alapértelmezés szerint a build pass védelmi módokat engedélyez a veremtúlcsordulás, a puffertúlcsordulás és a karakterlánc-formázási problémák ellen (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
A systemd rendszerkezelő a szolgáltatások kezelésére és a rendszerindításra szolgál. A csomagkezeléshez RPM és DNF (a vmWare tdnf változata) csomagkezelők állnak rendelkezésre. Az SSH-kiszolgáló alapértelmezés szerint nincs engedélyezve. A disztribúció telepítéséhez egy telepítő biztosított, amely szöveges és grafikus módban is működik. A telepítő lehetőséget biztosít a teljes vagy alapcsomaggal történő telepítésre, valamint interfészt kínál a lemezpartíció kiválasztásához, a gazdagépnév kiválasztásához és a felhasználók létrehozásához.
Forrás: opennet.ru