Microsoft-ը հրապարակել է CBL-Mariner բաշխման 1.0.20210901 (Common Base Linux Mariner) թարմացումը, որը մշակվում է որպես Linux միջավայրերի ունիվերսալ բազային հարթակ, որն օգտագործվում է ամպային ենթակառուցվածքում, եզրային համակարգերում և Microsoft-ի տարբեր ծառայություններում: Ծրագրի նպատակն է միավորել Microsoft Linux-ի լուծումները և պարզեցնել Linux համակարգերի սպասարկումը տարբեր նպատակներով մինչ օրս: Ծրագրի մշակումները բաշխվում են MIT լիցենզիայի ներքո:
Նոր թողարկումում.
- Սկսվել է հիմնական iso պատկերի (700 ՄԲ) ձևավորումը։ Առաջին թողարկումում պատրաստի ISO պատկերներ չտրամադրվեցին, ենթադրվում էր, որ օգտագործողը կարող է ստեղծել անհրաժեշտ լրացումով պատկեր (հավաքման հրահանգները պատրաստվել են Ubuntu 18.04-ի համար):
- Իրականացվել է փաթեթների ավտոմատ թարմացումների աջակցություն, որի համար ներառված է Dnf-Automatic հավելվածը։
- Linux միջուկը թարմացվել է 5.10.60.1 տարբերակին: Ծրագրի թարմացված տարբերակները, ներառյալ openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, վկայում 1.7.0, խրթխրթան 0.4.0, xz 0.5.10, swig4.0.2, . squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL-ը հնարավորություն է տալիս վերադարձնել աջակցությունը TLS 1-ին և TLS 1.1-ին:
- Գործիքակազմի սկզբնական կոդը ստուգելու համար օգտագործվում է sha256sum կոմունալը:
- Ներառված են նոր փաթեթներ՝ etcd-tools, cockpit, aide, fipscheck, tini:
- brp-strip-debug-simbols, brp-strip-unneeded և ca-legacy փաթեթները հեռացվել են: Հեռացվել են SPEC ֆայլերը Dotnet և aspnetcore փաթեթների համար, որոնք այժմ կազմվել են հիմնական .NET մշակողների թիմի կողմից և տեղադրվել առանձին պահոցում:
- Խոցելիության շտկումները տեղափոխվել են օգտագործված փաթեթի տարբերակներ:
Հիշենք, որ CBL-Mariner բաշխումը ապահովում է հիմնական փաթեթների փոքր ստանդարտ փաթեթ, որը ծառայում է որպես համընդհանուր հիմք ամպային ենթակառուցվածքներում և ծայրամասային սարքերում աշխատող կոնտեյներների, հյուրընկալող միջավայրերի և ծառայությունների բովանդակության ստեղծման համար: Ավելի բարդ և մասնագիտացված լուծումներ կարելի է ստեղծել՝ ավելացնելով լրացուցիչ փաթեթներ CBL-Mariner-ի վերևում, սակայն բոլոր նման համակարգերի հիմքերը մնում են նույնը, ինչը հեշտացնում է սպասարկումն ու թարմացումները: Օրինակ, CBL-Mariner-ը օգտագործվում է որպես WSLg մինի բաշխման հիմք, որն ապահովում է գրաֆիկական փաթեթի բաղադրիչներ՝ Linux GUI հավելվածները գործարկելու համար WSL2 (Windows ենթահամակարգ Linux-ի համար) ենթահամակարգի վրա հիմնված միջավայրերում: Ընդլայնված ֆունկցիոնալությունը WSLg-ում իրականացվում է Weston Composite Server-ի, XWayland-ի, PulseAudio-ի և FreeRDP-ի հետ լրացուցիչ փաթեթների ընդգրկման միջոցով:
CBL-Mariner build համակարգը թույլ է տալիս ստեղծել ինչպես առանձին RPM փաթեթներ՝ հիմնված SPEC ֆայլերի և սկզբնական կոդի վրա, այնպես էլ միաձույլ համակարգի պատկերներ, որոնք ստեղծվել են rpm-ostree գործիքակազմի միջոցով և թարմացվել ատոմային եղանակով՝ առանց առանձին փաթեթների բաժանվելու: Համապատասխանաբար, աջակցվում են թարմացումների առաքման երկու մոդելներ՝ անհատական փաթեթների թարմացման և ամբողջ համակարգի պատկերի վերակառուցման և թարմացման միջոցով: Հասանելի է մոտավորապես 3000 նախապես կառուցված RPM փաթեթների պահոց, որը կարող եք օգտագործել՝ կազմաձևման ֆայլի հիման վրա ձեր սեփական պատկերները ստեղծելու համար:
Բաշխումը ներառում է միայն ամենաանհրաժեշտ բաղադրիչները և օպտիմիզացված է հիշողության և սկավառակի տարածության նվազագույն սպառման, ինչպես նաև բեռնման բարձր արագության համար: Բաշխումը նաև աչքի է ընկնում անվտանգության բարձրացման տարբեր լրացուցիչ մեխանիզմների ընդգրկմամբ: Նախագիծն ընդունում է «առավելագույն անվտանգությունը լռելյայն» մոտեցումը: Հնարավոր է զտել համակարգային զանգերը՝ օգտագործելով seccomp մեխանիզմը, գաղտնագրել սկավառակի միջնորմները և ստուգել փաթեթները՝ օգտագործելով թվային ստորագրությունը:
Ակտիվացված են հասցեների տարածության պատահականացման ռեժիմները, որոնք աջակցվում են Linux միջուկում, ինչպես նաև պաշտպանական մեխանիզմներ symlink հարձակումներից, mmap, /dev/mem և /dev/kmem: Հիշողության տարածքները, որոնք պարունակում են միջուկի և մոդուլի տվյալներ ունեցող հատվածներ, դրված են միայն կարդալու ռեժիմի վրա, և կոդի կատարումն արգելված է: Ընտրովի տարբերակ է անջատել միջուկի մոդուլների բեռնումը համակարգի սկզբնավորումից հետո: iptables գործիքակազմն օգտագործվում է ցանցային փաթեթները զտելու համար: Կառուցման փուլում լռելյայն միացված է պաշտպանությունը կույտերի գերհոսքներից, բուֆերային հոսքերից և տողերի ձևաչափման խնդիրներից (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro):
Systemd-ի կառավարիչն օգտագործվում է ծառայությունները կառավարելու և բեռնաթափելու համար: Փաթեթների կառավարման համար տրամադրվում են փաթեթի կառավարիչներ RPM և DNF (tdnf տարբերակ vmWare-ից): SSH սերվերը լռելյայն միացված չէ: Բաշխումը տեղադրելու համար տրամադրվում է տեղադրող, որը կարող է աշխատել ինչպես տեքստային, այնպես էլ գրաֆիկական ռեժիմներով: Տեղադրողն ապահովում է փաթեթների ամբողջական կամ հիմնական փաթեթի հետ տեղադրման հնարավորությունը և առաջարկում է ինտերֆեյս սկավառակի բաժանման ընտրության, հյուրընկալողի անունը ընտրելու և օգտվողներ ստեղծելու համար:
Source: opennet.ru