Microsoft ha pubblicato un aggiornamento della distribuzione CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), che viene sviluppata come piattaforma di base universale per ambienti Linux utilizzati nell'infrastruttura cloud, nei sistemi edge e in vari servizi Microsoft. Il progetto mira a unificare le soluzioni Microsoft Linux e semplificare la manutenzione dei sistemi Linux per vari scopi aggiornati. Gli sviluppi del progetto sono distribuiti sotto licenza MIT.
Nella nuova versione:
- La formazione dell'immagine ISO di base (700 MB) è iniziata. Nella prima versione non venivano fornite immagini ISO già pronte, si presumeva che l'utente potesse creare un'immagine con il riempimento necessario (per Ubuntu 18.04 sono state preparate le istruzioni di montaggio).
- È stato implementato il supporto per gli aggiornamenti automatici dei pacchetti, per i quali è inclusa l'applicazione Dnf-Automatic.
- Il kernel Linux è stato aggiornato alla versione 5.10.60.1. Versioni del programma aggiornate, tra cui openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testimoniare 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL offre la possibilità di restituire il supporto per TLS 1 e TLS 1.1.
- Per verificare il codice sorgente del toolkit, viene utilizzata l'utilità sha256sum.
- Nuovi pacchetti inclusi: etcd-tools,cockpit,aide,fipscheck,tini.
- I pacchetti brp-strip-debug-symbols, brp-strip-unneeded e ca-legacy sono stati rimossi. Rimossi i file SPEC per i pacchetti Dotnet e aspnetcore, che ora vengono compilati dal team di sviluppo .NET principale e inseriti in un repository separato.
- Le correzioni delle vulnerabilità sono state spostate nelle versioni del pacchetto utilizzate.
Ricordiamo che la distribuzione CBL-Mariner fornisce un piccolo set standard di pacchetti base che servono come base universale per creare contenuti di contenitori, ambienti host e servizi in esecuzione in infrastrutture cloud e dispositivi edge. È possibile creare soluzioni più complesse e specializzate aggiungendo pacchetti aggiuntivi a CBL-Mariner, ma la base per tutti questi sistemi rimane la stessa, facilitando la manutenzione e gli aggiornamenti. Ad esempio, CBL-Mariner viene utilizzato come base per la mini-distribuzione WSLg, che fornisce componenti dello stack grafico per l'esecuzione di applicazioni GUI Linux in ambienti basati sul sottosistema WSL2 (Windows Subsystem for Linux). La funzionalità estesa in WSLg è realizzata attraverso l'inclusione di pacchetti aggiuntivi con Weston Composite Server, XWayland, PulseAudio e FreeRDP.
Il sistema di build CBL-Mariner consente di generare sia singoli pacchetti RPM basati su file SPEC e codice sorgente, sia immagini di sistema monolitiche generate utilizzando il toolkit rpm-ostree e aggiornate atomicamente senza suddividersi in pacchetti separati. Di conseguenza, sono supportati due modelli di distribuzione degli aggiornamenti: tramite l'aggiornamento di singoli pacchetti e tramite la ricostruzione e l'aggiornamento dell'intera immagine del sistema. È disponibile un repository di circa 3000 pacchetti RPM predefiniti che puoi utilizzare per creare le tue immagini basate su un file di configurazione.
La distribuzione include solo i componenti più necessari ed è ottimizzata per un consumo minimo di memoria e spazio su disco, nonché per un'elevata velocità di caricamento. La distribuzione è degna di nota anche per l'inclusione di vari meccanismi aggiuntivi per migliorare la sicurezza. Il progetto adotta un approccio di “massima sicurezza per impostazione predefinita”. È possibile filtrare le chiamate di sistema utilizzando il meccanismo seccomp, crittografare le partizioni del disco e verificare i pacchetti utilizzando una firma digitale.
Vengono attivate le modalità di randomizzazione dello spazio degli indirizzi supportate nel kernel Linux, nonché i meccanismi di protezione contro gli attacchi dei collegamenti simbolici, mmap, /dev/mem e /dev/kmem. Le aree di memoria che contengono segmenti con dati del kernel e del modulo sono impostate sulla modalità di sola lettura e l'esecuzione del codice è vietata. Un'opzione opzionale è disabilitare il caricamento dei moduli del kernel dopo l'inizializzazione del sistema. Il toolkit iptables viene utilizzato per filtrare i pacchetti di rete. In fase di creazione, la protezione contro stack overflow, buffer overflow e problemi di formattazione delle stringhe è abilitata per impostazione predefinita (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Il gestore di sistema systemd viene utilizzato per gestire i servizi e l'avvio. Per la gestione dei pacchetti vengono forniti i gestori di pacchetti RPM e DNF (variante tdnf di vmWare). Il server SSH non è abilitato per impostazione predefinita. Per installare la distribuzione viene fornito un programma di installazione che può funzionare sia in modalità testo che grafica. Il programma di installazione offre la possibilità di installare con un set completo o di base di pacchetti e offre un'interfaccia per selezionare una partizione del disco, selezionare un nome host e creare utenti.
Fonte: opennet.ru