Microsoft は、クラウド インフラストラクチャ、エッジ システム、さまざまな Microsoft サービスで使用される Linux 環境のユニバーサル ベース プラットフォームとして開発されている CBL-Mariner ディストリビューション 1.0.20210901 (Common Base Linux Mariner) のアップデートを公開しました。 このプロジェクトは、Microsoft で使用されている Linux ソリューションを統合し、最新のさまざまな目的に合わせて Linux システムのメンテナンスを簡素化することを目的としています。 プロジェクトの開発は MIT ライセンスに基づいて配布されます。
新しいリリースでは:
- 基本 ISO イメージ (700 MB) の作成が開始されました。 最初のリリースでは、既製の ISO イメージは提供されず、ユーザーが必要な内容を加えたイメージを作成できることが想定されていました (アセンブリ手順は Ubuntu 18.04 用に用意されていました)。
- 自動パッケージ更新のサポートが実装されており、Dnf-Automatic アプリケーションが含まれています。
- Linux カーネルがバージョン 5.10.60.1 に更新されました。 openvswitch 2.15.1、golang 1.16.7、logrus 1.8.1、tcell 1.4.0、gonum 0.9.3、testify 1.7.0、crunchy 0.4.0、xz 0.5.10、swig 4.0.2 を含む更新されたプログラム バージョンsquashfs-tools 4.4、mysql 8.0.26。
- OpenSSL は、TLS 1 および TLS 1.1 のサポートを戻すオプションを提供します。
- ツールキットのソース コードを確認するには、sha256sum ユーティリティを使用します。
- 新しいパッケージが含まれています: etcd-tools、cockpit、aide、fipscheck、tini。
- brp-strip-debug-symbols、brp-strip-unneeded、および ca-legacy パッケージは削除されました。 Dotnet および aspnetcore パッケージの SPEC ファイルが削除されました。これらのファイルは、コア .NET 開発チームによってコンパイルされ、別のリポジトリに配置されるようになりました。
- 脆弱性修正は、使用されているパッケージ バージョンに移動されました。
CBL-Mariner ディストリビューションは、クラウド インフラストラクチャやエッジ デバイスで実行されるコンテナ、ホスト環境、サービスのコンテンツを作成するための普遍的な基盤として機能する基本パッケージの小規模な標準セットを提供していることを思い出してください。 CBL-Mariner の上に追加のパッケージを追加することで、より複雑で特殊なソリューションを作成できますが、そのようなすべてのシステムの基礎は同じままであるため、メンテナンスと更新が容易になります。 たとえば、CBL-Mariner は、WSLg ミニ ディストリビューションの基礎として使用され、WSL2 (Windows Subsystem for Linux) サブシステムに基づく環境で Linux GUI アプリケーションを実行するためのグラフィック スタック コンポーネントを提供します。 WSLg の拡張機能は、Weston Composite Server、XWayland、PulseAudio、FreeRDP の追加パッケージを組み込むことで実現されます。
CBL-Mariner ビルド システムを使用すると、SPEC ファイルとソース コードに基づいた個別の RPM パッケージと、rpm-ostree ツールキットを使用して生成され、個別のパッケージに分割せずにアトミックに更新されるモノリシック システム イメージの両方を生成できます。 したがって、個々のパッケージの更新によるものと、システム イメージ全体の再構築と更新によるものという 3000 つの更新配信モデルがサポートされています。 約 XNUMX の事前構築済み RPM パッケージのリポジトリが用意されており、構成ファイルに基づいて独自のイメージを構築するために使用できます。
ディストリビューションには、最も必要なコンポーネントのみが含まれており、メモリとディスク容量の消費を最小限に抑え、高速な読み込み速度を実現するように最適化されています。 このディストリビューションには、セキュリティを強化するためのさまざまな追加メカニズムが含まれていることでも注目に値します。 このプロジェクトは、「デフォルトで最大のセキュリティ」アプローチを採用しています。 seccomp メカニズムを使用してシステム コールをフィルタリングし、ディスク パーティションを暗号化し、デジタル署名を使用してパッケージを検証することができます。
Linux カーネルでサポートされているアドレス空間ランダム化モードと、シンボリックリンク攻撃に対する保護メカニズム、mmap、/dev/mem、および /dev/kmem がアクティブ化されます。 カーネルおよびモジュール データを含むセグメントを含むメモリ領域は読み取り専用モードに設定され、コードの実行は禁止されます。 オプションのオプションは、システムの初期化後のカーネル モジュールのロードを無効にすることです。 iptables ツールキットは、ネットワーク パケットをフィルタリングするために使用されます。 ビルド段階では、スタック オーバーフロー、バッファ オーバーフロー、文字列フォーマットの問題に対する保護がデフォルトで有効になっています (_FORTIFY_SOURCE、-fstack-protector、-Wformat-security、relro)。
システム マネージャー systemd は、サービスとブートの管理に使用されます。 パッケージ管理のために、パッケージ マネージャー RPM および DNF (vmWare の tdnf バリアント) が提供されます。 SSH サーバーはデフォルトでは有効になっていません。 ディストリビューションをインストールするには、テキスト モードとグラフィック モードの両方で動作できるインストーラーが提供されます。 インストーラは、パッケージの完全セットまたは基本セットを使用してインストールするオプションを提供し、ディスク パーティションの選択、ホスト名の選択、およびユーザーの作成のためのインターフェイスを提供します。
出所: オープンネット.ru