Microsoft는 CBL-Mariner Linux 배포판에 대한 업데이트를 게시했습니다.

Microsoft는 클라우드 인프라, 엣지 시스템 및 다양한 Microsoft 서비스에서 사용되는 Linux 환경을 위한 범용 기본 플랫폼으로 개발되고 있는 배포 키트 CBL-Mariner 2.0.20221029(Common Base Linux Mariner)에 대한 업데이트를 발표했습니다. 이 프로젝트는 Microsoft에서 사용되는 Linux 솔루션을 통합하고 다양한 목적을 위해 Linux 시스템의 유지 관리를 단순화하는 것을 목표로 합니다. 프로젝트의 개발은 MIT 라이센스에 따라 배포됩니다. aarch64 및 x86_64 아키텍처용 패키지가 생성됩니다. x1.1_86 아키텍처용으로 준비된 부팅 가능한 ISO 이미지(64GB)

새 버전에서:

• Linux 커널 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy의 제안된 릴리스를 포함하여 업데이트된 패키지 버전 5.8.0, 와이어샤크 3.4.16, nginx 1.22.1.
• 새로운 패키지 cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability가 추가되었습니다.
• TCP 혼잡 제어 알고리즘(TCP 혼잡)을 변경하기 위한 모듈이 포함되어 있습니다.
• 취약점 수정 사항이 libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, Wireshark, nginx, mysql, terraform 패키지로 이동되었습니다.

CBL-Mariner 배포판은 클라우드 인프라 및 엣지 장치에서 실행되는 컨테이너, 호스트 환경 및 서비스의 콘텐츠를 생성하기 위한 보편적인 기반 역할을 하는 작은 표준 기본 패키지 세트를 제공합니다. CBL-Mariner 위에 추가 패키지를 추가하면 더 복잡하고 전문적인 솔루션을 만들 수 있지만 이러한 모든 시스템의 기본은 동일하게 유지되므로 유지 관리 및 업데이트가 더 쉽습니다. 예를 들어 CBL-Mariner는 WSL2(Linux용 Windows 하위 시스템) 하위 시스템 기반 환경에서 Linux GUI 애플리케이션을 실행하기 위한 그래픽 스택 구성 요소를 제공하는 WSLg 미니 배포판의 기반으로 사용됩니다. WSLg의 확장된 기능은 Weston Composite Server, XWayland, PulseAudio 및 FreeRDP에 추가 패키지를 포함함으로써 실현됩니다.

CBL-Mariner 빌드 시스템을 사용하면 SPEC 파일과 소스 코드를 기반으로 하는 개별 RPM 패키지뿐만 아니라 rpm-ostree 툴킷을 사용하여 생성되고 별도의 패키지로 분할하지 않고 원자적으로 업데이트되는 모놀리식 시스템 이미지를 모두 생성할 수 있습니다. 따라서 개별 패키지 업데이트와 전체 시스템 이미지 재구축 및 업데이트라는 두 가지 업데이트 전달 모델이 지원됩니다. 구성 파일을 기반으로 자체 이미지를 빌드하는 데 사용할 수 있는 약 3000개의 사전 빌드된 RPM 패키지 리포지토리를 사용할 수 있습니다.

배포판에는 가장 필요한 구성 요소만 포함되어 있으며 최소한의 메모리 및 디스크 공간 소비와 높은 로딩 속도에 최적화되어 있습니다. 이 배포판에는 보안을 강화하기 위한 다양한 추가 메커니즘이 포함된 점도 주목할 만합니다. 이 프로젝트는 "기본적으로 최대 보안" 접근 방식을 취합니다. seccomp 메커니즘을 사용하여 시스템 호출을 필터링하고, 디스크 파티션을 암호화하고, 디지털 서명을 사용하여 패키지를 확인할 수 있습니다.

Linux 커널에서 지원되는 주소 공간 무작위화 모드는 물론 심볼릭 링크 공격, mmap, /dev/mem 및 /dev/kmem에 대한 보호 메커니즘도 활성화됩니다. 커널 및 모듈 데이터가 포함된 세그먼트가 포함된 메모리 영역은 읽기 전용 모드로 설정되고 코드 실행이 금지됩니다. 선택적 옵션은 시스템 초기화 후 커널 모듈 로드를 비활성화하는 것입니다. iptables 툴킷은 네트워크 패킷을 필터링하는 데 사용됩니다. 빌드 단계에서는 스택 오버플로, 버퍼 오버플로 및 문자열 형식 문제에 대한 보호가 기본적으로 활성화됩니다(_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).

시스템 관리자 systemd는 서비스를 관리하고 부팅하는 데 사용됩니다. 패키지 관리를 위해 RPM 및 DNF 패키지 관리자가 제공됩니다. SSH 서버는 기본적으로 활성화되어 있지 않습니다. 배포판을 설치하기 위해 텍스트 및 그래픽 모드에서 모두 작동할 수 있는 설치 프로그램이 제공됩니다. 설치 프로그램은 전체 또는 기본 패키지 세트를 설치하는 옵션을 제공하고 디스크 파티션 선택, 호스트 이름 선택 및 사용자 생성을 위한 인터페이스를 제공합니다.

출처 : opennet.ru