„Microsoft“ paskelbė CBL-Mariner platinimo 1.0.20210901 („Common Base Linux Mariner“) atnaujinimą, kuris kuriamas kaip universali bazinė platforma Linux aplinkoms, naudojamoms debesų infrastruktūroje, krašto sistemose ir įvairiose Microsoft paslaugose. Projektu siekiama suvienodinti Microsoft Linux sprendimus ir supaprastinti įvairiems tikslams skirtų Linux sistemų priežiūrą. Projekto plėtra platinama pagal MIT licenciją.
Naujame leidime:
- Pradėtas formuoti pagrindinis iso vaizdas (700 MB). Pirmajame leidime paruošti ISO vaizdai nebuvo pateikti, buvo daroma prielaida, kad vartotojas gali sukurti vaizdą su reikiamu užpildymu (surinkimo instrukcijos buvo paruoštos Ubuntu 18.04).
- Įdiegtas automatinių paketų atnaujinimų palaikymas, kuriam įtraukta Dnf-Automatic programa.
- „Linux“ branduolys buvo atnaujintas į 5.10.60.1 versiją. Atnaujintos programos versijos, įskaitant openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2. squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL suteikia galimybę grąžinti TLS 1 ir TLS 1.1 palaikymą.
- Norėdami patikrinti įrankių rinkinio šaltinio kodą, naudojama programa sha256sum.
- Į komplektaciją įeina nauji paketai: etcd-tools, cockpit, aide, fipscheck, tini.
- Paketai brp-strip-debug-ymbols, brp-strip-unneeded ir ca-legacy buvo pašalinti. Pašalinti „Dotnet“ ir „aspnetcore“ paketų SPEC failai, kuriuos dabar sudaro pagrindinė .NET kūrimo komanda ir patalpinti į atskirą saugyklą.
- Pažeidžiamumo pataisymai buvo perkelti į naudojamas paketo versijas.
Prisiminkime, kad „CBL-Mariner“ paskirstymas suteikia nedidelį standartinį pagrindinių paketų rinkinį, kuris yra universalus pagrindas kuriant konteinerių turinį, pagrindinę aplinką ir paslaugas, veikiančias debesų infrastruktūroje ir kraštutiniuose įrenginiuose. Sudėtingesni ir specializuoti sprendimai gali būti sukurti pridedant papildomus paketus prie CBL-Mariner, tačiau visų tokių sistemų pagrindas išlieka tas pats, todėl priežiūra ir atnaujinimai yra lengvesni. Pavyzdžiui, CBL-Mariner naudojamas kaip WSLg mini paskirstymo pagrindas, kuris suteikia grafikos kamino komponentus, skirtus Linux GUI programoms paleisti aplinkoje, pagrįstoje WSL2 (Windows Subsystem for Linux) posistemiu. Išplėstas WSLg funkcionalumas įgyvendinamas įtraukiant papildomus paketus su Weston Composite Server, XWayland, PulseAudio ir FreeRDP.
CBL-Mariner kūrimo sistema leidžia generuoti tiek atskirus RPM paketus, pagrįstus SPEC failais ir šaltinio kodu, tiek monolitinius sistemos vaizdus, sugeneruotus naudojant rpm-ostree įrankių rinkinį ir atnaujintus atomiškai, neskirstant į atskirus paketus. Atitinkamai palaikomi du naujinimų pristatymo modeliai: atnaujinant atskirus paketus ir perkuriant bei atnaujinant visą sistemos vaizdą. Yra maždaug 3000 iš anksto sukurtų RPM paketų saugykla, kurią galite naudoti kurdami savo vaizdus pagal konfigūracijos failą.
Paskirstymas apima tik būtiniausius komponentus ir yra optimizuotas minimaliam atminties ir vietos diske sunaudojimui bei dideliam įkėlimo greičiui. Platinimas taip pat pastebimas tuo, kad yra įvairių papildomų mechanizmų, skirtų saugumui padidinti. Projekte taikomas „maksimalaus saugumo pagal numatytuosius nustatymus“ metodas. Galima filtruoti sistemos skambučius naudojant seccomp mechanizmą, užšifruoti disko skaidinius ir patikrinti paketus naudojant skaitmeninį parašą.
Įjungiami „Linux“ branduolio palaikomi adresų erdvės atsitiktinio atrankos režimai, taip pat apsaugos nuo simbolių nuorodų atakų mechanizmai, mmap, /dev/mem ir /dev/kmem. Atminties sritys, kuriose yra segmentų su branduolio ir modulio duomenimis, nustatomos tik skaitymo režimu, o kodo vykdymas yra draudžiamas. Pasirenkama parinktis yra išjungti branduolio modulių įkėlimą po sistemos inicijavimo. „iptables“ įrankių rinkinys naudojamas tinklo paketams filtruoti. Kūrimo etape apsauga nuo dėklo perpildymo, buferio perpildymo ir eilutės formatavimo problemų įgalinta pagal numatytuosius nustatymus (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Sistemos tvarkyklė systemd naudojama paslaugoms valdyti ir įkelti. Paketų valdymui pateikiami paketų tvarkytuvai RPM ir DNF (tdnf variantas iš vmWare). Pagal numatytuosius nustatymus SSH serveris neįjungtas. Norėdami įdiegti platinimą, pateikiamas diegimo programa, kuri gali dirbti tiek tekstiniu, tiek grafiniu režimu. Diegimo programa suteikia galimybę įdiegti su visu arba pagrindiniu paketų rinkiniu ir siūlo sąsają disko skaidiniui pasirinkti, pagrindinio kompiuterio pavadinimui ir vartotojams kurti.
Šaltinis: opennet.ru