Microsoft ir publicējusi CBL-Mariner izplatīšanas atjauninājumu 1.0.20210901 (Common Base Linux Mariner), kas tiek izstrādāta kā universāla bāzes platforma Linux vidēm, ko izmanto mākoņu infrastruktūrā, malu sistēmās un dažādos Microsoft pakalpojumos. Projekta mērķis ir apvienot Microsoft Linux risinājumus un vienkāršot Linux sistēmu uzturēšanu dažādiem mērķiem. Projekta izstrādes tiek izplatītas saskaņā ar MIT licenci.
Jaunajā laidienā:
- Ir sākusies pamata iso attēla (700 MB) veidošana. Pirmajā laidienā netika nodrošināti gatavi ISO attēli, tika pieņemts, ka lietotājs var izveidot attēlu ar nepieciešamo pildījumu (Ubuntu 18.04 tika sagatavotas montāžas instrukcijas).
- Ir ieviests atbalsts automātiskajiem pakotņu atjauninājumiem, kuriem ir iekļauta lietojumprogramma Dnf-Automatic.
- Linux kodols ir atjaunināts uz versiju 5.10.60.1. Atjauninātas programmu versijas, tostarp openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2. squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL nodrošina iespēju atgriezt TLS 1 un TLS 1.1 atbalstu.
- Lai pārbaudītu rīkkopas avota kodu, tiek izmantota utilīta sha256sum.
- Iekļautas jaunas paketes: etcd-tools, kabīne, palīgs, fipscheck, tini.
- Ir noņemtas pakotnes brp-strip-debug-symbols, brp-strip-unneeded un ca-legacy. Noņemti SPEC faili Dotnet un aspnetcore pakotnēm, kuras tagad apkopo galvenā .NET izstrādes komanda un ievieto atsevišķā repozitorijā.
- Ievainojamības labojumi ir pārvietoti uz izmantotajām pakotnes versijām.
Atgādināsim, ka CBL-Mariner izplatīšana nodrošina nelielu standarta pamata pakotņu komplektu, kas kalpo kā universāls pamats konteineru satura, resursdatoru vides un pakalpojumu izveidei, kas darbojas mākoņa infrastruktūrās un malas ierīcēs. Sarežģītākus un specializētākus risinājumus var izveidot, pievienojot papildu pakotnes CBL-Mariner, taču visu šādu sistēmu pamats paliek nemainīgs, atvieglojot apkopi un atjaunināšanu. Piemēram, CBL-Mariner tiek izmantots kā WSLg mini izplatīšanas pamats, kas nodrošina grafikas steka komponentus Linux GUI lietojumprogrammu palaišanai vidēs, kuru pamatā ir WSL2 (Windows apakšsistēma Linux) apakšsistēma. Paplašināta WSLg funkcionalitāte tiek realizēta, iekļaujot papildu pakotnes ar Weston Composite Server, XWayland, PulseAudio un FreeRDP.
CBL-Mariner veidošanas sistēma ļauj ģenerēt gan atsevišķas RPM pakotnes, kuru pamatā ir SPEC faili un avota kods, gan monolītus sistēmas attēlus, kas ģenerēti, izmantojot rpm-ostree rīku komplektu un atjaunināti atomiski, nesadalot tos atsevišķās pakotnēs. Attiecīgi tiek atbalstīti divi atjauninājumu piegādes modeļi: atjauninot atsevišķas pakotnes un pārbūvējot un atjauninot visu sistēmas attēlu. Ir pieejama aptuveni 3000 iepriekš izveidotu RPM pakotņu krātuve, ko varat izmantot, lai izveidotu savus attēlus, pamatojoties uz konfigurācijas failu.
Izplatījumā ir iekļautas tikai nepieciešamākās sastāvdaļas un tas ir optimizēts minimālam atmiņas un diska vietas patēriņam, kā arī lielam ielādes ātrumam. Izplatīšana ir ievērojama arī ar dažādu papildu mehānismu iekļaušanu drošības uzlabošanai. Projekts izmanto “maksimālās drošības pēc noklusējuma” pieeju. Ir iespējams filtrēt sistēmas zvanus, izmantojot seccomp mehānismu, šifrēt diska nodalījumus un pārbaudīt pakotnes, izmantojot ciparparakstu.
Tiek aktivizēti Linux kodolā atbalstītie adrešu telpas randomizācijas režīmi, kā arī aizsardzības mehānismi pret simbolisko saišu uzbrukumiem, mmap, /dev/mem un /dev/kmem. Atmiņas apgabali, kas satur segmentus ar kodola un moduļa datiem, ir iestatīti tikai lasīšanas režīmā, un koda izpilde ir aizliegta. Neobligāta iespēja ir atspējot kodola moduļu ielādi pēc sistēmas inicializācijas. Tīkla pakešu filtrēšanai tiek izmantots iptables rīku komplekts. Būvēšanas stadijā aizsardzība pret steka pārpildīšanu, bufera pārpildīšanu un virknes formatēšanas problēmām ir iespējota pēc noklusējuma (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Sistēmas pārvaldnieks systemd tiek izmantots pakalpojumu pārvaldībai un sāknēšanai. Pakešu pārvaldībai tiek nodrošināti pakotņu pārvaldnieki RPM un DNF (tdnf variants no vmWare). SSH serveris pēc noklusējuma nav iespējots. Lai instalētu izplatīšanu, tiek nodrošināts instalētājs, kas var darboties gan teksta, gan grafiskā režīmā. Instalēšanas programma nodrošina iespēju instalēt ar pilnu vai pamata pakotņu komplektu, kā arī piedāvā interfeisu diska nodalījuma atlasei, resursdatora nosaukuma atlasei un lietotāju izveidošanai.
Avots: opennet.ru