Microsoft heeft een update gepubliceerd van de CBL-Mariner-distributie 1.0.20210901 (Common Base Linux Mariner), die wordt ontwikkeld als universeel basisplatform voor Linux-omgevingen die worden gebruikt in cloudinfrastructuur, edge-systemen en diverse Microsoft-services. Het project is gericht op het verenigen van de Linux-oplossingen die bij Microsoft worden gebruikt en het vereenvoudigen van het up-to-date houden van Linux-systemen voor verschillende doeleinden. De ontwikkelingen van het project worden gedistribueerd onder de MIT-licentie.
In de nieuwe uitgave:
- De vorming van het basis ISO-beeld (700 MB) is begonnen. In de eerste release werden geen kant-en-klare ISO-images geleverd; er werd aangenomen dat de gebruiker een image met de nodige vulling kon maken (er werden montage-instructies opgesteld voor Ubuntu 18.04).
- Er is ondersteuning voor automatische pakketupdates geïmplementeerd, waarvoor de applicatie Dnf-Automatic is inbegrepen.
- De Linux-kernel is bijgewerkt naar versie 5.10.60.1. Bijgewerkte programmaversies, waaronder openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, getuigen 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL biedt de mogelijkheid om ondersteuning voor TLS 1 en TLS 1.1 te retourneren.
- Om de broncode van de toolkit te controleren, wordt het hulpprogramma sha256sum gebruikt.
- Nieuwe pakketten inbegrepen: etcd-tools, cockpit, assistent, fipscheck, tini.
- De pakketten brp-strip-debug-symbols, brp-strip-unneeded en ca-legacy zijn verwijderd. SPEC-bestanden verwijderd voor Dotnet- en aspnetcore-pakketten, die nu zijn samengesteld door het kernteam van .NET-ontwikkeling en in een aparte repository zijn geplaatst.
- Oplossingen voor kwetsbaarheden zijn verplaatst naar de gebruikte pakketversies.
Laten we niet vergeten dat de CBL-Mariner-distributie een kleine standaardset basispakketten biedt die dienen als een universele basis voor het creëren van de inhoud van containers, hostomgevingen en services die draaien in cloudinfrastructuren en op edge-apparaten. Complexere en gespecialiseerde oplossingen kunnen worden gecreëerd door extra pakketten toe te voegen bovenop CBL-Mariner, maar de basis voor al dergelijke systemen blijft hetzelfde, waardoor onderhoud en updates eenvoudiger worden. CBL-Mariner wordt bijvoorbeeld gebruikt als basis voor de WSLg-minidistributie, die grafische stapelcomponenten biedt voor het uitvoeren van Linux GUI-applicaties in omgevingen die zijn gebaseerd op het WSL2-subsysteem (Windows Subsystem for Linux). Uitgebreide functionaliteit in WSLg wordt gerealiseerd door de toevoeging van aanvullende pakketten met Weston Composite Server, XWayland, PulseAudio en FreeRDP.
Met het CBL-Mariner-bouwsysteem kunt u zowel individuele RPM-pakketten genereren op basis van SPEC-bestanden en broncode, als monolithische systeemimages die zijn gegenereerd met behulp van de rpm-ostree-toolkit en atomair worden bijgewerkt zonder deze in afzonderlijke pakketten op te splitsen. Dienovereenkomstig worden twee modellen voor het leveren van updates ondersteund: door het bijwerken van individuele pakketten en door het opnieuw opbouwen en bijwerken van het volledige systeemimage. Er is een repository van ongeveer 3000 vooraf gebouwde RPM-pakketten beschikbaar die u kunt gebruiken om uw eigen images te bouwen op basis van een configuratiebestand.
De distributie bevat alleen de meest noodzakelijke componenten en is geoptimaliseerd voor minimaal geheugen- en schijfruimteverbruik, evenals een hoge laadsnelheid. De distributie valt ook op door de toevoeging van verschillende aanvullende mechanismen om de veiligheid te verbeteren. Het project hanteert een ‘maximale beveiliging standaard’-benadering. Het is mogelijk om systeemaanroepen te filteren met behulp van het seccomp-mechanisme, schijfpartities te coderen en pakketten te verifiëren met behulp van een digitale handtekening.
Randomisatiemodi voor adresruimten die in de Linux-kernel worden ondersteund, zijn geactiveerd, evenals beschermingsmechanismen tegen symlink-aanvallen, mmap, /dev/mem en /dev/kmem. De geheugengebieden die segmenten met kernel- en modulegegevens bevatten, zijn ingesteld op alleen-lezen-modus en het uitvoeren van code is verboden. Een optionele optie is het uitschakelen van het laden van kernelmodules na systeeminitialisatie. De iptables toolkit wordt gebruikt om netwerkpakketten te filteren. In de bouwfase is de bescherming tegen stackoverflows, bufferoverflows en problemen met de opmaak van tekenreeksen standaard ingeschakeld (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
De systeembeheerder systemd wordt gebruikt om services te beheren en op te starten. Voor pakketbeheer zijn pakketbeheerders RPM en DNF (tdnf-variant van vmWare) beschikbaar. De SSH-server is standaard niet ingeschakeld. Om de distributie te installeren, wordt een installatieprogramma meegeleverd dat zowel in tekst- als grafische modus kan werken. Het installatieprogramma biedt de mogelijkheid om te installeren met een volledige of basisset pakketten, en biedt een interface voor het selecteren van een schijfpartitie, het selecteren van een hostnaam en het aanmaken van gebruikers.
Bron: opennet.ru