Microsoft har publisert en oppdatering til CBL-Mariner-distribusjonen 1.0.20210901 (Common Base Linux Mariner), som utvikles som en universell basisplattform for Linux-miljøer som brukes i skyinfrastruktur, edge-systemer og ulike Microsoft-tjenester. Prosjektet er rettet mot å forene Microsoft Linux-løsninger og forenkle vedlikeholdet av Linux-systemer for ulike formål oppdatert. Prosjektets utvikling er distribuert under MIT-lisensen.
I den nye utgivelsen:
- Dannelsen av det grunnleggende iso-bildet (700 MB) har begynt. I den første utgivelsen ble det ikke levert ferdige ISO-bilder; det ble antatt at brukeren kunne lage et bilde med nødvendig fylling (monteringsinstruksjoner ble utarbeidet for Ubuntu 18.04).
- Støtte for automatiske pakkeoppdateringer er implementert, hvor Dnf-Automatic-applikasjonen er inkludert.
- Linux-kjernen har blitt oppdatert til versjon 5.10.60.1. Oppdaterte programversjoner, inkludert openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, 4.4. squashfs-tools 8.0.26, mysql XNUMX.
- OpenSSL gir muligheten til å returnere støtte for TLS 1 og TLS 1.1.
- For å sjekke kildekoden til verktøysettet, brukes sha256sum-verktøyet.
- Nye pakker inkludert: etcd-verktøy, cockpit, aide, fipscheck, tini.
- brp-strip-debug-symbolene, brp-strip-uneeded og ca-legacy-pakkene er fjernet. Fjernet SPEC-filer for Dotnet- og aspnetcore-pakker, som nå er kompilert av kjernen .NET-utviklingsteamet og plassert i et eget depot.
- Sårbarhetsrettinger er flyttet til pakkeversjonene som ble brukt.
La oss huske at CBL-Mariner-distribusjonen gir et lite standardsett med grunnleggende pakker som fungerer som et universelt grunnlag for å lage innholdet i containere, vertsmiljøer og tjenester som kjører i skyinfrastrukturer og på kantenheter. Mer komplekse og spesialiserte løsninger kan lages ved å legge til tilleggspakker på toppen av CBL-Mariner, men grunnlaget for alle slike systemer forblir det samme, noe som gjør vedlikehold og oppdateringer enklere. For eksempel brukes CBL-Mariner som grunnlag for WSLg-minidistribusjonen, som gir grafikkstabelkomponenter for å kjøre Linux GUI-applikasjoner i miljøer basert på WSL2 (Windows Subsystem for Linux) subsystem. Utvidet funksjonalitet i WSLg realiseres gjennom inkludering av tilleggspakker med Weston Composite Server, XWayland, PulseAudio og FreeRDP.
CBL-Mariner-byggesystemet lar deg generere både individuelle RPM-pakker basert på SPEC-filer og kildekode, samt monolittiske systembilder generert ved hjelp av rpm-ostree-verktøysettet og oppdatert atomært uten å splittes i separate pakker. Følgelig støttes to oppdateringsleveringsmodeller: gjennom oppdatering av individuelle pakker og gjennom ombygging og oppdatering av hele systembildet. Et depot med omtrent 3000 forhåndsbygde RPM-pakker er tilgjengelig som du kan bruke til å bygge dine egne bilder basert på en konfigurasjonsfil.
Distribusjonen inkluderer kun de mest nødvendige komponentene og er optimalisert for minimalt minne- og diskplassforbruk, samt høy lastehastighet. Distribusjonen er også kjent for inkluderingen av forskjellige tilleggsmekanismer for å forbedre sikkerheten. Prosjektet tar en "maksimal sikkerhet som standard"-tilnærming. Det er mulig å filtrere systemanrop ved å bruke seccomp-mekanismen, kryptere diskpartisjoner og verifisere pakker ved hjelp av en digital signatur.
Randomiseringsmoduser for adresserom som støttes i Linux-kjernen er aktivert, samt beskyttelsesmekanismer mot symlink-angrep, mmap, /dev/mem og /dev/kmem. Minneområdene som inneholder segmenter med kjerne- og moduldata er satt til skrivebeskyttet modus og kjøring av kode er forbudt. Et valgfritt alternativ er å deaktivere innlasting av kjernemoduler etter systeminitiering. iptables-verktøysettet brukes til å filtrere nettverkspakker. På byggestadiet er beskyttelse mot stackoverflyt, bufferoverflyt og strengformateringsproblemer aktivert som standard (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Systemadministratoren systemd brukes til å administrere tjenester og starte opp. For pakkehåndtering tilbys pakkebehandlere RPM og DNF (tdnf-variant fra vmWare). SSH-serveren er ikke aktivert som standard. For å installere distribusjonen leveres et installasjonsprogram som kan fungere i både tekst- og grafisk modus. Installasjonsprogrammet gir muligheten til å installere med et fullstendig eller grunnleggende sett med pakker, og tilbyr et grensesnitt for å velge en diskpartisjon, velge et vertsnavn og opprette brukere.
Kilde: opennet.ru