Firma Microsoft opublikowała aktualizację do dystrybucji CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), która jest rozwijana jako uniwersalna platforma bazowa dla środowisk Linux wykorzystywanych w infrastrukturze chmurowej, systemach brzegowych i różnych usługach Microsoft. Projekt ma na celu ujednolicenie rozwiązań Microsoft Linux i uproszczenie utrzymania systemów Linux do różnych celów na bieżąco. Opracowania projektu są rozpowszechniane na licencji MIT.
W nowym wydaniu:
- Rozpoczęło się tworzenie podstawowego obrazu ISO (700 MB). W pierwszym wydaniu nie udostępniano gotowych obrazów ISO, założono, że użytkownik może stworzyć obraz z niezbędnym wypełnieniem (instrukcja montażu została przygotowana dla Ubuntu 18.04).
- Zaimplementowano obsługę automatycznych aktualizacji pakietów, do czego dołączona jest aplikacja Dnf-Automatic.
- Jądro Linuksa zostało zaktualizowane do wersji 5.10.60.1. Zaktualizowane wersje programów, w tym openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, zeznaj 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, narzędzia do squashfs 4.4, mysql 8.0.26.
- OpenSSL zapewnia opcję przywrócenia obsługi TLS 1 i TLS 1.1.
- Aby sprawdzić kod źródłowy zestawu narzędzi, używane jest narzędzie sha256sum.
- Zawiera nowe pakiety: etcd-tools, kokpit, pomocnik, fipscheck, tini.
- Pakiety brp-strip-debug-symbols, brp-strip-unneeded i ca-legacy zostały usunięte. Usunięto pliki SPEC dla pakietów Dotnet i aspnetcore, które są teraz kompilowane przez główny zespół programistów .NET i umieszczane w oddzielnym repozytorium.
- Poprawki luk w zabezpieczeniach zostały przeniesione do używanych wersji pakietów.
Przypomnijmy, że dystrybucja CBL-Mariner udostępnia niewielki standardowy zestaw podstawowych pakietów, które stanowią uniwersalną podstawę do tworzenia zawartości kontenerów, środowisk hostowych i usług działających w infrastrukturze chmurowej i na urządzeniach brzegowych. Bardziej złożone i wyspecjalizowane rozwiązania można tworzyć, dodając dodatkowe pakiety do CBL-Mariner, ale podstawa wszystkich takich systemów pozostaje taka sama, co ułatwia konserwację i aktualizacje. Na przykład CBL-Mariner jest podstawą minidystrybucji WSLg, która dostarcza komponenty stosu graficznego do uruchamiania aplikacji Linux GUI w środowiskach opartych na podsystemie WSL2 (Windows Subsystem for Linux). Rozszerzona funkcjonalność WSLg jest realizowana poprzez włączenie dodatkowych pakietów z Weston Composite Server, XWayland, PulseAudio i FreeRDP.
System kompilacji CBL-Mariner umożliwia generowanie zarówno pojedynczych pakietów RPM w oparciu o pliki SPEC i kod źródłowy, jak i monolityczne obrazy systemu wygenerowane przy użyciu zestawu narzędzi RPM-ostree i aktualizowane atomowo bez dzielenia na osobne pakiety. W związku z tym obsługiwane są dwa modele dostarczania aktualizacji: poprzez aktualizację poszczególnych pakietów oraz poprzez przebudowę i aktualizację całego obrazu systemu. Dostępne jest repozytorium zawierające około 3000 gotowych pakietów RPM, których można używać do tworzenia własnych obrazów w oparciu o plik konfiguracyjny.
Dystrybucja zawiera tylko najbardziej niezbędne komponenty i jest zoptymalizowana pod kątem minimalnego zużycia pamięci i miejsca na dysku, a także dużej prędkości ładowania. Dystrybucja wyróżnia się także włączeniem różnych dodatkowych mechanizmów zwiększających bezpieczeństwo. W projekcie przyjęto podejście „domyślnie maksymalne bezpieczeństwo”. Możliwe jest filtrowanie wywołań systemowych za pomocą mechanizmu seccomp, szyfrowanie partycji dyskowych oraz weryfikacja pakietów za pomocą podpisu cyfrowego.
Aktywowane są tryby randomizacji przestrzeni adresowej obsługiwane w jądrze Linuksa, a także mechanizmy ochrony przed atakami na dowiązania symboliczne, mmap, /dev/mem i /dev/kmem. Obszary pamięci zawierające segmenty z danymi jądra i modułu są ustawione w tryb tylko do odczytu i wykonanie kodu jest zabronione. Opcjonalną opcją jest wyłączenie ładowania modułów jądra po inicjalizacji systemu. Zestaw narzędzi iptables służy do filtrowania pakietów sieciowych. Na etapie kompilacji domyślnie włączona jest ochrona przed przepełnieniem stosu, przepełnieniem bufora i problemami z formatowaniem ciągów (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Menedżer systemu systemd służy do zarządzania usługami i uruchamianiem systemu. Do zarządzania pakietami służą menedżery pakietów RPM i DNF (wariant tdnf z vmWare). Serwer SSH nie jest domyślnie włączony. Aby zainstalować dystrybucję, dostępny jest instalator, który może pracować zarówno w trybie tekstowym, jak i graficznym. Instalator umożliwia instalację z pełnym lub podstawowym zestawem pakietów oraz oferuje interfejs umożliwiający wybór partycji dysku, nazwę hosta i tworzenie użytkowników.
Źródło: opennet.ru