A Microsoft publicou uma atualização para a distribuição CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), que está sendo desenvolvida como uma plataforma base universal para ambientes Linux usados em infraestrutura em nuvem, sistemas de borda e diversos serviços Microsoft. O projeto visa unificar soluções Microsoft Linux e simplificar a manutenção de sistemas Linux para diversas finalidades atualizadas. Os desenvolvimentos do projeto são distribuídos sob licença do MIT.
Na nova versão:
- A formação da imagem iso básica (700 MB) já começou. Na primeira versão não foram fornecidas imagens ISO prontas, presumia-se que o usuário pudesse criar uma imagem com o preenchimento necessário (foram preparadas instruções de montagem para o Ubuntu 18.04).
- Foi implementado suporte para atualizações automáticas de pacotes, para as quais está incluída a aplicação Dnf-Automatic.
- O kernel Linux foi atualizado para a versão 5.10.60.1. Versões atualizadas do programa, incluindo openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL oferece a opção de retornar suporte para TLS 1 e TLS 1.1.
- Para verificar o código-fonte do kit de ferramentas, o utilitário sha256sum é usado.
- Novos pacotes incluídos: etcd-tools, cockpit, aide, fipscheck, tini.
- Os pacotes brp-strip-debug-symbols, brp-strip-unneeded e ca-legacy foram removidos. Arquivos SPEC removidos para pacotes Dotnet e aspnetcore, que agora são compilados pela equipe principal de desenvolvimento do .NET e colocados em um repositório separado.
- As correções de vulnerabilidade foram movidas para as versões do pacote usadas.
Lembremos que a distribuição CBL-Mariner fornece um pequeno conjunto padrão de pacotes básicos que servem como base universal para a criação de conteúdos de contêineres, ambientes host e serviços executados em infraestruturas de nuvem e em dispositivos de ponta. Soluções mais complexas e especializadas podem ser criadas adicionando pacotes adicionais ao CBL-Mariner, mas a base para todos esses sistemas permanece a mesma, facilitando a manutenção e as atualizações. Por exemplo, CBL-Mariner é usado como base para a minidistribuição WSLg, que fornece componentes de pilha gráfica para executar aplicativos Linux GUI em ambientes baseados no subsistema WSL2 (Windows Subsystem for Linux). A funcionalidade estendida no WSLg é obtida através da inclusão de pacotes adicionais com Weston Composite Server, XWayland, PulseAudio e FreeRDP.
O sistema de construção CBL-Mariner permite gerar pacotes RPM individuais baseados em arquivos SPEC e código-fonte, bem como imagens de sistema monolíticas geradas usando o kit de ferramentas rpm-ostree e atualizadas atomicamente sem dividir em pacotes separados. Conseqüentemente, dois modelos de entrega de atualização são suportados: através da atualização de pacotes individuais e através da reconstrução e atualização de toda a imagem do sistema. Está disponível um repositório de aproximadamente 3000 pacotes RPM pré-construídos que você pode usar para construir suas próprias imagens com base em um arquivo de configuração.
A distribuição inclui apenas os componentes mais necessários e é otimizada para consumo mínimo de memória e espaço em disco, além de alta velocidade de carregamento. A distribuição também se destaca pela inclusão de vários mecanismos adicionais para aumentar a segurança. O projeto adota uma abordagem de “segurança máxima por padrão”. É possível filtrar chamadas do sistema usando o mecanismo seccomp, criptografar partições de disco e verificar pacotes usando assinatura digital.
Os modos de randomização do espaço de endereço suportados no kernel Linux são ativados, bem como mecanismos de proteção contra ataques de links simbólicos, mmap, /dev/mem e /dev/kmem. As áreas de memória que contêm segmentos com dados do kernel e do módulo são configuradas para modo somente leitura e a execução de código é proibida. Uma opção opcional é desabilitar o carregamento de módulos do kernel após a inicialização do sistema. O kit de ferramentas iptables é usado para filtrar pacotes de rede. No estágio de construção, a proteção contra estouros de pilha, estouros de buffer e problemas de formatação de string é habilitada por padrão (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
O gerenciador de sistema systemd é usado para gerenciar serviços e inicialização. Para gerenciamento de pacotes, são fornecidos gerenciadores de pacotes RPM e DNF (variante tdnf do vmWare). O servidor SSH não está habilitado por padrão. Para instalar a distribuição, é fornecido um instalador que pode funcionar tanto em modo texto quanto gráfico. O instalador oferece a opção de instalação com um conjunto completo ou básico de pacotes e oferece uma interface para selecionar uma partição de disco, selecionar um nome de host e criar usuários.
Fonte: opennet.ru