Microsoft a publicat o actualizare a distribuției CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), care este dezvoltată ca o platformă de bază universală pentru mediile Linux utilizate în infrastructura cloud, sisteme edge și diverse servicii Microsoft. Proiectul are ca scop unificarea soluțiilor Microsoft Linux și simplificarea întreținerii sistemelor Linux pentru diverse scopuri la zi. Dezvoltarile proiectului sunt distribuite sub licenta MIT.
În noua versiune:
- Formarea imaginii izo de bază (700 MB) a început. În prima versiune, nu au fost furnizate imagini ISO gata făcute; sa presupus că utilizatorul ar putea crea o imagine cu umplerea necesară (instrucțiunile de asamblare au fost pregătite pentru Ubuntu 18.04).
- A fost implementat suport pentru actualizările automate de pachete, pentru care este inclusă aplicația Dnf-Automatic.
- Nucleul Linux a fost actualizat la versiunea 5.10.60.1. Versiuni actualizate ale programului, inclusiv openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2, squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL oferă opțiunea de a returna suport pentru TLS 1 și TLS 1.1.
- Pentru a verifica codul sursă al setului de instrumente, se folosește utilitarul sha256sum.
- Pachete noi incluse: etcd-tools, cockpit, aide, fipscheck, tini.
- Pachetele brp-strip-debug-symbols, brp-strip-unneeded și ca-legacy au fost eliminate. S-au eliminat fișierele SPEC pentru pachetele Dotnet și aspnetcore, care sunt acum compilate de echipa de dezvoltare .NET de bază și plasate într-un depozit separat.
- Remedierile de vulnerabilitate au fost mutate în versiunile de pachet utilizate.
Să reamintim că distribuția CBL-Mariner oferă un mic set standard de pachete de bază care servesc drept bază universală pentru crearea conținutului containerelor, mediilor gazdă și serviciilor care rulează în infrastructurile cloud și pe dispozitive edge. Soluții mai complexe și specializate pot fi create prin adăugarea de pachete suplimentare pe lângă CBL-Mariner, dar baza pentru toate astfel de sisteme rămâne aceeași, facilitând întreținerea și actualizările. De exemplu, CBL-Mariner este folosit ca bază pentru mini-distribuția WSLg, care oferă componente grafice pentru rularea aplicațiilor GUI Linux în medii bazate pe subsistemul WSL2 (Windows Subsystem for Linux). Funcționalitatea extinsă în WSLg este realizată prin includerea de pachete suplimentare cu Weston Composite Server, XWayland, PulseAudio și FreeRDP.
Sistemul de compilare CBL-Mariner vă permite să generați atât pachete RPM individuale bazate pe fișiere SPEC și cod sursă, cât și imagini de sistem monolitice generate folosind setul de instrumente rpm-ostree și actualizate atomic, fără a fi împărțite în pachete separate. În consecință, sunt acceptate două modele de livrare a actualizărilor: prin actualizarea pachetelor individuale și prin reconstruirea și actualizarea întregii imagini a sistemului. Este disponibil un depozit de aproximativ 3000 de pachete RPM prefabricate pe care le puteți folosi pentru a vă construi propriile imagini pe baza unui fișier de configurare.
Distribuția include doar cele mai necesare componente și este optimizată pentru un consum minim de memorie și spațiu pe disc, precum și pentru o viteză mare de încărcare. Distribuția se remarcă și prin includerea diferitelor mecanisme suplimentare pentru a spori securitatea. Proiectul adoptă o abordare de „securitate maximă implicită”. Este posibil să filtrați apelurile de sistem folosind mecanismul seccomp, să criptați partițiile de disc și să verificați pachetele folosind o semnătură digitală.
Sunt activate modurile de randomizare a spațiului de adrese acceptate în nucleul Linux, precum și mecanismele de protecție împotriva atacurilor prin linkuri simbolice, mmap, /dev/mem și /dev/kmem. Zonele de memorie care conțin segmente cu date de nucleu și modul sunt setate în modul numai citire și execuția codului este interzisă. O opțiune opțională este de a dezactiva încărcarea modulelor kernel după inițializarea sistemului. Setul de instrumente iptables este folosit pentru a filtra pachetele de rețea. În etapa de construire, protecția împotriva depășirilor de stive, depășirilor de buffer și a problemelor de formatare a șirurilor este activată în mod implicit (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Managerul de sistem systemd este utilizat pentru a gestiona serviciile și pentru a porni. Pentru gestionarea pachetelor, sunt furnizați manageri de pachete RPM și DNF (varianta tdnf de la vmWare). Serverul SSH nu este activat implicit. Pentru a instala distribuția, este furnizat un program de instalare care poate funcționa atât în mod text, cât și în mod grafic. Programul de instalare oferă opțiunea de instalare cu un set complet sau de bază de pachete și oferă o interfață pentru selectarea unei partiții de disc, selectarea unui nume de gazdă și crearea de utilizatori.
Sursa: opennet.ru