Microsoft je objavil posodobitev distribucije CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), ki se razvija kot univerzalna osnovna platforma za okolja Linux, ki se uporabljajo v infrastrukturi oblaka, robnih sistemih in različnih Microsoftovih storitvah. Projekt je namenjen poenotenju Linux rešitev, ki jih uporablja Microsoft, in poenostavitvi vzdrževanja Linux sistemov za različne namene do danes. Razvoj projekta se distribuira pod licenco MIT.
V novi izdaji:
- Začelo se je oblikovanje osnovne iso slike (700 MB). V prvi izdaji že pripravljene slike ISO niso bile na voljo, predvidevalo se je, da lahko uporabnik ustvari sliko s potrebnim polnjenjem (navodila za sestavljanje so bila pripravljena za Ubuntu 18.04).
- Implementirana je podpora za samodejno posodabljanje paketov, za kar je vključena aplikacija Dnf-Automatic.
- Jedro Linuxa je bilo posodobljeno na različico 5.10.60.1. Posodobljene različice programa, vključno z openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2. 4.4, squashfs-tools 8.0.26, mysql XNUMX.
- OpenSSL ponuja možnost vrnitve podpore za TLS 1 in TLS 1.1.
- Za preverjanje izvorne kode kompleta orodij se uporablja pripomoček sha256sum.
- Vključeni novi paketi: etcd-tools, cockpit, aide, fipscheck, tini.
- Paketi brp-strip-debug-symbols, brp-strip-unneeded in ca-legacy so bili odstranjeni. Odstranjene datoteke SPEC za pakete Dotnet in aspnetcore, ki jih je zdaj sestavila osrednja razvojna skupina .NET in jih dala v ločeno skladišče.
- Popravki ranljivosti so bili premaknjeni v uporabljene različice paketov.
Spomnimo se, da distribucija CBL-Mariner ponuja majhen standardni nabor osnovnih paketov, ki služijo kot univerzalna osnova za ustvarjanje vsebin vsebnikov, gostiteljskih okolij in storitev, ki se izvajajo v infrastrukturah oblaka in na robnih napravah. Bolj zapletene in specializirane rešitve je mogoče ustvariti z dodajanjem dodatnih paketov na vrh CBL-Mariner, vendar osnova za vse takšne sisteme ostaja enaka, kar olajša vzdrževanje in posodobitve. CBL-Mariner se na primer uporablja kot osnova za mini distribucijo WSLg, ki zagotavlja komponente grafičnih skladov za izvajanje aplikacij GUI Linux v okoljih, ki temeljijo na podsistemu WSL2 (Windows Subsystem for Linux). Razširjena funkcionalnost v WSLg je realizirana z vključitvijo dodatnih paketov z Weston Composite Server, XWayland, PulseAudio in FreeRDP.
Gradbeni sistem CBL-Mariner vam omogoča ustvarjanje tako posameznih paketov RPM, ki temeljijo na datotekah SPEC in izvorni kodi, kot tudi monolitnih sistemskih slik, ustvarjenih z uporabo kompleta orodij rpm-ostree in posodobljenih atomsko brez razdelitve v ločene pakete. V skladu s tem sta podprta dva modela dostave posodobitev: s posodabljanjem posameznih paketov ter z vnovično gradnjo in posodabljanjem celotne sistemske slike. Na voljo je repozitorij s približno 3000 vnaprej zgrajenimi paketi RPM, ki jih lahko uporabite za ustvarjanje lastnih slik na podlagi konfiguracijske datoteke.
Distribucija vključuje le najnujnejše komponente in je optimizirana za minimalno porabo pomnilnika in prostora na disku ter visoko hitrost nalaganja. Distribucijo odlikuje tudi vključitev različnih dodatnih mehanizmov za izboljšanje varnosti. Projekt uporablja pristop "največja privzeta varnost". Možno je filtriranje sistemskih klicev z mehanizmom seccomp, šifriranje diskovnih particij in preverjanje paketov z digitalnim podpisom.
Aktivirani so načini randomizacije naslovnega prostora, ki jih podpira jedro Linuxa, kot tudi zaščitni mehanizmi pred napadi simbolnih povezav, mmap, /dev/mem in /dev/kmem. Pomnilniška območja, ki vsebujejo segmente s podatki jedra in modula, so nastavljena na način samo za branje in izvajanje kode je prepovedano. Izbirna možnost je onemogočanje nalaganja modulov jedra po inicializaciji sistema. Zbirka orodij iptables se uporablja za filtriranje omrežnih paketov. V fazi gradnje je privzeto omogočena zaščita pred prelivi sklada, prelivi medpomnilnika in težavami s formatiranjem nizov (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Upravljalnik sistema systemd se uporablja za upravljanje storitev in zagon. Za upravljanje paketov sta na voljo upravljalnika paketov RPM in DNF (različica tdnf iz vmWare). Strežnik SSH privzeto ni omogočen. Za namestitev distribucije je na voljo namestitveni program, ki lahko deluje v besedilnem in grafičnem načinu. Namestitveni program nudi možnost namestitve s polnim ali osnovnim naborom paketov in ponuja vmesnik za izbiro diskovne particije, izbiro imena gostitelja in ustvarjanje uporabnikov.
Vir: opennet.ru