Microsoft ka publikuar një përditësim të shpërndarjes CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), e cila po zhvillohet si një platformë bazë universale për mjediset Linux të përdorura në infrastrukturën cloud, sistemet e skajeve dhe shërbime të ndryshme të Microsoft. Projekti ka për qëllim unifikimin e zgjidhjeve Linux të përdorura në Microsoft dhe thjeshtimin e mirëmbajtjes së sistemeve Linux për qëllime të ndryshme të përditësuara. Zhvillimet e projektit shpërndahen nën licencën MIT.
Në publikimin e ri:
- Ka filluar formimi i imazhit bazë iso (700 MB). Në lëshimin e parë, imazhet e gatshme ISO nuk u dhanë; supozohej se përdoruesi mund të krijonte një imazh me mbushjen e nevojshme (udhëzimet e montimit u përgatitën për Ubuntu 18.04).
- Është zbatuar mbështetje për përditësimet automatike të paketave, për të cilat është përfshirë aplikacioni Dnf-Automatic.
- Kerneli Linux është përditësuar në versionin 5.10.60.1. Versionet e përditësuara të programit, duke përfshirë openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig4.0.2, swig . squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL ofron opsionin për të kthyer mbështetjen për TLS 1 dhe TLS 1.1.
- Për të kontrolluar kodin burimor të paketës së veglave, përdoret mjeti sha256sum.
- Paketat e reja përfshinin: etcd-tools, cockpit, aide, fipscheck, tini.
- Paketat brp-strip-debug-simbols, brp-strip-unneeded dhe ca-legacy janë hequr. U hoqën skedarët SPEC për paketat Dotnet dhe aspnetcore, të cilat tani janë përpiluar nga ekipi kryesor i zhvillimit të .NET dhe janë vendosur në një depo të veçantë.
- Rregullimet e dobësive janë zhvendosur në versionet e paketës së përdorur.
Le të kujtojmë se shpërndarja CBL-Mariner ofron një grup të vogël standard paketash bazë që shërbejnë si një bazë universale për krijimin e përmbajtjes së kontejnerëve, mjediseve pritës dhe shërbimeve që funksionojnë në infrastrukturat cloud dhe në pajisjet e skajshme. Zgjidhje më komplekse dhe të specializuara mund të krijohen duke shtuar paketa shtesë në krye të CBL-Mariner, por baza për të gjitha sistemet e tilla mbetet e njëjtë, duke e bërë mirëmbajtjen dhe përditësimet më të lehta. Për shembull, CBL-Mariner përdoret si bazë për mini-shpërndarjen WSLg, e cila ofron komponentë grafikë për ekzekutimin e aplikacioneve Linux GUI në mjedise të bazuara në nënsistemin WSL2 (Windows Subsystem for Linux). Funksionaliteti i zgjeruar në WSLg realizohet përmes përfshirjes së paketave shtesë me Weston Composite Server, XWayland, PulseAudio dhe FreeRDP.
Sistemi i ndërtimit CBL-Mariner ju lejon të gjeneroni të dyja paketat individuale RPM bazuar në skedarët SPEC dhe kodin burimor, si dhe imazhet monolit të sistemit të krijuara duke përdorur paketën e veglave rpm-ostree dhe të përditësuara në mënyrë atomike pa u ndarë në paketa të veçanta. Prandaj, mbështeten dy modele të shpërndarjes së përditësimeve: nëpërmjet përditësimit të paketave individuale dhe nëpërmjet rindërtimit dhe përditësimit të të gjithë imazhit të sistemit. Një depo prej rreth 3000 paketash RPM të para-ndërtuara është në dispozicion që mund t'i përdorni për të ndërtuar imazhet tuaja bazuar në një skedar konfigurimi.
Shpërndarja përfshin vetëm komponentët më të nevojshëm dhe është optimizuar për konsum minimal të memories dhe hapësirës në disk, si dhe shpejtësi të lartë ngarkimi. Shpërndarja është gjithashtu e dukshme për përfshirjen e mekanizmave të ndryshëm shtesë për të rritur sigurinë. Projekti merr një qasje "sigurie maksimale si parazgjedhje". Është e mundur të filtroni thirrjet e sistemit duke përdorur mekanizmin seccomp, të kriptoni ndarjet e diskut dhe të verifikoni paketat duke përdorur një nënshkrim dixhital.
Aktivizohen mënyrat e rastësishme të hapësirës së adresave të mbështetura në kernelin Linux, si dhe mekanizmat e mbrojtjes kundër sulmeve të lidhjeve simbolike, mmap, /dev/mem dhe /dev/kmem. Zonat e memories që përmbajnë segmente me të dhëna të kernelit dhe modulit janë vendosur në modalitetin vetëm për lexim dhe ekzekutimi i kodit është i ndaluar. Një opsion opsional është të çaktivizoni ngarkimin e moduleve të kernelit pas inicializimit të sistemit. Paketa e veglave iptables përdoret për të filtruar paketat e rrjetit. Në fazën e ndërtimit, mbrojtja kundër tejmbushjeve të stivës, tejmbushjeve të buferit dhe problemeve të formatimit të vargjeve është aktivizuar si parazgjedhje (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Menaxheri i sistemit systemd përdoret për të menaxhuar shërbimet dhe për të nisur. Për menaxhimin e paketave, ofrohen menaxherët e paketave RPM dhe DNF (varianti tdnf nga vmWare). Serveri SSH nuk është i aktivizuar si parazgjedhje. Për të instaluar shpërndarjen, sigurohet një instalues që mund të funksionojë si në modalitet teksti ashtu edhe në atë grafik. Instaluesi ofron opsionin e instalimit me një grup të plotë ose bazë paketash dhe ofron një ndërfaqe për zgjedhjen e një ndarje të diskut, zgjedhjen e emrit të hostit dhe krijimin e përdoruesve.
Burimi: opennet.ru