Microsoft har släppt en uppdatering till sin Azure-distribution. Linux 3.0.20241203. Distributionen utvecklas som en universell basplattform för Linux- miljöer som används i molninfrastruktur, edge-system och olika Microsoft-tjänster. Projektets egenutvecklade utvecklingar distribueras under MIT-licensen. Paketversioner genereras för arkitekturerna aarch64 och x86_64. Installationsavbildningens storlek är 750 MB.
Bland ändringarna i den nya versionen:
- Iptables-paketfiltret har bytts till bearbetningskommandon genom att översätta regler till nftables-bytekod (som standard används paketet iptables-nft istället för iptables-legacy).
- För Aarch64-system föreslås ett ytterligare paket med kärnan kernel-64k, som använder stora minnessidor på 64 KB i storlek (kärnan är kompilerad med alternativet CONFIG_ARM64_64K_PAGES).
- Pakethanteraren tdnf (analog av dnf baserat på C libs) har lagt till stöd för inställningen "installonlypkgs", som används för att organisera installationen av kärnan-64k-kärnan.
- När du använder systemd-networkd är bearbetning av livenet rootfs från Dracut aktiverad.
- Tillagd drivrutin för nätverksadaptrar för Intel Ethernet Connection E800.
- Lua-språkstöd har lagts till i loggprocessorn för flytande bitar.
- Aktiverade verifiering av den digitala signaturen för kärnor som laddas via kexec-mekanismen.
- För att upptäcka containerbyggen används verktyget systemd-detect-virt istället för att kontrollera filen "/.dockerenv".
- Uppdaterade versioner av paket, inklusive kärnan Linux 6.6.57, shim 15.8, SymCrypt 103.6.0, Valkey (Redis-fork) 8.0.1, Go 1.23.3, MariaDB 10.11.10, PostgreSQL 16.5.
Azure-distribution Linux Tillhandahåller en liten standarduppsättning kärnpaket som fungerar som en universell grund för att bygga containerramverk, värdmiljöer och tjänster som körs på molninfrastrukturer och edge-enheter. Mer komplexa och specialiserade lösningar kan skapas genom att lägga till ytterligare paket ovanpå Azure. Linux, men grunden för alla sådana system förblir oförändrad, vilket förenklar underhåll och förberedelse av uppdateringar.
Azure Linux Den används som bas för WSLg-minidistributionen, som tillhandahåller grafikstackkomponenter för att köra GUI-applikationer. Linux i miljöer baserade på WSL2-undersystemet (Windows Delsystem för LinuxUtökad funktionalitet i WSLg implementeras genom att ytterligare paket med kompositmaterial inkluderas. server Weston, XWayland, PulseAudio och FreeRDP.
Systemhanteraren systemd används för att hantera tjänster och starta upp. RPM- och DNF-pakethanterare tillhandahålls för pakethantering. SSH-servern är inte aktiverad som standard. För att installera distributionen tillhandahålls ett installationsprogram som kan fungera i både text- och grafiskt läge. Installationsprogrammet ger möjlighet att installera med en fullständig eller grundläggande uppsättning paket, och erbjuder ett gränssnitt för att välja en diskpartition, välja ett värdnamn och skapa användare.
Azure Build-system Linux Låter dig generera både individuella RPM-paket baserade på SPEC-filer och källkod, såväl som monolitiska systemavbildningar byggda med rpm-ostree-verktygslådan och uppdaterade atomiskt utan att dela upp dem i individuella paket. Följaktligen stöds två uppdateringsleveransmodeller: uppdatering av individuella paket och ombyggnad och uppdatering av hela systemavbildningen. Ett arkiv som innehåller cirka 3 000 förbyggda RPM-paket är tillgängligt, vilket kan användas för att bygga anpassade avbildningar baserade på en konfigurationsfil.
Basplattformen innehåller endast de väsentliga komponenterna och är optimerad för minimal minnes- och diskutrymmesförbrukning, samt höga laddningshastigheter. Projektet använder ett tillvägagångssätt med "maximal säkerhet som standard", vilket inbegriper införandet av olika ytterligare mekanismer för att öka säkerheten:
- Filtrera systemanrop med hjälp av seccomp-mekanismen.
- Kryptering av diskpartitioner.
- Verifiering av paket med digital signatur.
- Randomisering av adressutrymme.
- Skydd mot symbollänksattacker, mmap, /dev/mem och /dev/kmem.
- Skrivskyddat läge och förbud mot exekvering av kod i minnesområden som innehåller segment med kärn- och moduldata.
- Möjlighet att inaktivera laddning av kärnmoduler efter systeminitiering.
- Använda iptables för att filtrera nätverkspaket.
- Aktivera skyddslägen mot stackspill, buffertspill och strängformateringsproblem under byggandet (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Källa: opennet.ru
