Nag-publish ang Microsoft ng update sa CBL-Mariner distribution 1.0.20210901 (Common Base Linux Mariner), na binuo bilang isang unibersal na base platform para sa Linux environment na ginagamit sa cloud infrastructure, edge system at iba't ibang serbisyo ng Microsoft. Ang proyekto ay naglalayong pag-isahin ang mga solusyon sa Linux na ginagamit sa Microsoft at pasimplehin ang pagpapanatili ng mga sistema ng Linux para sa iba't ibang layunin hanggang sa kasalukuyan. Ang mga pagpapaunlad ng proyekto ay ipinamamahagi sa ilalim ng lisensya ng MIT.
Sa bagong release:
- Ang pagbuo ng pangunahing imahe ng iso (700 MB) ay nagsimula na. Sa unang paglabas, ang mga yari na ISO na imahe ay hindi ibinigay; ipinapalagay na ang gumagamit ay maaaring lumikha ng isang imahe na may kinakailangang pagpuno (ang mga tagubilin sa pagpupulong ay inihanda para sa Ubuntu 18.04).
- Naipatupad ang suporta para sa mga awtomatikong pag-update ng package, kung saan kasama ang Dnf-Automatic na application.
- Ang Linux kernel ay na-update sa bersyon 5.10.60.1. Mga na-update na bersyon ng programa, kabilang ang openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2. 4.4, squashfs-tools 8.0.26, mysql XNUMX.
- Nagbibigay ang OpenSSL ng opsyon na ibalik ang suporta para sa TLS 1 at TLS 1.1.
- Upang suriin ang source code ng toolkit, ginagamit ang sha256sum utility.
- Kasama ang mga bagong pakete: etcd-tools, cockpit, aide, fipscheck, tini.
- Ang mga brp-strip-debug-symbols, brp-strip-unneeded at ca-legacy na mga pakete ay inalis na. Inalis ang SPEC file para sa Dotnet at aspnetcore packages, na ngayon ay pinagsama-sama ng core .NET development team at inilagay sa isang hiwalay na repository.
- Ang mga pag-aayos ng kahinaan ay inilipat sa mga bersyon ng package na ginamit.
Alalahanin natin na ang pamamahagi ng CBL-Mariner ay nagbibigay ng maliit na karaniwang hanay ng mga pangunahing pakete na nagsisilbing unibersal na batayan para sa paglikha ng mga nilalaman ng mga lalagyan, host environment at mga serbisyong tumatakbo sa mga imprastraktura ng ulap at sa mga edge na device. Ang mga mas kumplikado at espesyal na solusyon ay maaaring gawin sa pamamagitan ng pagdaragdag ng mga karagdagang pakete sa itaas ng CBL-Mariner, ngunit ang batayan para sa lahat ng naturang sistema ay nananatiling pareho, na ginagawang mas madali ang pagpapanatili at pag-update. Halimbawa, ang CBL-Mariner ay ginagamit bilang batayan para sa WSLg mini-distribution, na nagbibigay ng mga graphics stack na bahagi para sa pagpapatakbo ng mga Linux GUI application sa mga kapaligiran batay sa WSL2 (Windows Subsystem for Linux) subsystem. Ang pinalawak na functionality sa WSLg ay naisasakatuparan sa pamamagitan ng pagsasama ng mga karagdagang pakete sa Weston Composite Server, XWayland, PulseAudio at FreeRDP.
Binibigyang-daan ka ng CBL-Mariner build system na bumuo ng parehong indibidwal na RPM packages batay sa mga SPEC file at source code, pati na rin ang mga monolithic system na imahe na nabuo gamit ang rpm-ostree toolkit at na-update nang atomically nang hindi nahahati sa magkahiwalay na mga pakete. Alinsunod dito, sinusuportahan ang dalawang modelo ng paghahatid ng update: sa pamamagitan ng pag-update ng mga indibidwal na pakete at sa pamamagitan ng muling pagtatayo at pag-update ng buong imahe ng system. Available ang repositoryo ng humigit-kumulang 3000 pre-built na RPM packages na magagamit mo para bumuo ng sarili mong mga larawan batay sa isang configuration file.
Ang pamamahagi ay kinabibilangan lamang ng mga pinaka-kinakailangang bahagi at na-optimize para sa minimal na memorya at pagkonsumo ng espasyo sa disk, pati na rin ang mataas na bilis ng paglo-load. Ang pamamahagi ay kapansin-pansin din para sa pagsasama ng iba't ibang mga karagdagang mekanismo upang mapahusay ang seguridad. Ang proyekto ay tumatagal ng isang "maximum na seguridad bilang default" na diskarte. Posibleng i-filter ang mga tawag sa system gamit ang mekanismo ng seccomp, i-encrypt ang mga partisyon ng disk, at i-verify ang mga pakete gamit ang isang digital na lagda.
Ang mga mode ng randomization ng address space na sinusuportahan sa kernel ng Linux ay isinaaktibo, pati na rin ang mga mekanismo ng proteksyon laban sa mga pag-atake ng symlink, mmap, /dev/mem at /dev/kmem. Ang mga lugar ng memorya na naglalaman ng mga segment na may data ng kernel at module ay nakatakda sa read-only na mode at ipinagbabawal ang pagpapatupad ng code. Ang isang opsyonal na opsyon ay ang huwag paganahin ang paglo-load ng mga kernel module pagkatapos ng pagsisimula ng system. Ang iptables toolkit ay ginagamit upang i-filter ang mga network packet. Sa yugto ng pagbuo, ang proteksyon laban sa mga stack overflow, buffer overflow, at mga problema sa pag-format ng string ay pinagana bilang default (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Ang system manager systemd ay ginagamit upang pamahalaan ang mga serbisyo at boot. Para sa pamamahala ng package, ibinibigay ang mga manager ng package na RPM at DNF (tdnf variant mula sa vmWare). Ang SSH server ay hindi pinagana bilang default. Upang i-install ang pamamahagi, isang installer ang ibinigay na maaaring gumana sa parehong text at graphical na mga mode. Ang installer ay nagbibigay ng opsyon sa pag-install na may buo o pangunahing hanay ng mga pakete, at nag-aalok ng interface para sa pagpili ng disk partition, pagpili ng host name, at paglikha ng mga user.
Pinagmulan: opennet.ru