Microsoft, bulut altyapısı, uç sistemler ve çeşitli Microsoft hizmetlerinde kullanılan Linux ortamları için evrensel bir temel platform olarak geliştirilmekte olan CBL-Mariner dağıtımı 1.0.20210901 (Common Base Linux Mariner) için bir güncelleme yayınladı. Proje, Microsoft Linux çözümlerini birleştirmeyi ve çeşitli amaçlara yönelik Linux sistemlerinin güncel bakımını basitleştirmeyi amaçlıyor. Projenin geliştirmeleri MIT lisansı altında dağıtılmaktadır.
Yeni sürümde:
- Temel iso imajının (700 MB) oluşumuna başlandı. İlk sürümde hazır ISO görselleri sağlanmadı, kullanıcının gerekli dolguyla görsel oluşturabileceği varsayıldı (Ubuntu 18.04 için montaj talimatları hazırlandı).
- Dnf-Otomatik uygulamasının dahil olduğu otomatik paket güncellemeleri desteği uygulandı.
- Linux çekirdeği 5.10.60.1 sürümüne güncellendi. Openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, tanıklık 1.7.0, crunchy 0.4.0, xz 0.5.10, swig 4.0.2 dahil olmak üzere güncellenmiş program sürümleri, squashfs-tools 4.4, mysql 8.0.26.
- OpenSSL, TLS 1 ve TLS 1.1 için desteği iade etme seçeneği sunar.
- Araç setinin kaynak kodunu kontrol etmek için sha256sum yardımcı programı kullanılır.
- Yeni paketler dahil: vbd-tools, kokpit, yardımcı, fipscheck, tini.
- brp-strip-debug-symbols, brp-strip-unneeded ve ca-legacy paketleri kaldırıldı. Artık çekirdek .NET geliştirme ekibi tarafından derlenen ve ayrı bir depoya yerleştirilen Dotnet ve aspnetcore paketleri için SPEC dosyaları kaldırıldı.
- Güvenlik açığı düzeltmeleri kullanılan paket sürümlerine taşındı.
CBL-Mariner dağıtımının, bulut altyapılarında ve uç cihazlarda çalışan konteynerlerin, ana bilgisayar ortamlarının ve hizmetlerin içeriklerini oluşturmak için evrensel bir temel görevi gören küçük bir standart temel paket seti sağladığını hatırlayalım. CBL-Mariner'ın üstüne ek paketler eklenerek daha karmaşık ve özel çözümler oluşturulabilir, ancak bu tür sistemlerin hepsinin temeli aynı kalarak bakım ve güncellemeleri kolaylaştırır. Örneğin CBL-Mariner, WSL2 (Linux için Windows Alt Sistemi) alt sistemini temel alan ortamlarda Linux GUI uygulamalarını çalıştırmak için grafik yığını bileşenleri sağlayan WSLg mini dağıtımının temeli olarak kullanılır. WSLg'deki genişletilmiş işlevsellik, Weston Composite Server, XWayland, PulseAudio ve FreeRDP ile ek paketlerin dahil edilmesiyle gerçekleştirilir.
CBL-Mariner derleme sistemi, hem SPEC dosyalarına ve kaynak koduna dayalı bireysel RPM paketleri oluşturmanıza hem de rpm-ostree araç seti kullanılarak oluşturulan ve ayrı paketlere bölünmeden atomik olarak güncellenen monolitik sistem görüntüleri oluşturmanıza olanak tanır. Buna göre, iki güncelleme dağıtım modeli desteklenmektedir: bireysel paketlerin güncellenmesi ve tüm sistem görüntüsünün yeniden oluşturulup güncellenmesi yoluyla. Bir yapılandırma dosyasına dayalı olarak kendi görüntülerinizi oluşturmak için kullanabileceğiniz yaklaşık 3000 önceden oluşturulmuş RPM paketinden oluşan bir depo mevcuttur.
Dağıtım yalnızca en gerekli bileşenleri içerir ve minimum bellek ve disk alanı tüketiminin yanı sıra yüksek yükleme hızı için optimize edilmiştir. Dağıtım ayrıca güvenliği artırmak için çeşitli ek mekanizmaların dahil edilmesiyle de dikkat çekicidir. Proje “varsayılan olarak maksimum güvenlik” yaklaşımını benimsiyor. Seccomp mekanizmasını kullanarak sistem çağrılarını filtrelemek, disk bölümlerini şifrelemek ve dijital imza kullanarak paketleri doğrulamak mümkündür.
Linux çekirdeğinde desteklenen adres alanı rastgeleleştirme modlarının yanı sıra sembolik bağlantı saldırılarına, mmap, /dev/mem ve /dev/kmem'e karşı koruma mekanizmaları etkinleştirilir. Çekirdek ve modül verilerini içeren segmentleri içeren bellek alanları salt okunur moda ayarlanmıştır ve kod yürütülmesi yasaktır. İsteğe bağlı bir seçenek, sistem başlatıldıktan sonra çekirdek modüllerinin yüklenmesini devre dışı bırakmaktır. iptables araç seti ağ paketlerini filtrelemek için kullanılır. Oluşturma aşamasında, yığın taşmalarına, arabellek taşmalarına ve dize biçimlendirme sorunlarına karşı koruma varsayılan olarak etkindir (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Sistem yöneticisi systemd, hizmetleri ve önyüklemeyi yönetmek için kullanılır. Paket yönetimi için RPM ve DNF (vmWare'den tdnf çeşidi) paket yöneticileri sağlanır. SSH sunucusu varsayılan olarak etkin değildir. Dağıtımı kurmak için hem metin hem de grafik modlarında çalışabilen bir yükleyici sağlanmıştır. Yükleyici, tam veya temel paket seti ile kurulum seçeneği sunar ve disk bölümü seçmek, ana bilgisayar adı seçmek ve kullanıcılar oluşturmak için bir arayüz sunar.
Kaynak: opennet.ru