Microsoft, bulut altyapısında, uç sistemlerde ve çeşitli Microsoft hizmetlerinde kullanılan Linux ortamları için evrensel bir temel platform olarak geliştirilmekte olan CBL-Mariner 2.0.20221029 (Common Base Linux Mariner) dağıtım kiti için bir güncelleme yayınladı. Proje, Microsoft Linux çözümlerini birleştirmeyi ve çeşitli amaçlara yönelik Linux sistemlerinin güncel bakımını basitleştirmeyi amaçlıyor. Projenin geliştirmeleri MIT lisansı altında dağıtılmaktadır. Paketler aarch64 ve x86_64 mimarileri için oluşturulmuştur. x1.1_86 mimarisi için hazırlanmış önyüklenebilir ISO görüntüsü (64 GB).
Yeni sürümde:
- Linux çekirdeği 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2'nin önerilen sürümleri de dahil olmak üzere güncellenmiş paket sürümleri, düzenli 5.8.0,wireshark 3.4.16, nginx 1.22.1.
- Yeni cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability paketleri eklendi.
- TCP tıkanıklık kontrol algoritmasını (TCP Tıkanıklığı) değiştirmek için modüller dahildir.
- Güvenlik açığı düzeltmeleri libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi,wireshark, nginx, mysql, terraform paketlerine taşındı.
CBL-Mariner dağıtımı, bulut altyapılarında ve uç cihazlarda çalışan konteynerlerin, ana bilgisayar ortamlarının ve hizmetlerin içeriklerini oluşturmak için evrensel bir temel görevi gören küçük bir standart temel paket seti sağlar. CBL-Mariner'ın üstüne ek paketler eklenerek daha karmaşık ve özel çözümler oluşturulabilir, ancak bu tür sistemlerin hepsinin temeli aynı kalarak bakım ve güncellemeleri kolaylaştırır. Örneğin CBL-Mariner, WSL2 (Linux için Windows Alt Sistemi) alt sistemini temel alan ortamlarda Linux GUI uygulamalarını çalıştırmak için grafik yığını bileşenleri sağlayan WSLg mini dağıtımının temeli olarak kullanılır. WSLg'deki genişletilmiş işlevsellik, Weston Composite Server, XWayland, PulseAudio ve FreeRDP ile ek paketlerin dahil edilmesiyle gerçekleştirilir.
CBL-Mariner derleme sistemi, hem SPEC dosyalarına ve kaynak koduna dayalı bireysel RPM paketleri oluşturmanıza hem de rpm-ostree araç seti kullanılarak oluşturulan ve ayrı paketlere bölünmeden atomik olarak güncellenen monolitik sistem görüntüleri oluşturmanıza olanak tanır. Buna göre, iki güncelleme dağıtım modeli desteklenmektedir: bireysel paketlerin güncellenmesi ve tüm sistem görüntüsünün yeniden oluşturulup güncellenmesi yoluyla. Bir yapılandırma dosyasına dayalı olarak kendi görüntülerinizi oluşturmak için kullanabileceğiniz yaklaşık 3000 önceden oluşturulmuş RPM paketinden oluşan bir depo mevcuttur.
Dağıtım yalnızca en gerekli bileşenleri içerir ve minimum bellek ve disk alanı tüketiminin yanı sıra yüksek yükleme hızı için optimize edilmiştir. Dağıtım ayrıca güvenliği artırmak için çeşitli ek mekanizmaların dahil edilmesiyle de dikkat çekicidir. Proje “varsayılan olarak maksimum güvenlik” yaklaşımını benimsiyor. Seccomp mekanizmasını kullanarak sistem çağrılarını filtrelemek, disk bölümlerini şifrelemek ve dijital imza kullanarak paketleri doğrulamak mümkündür.
Linux çekirdeğinde desteklenen adres alanı rastgeleleştirme modlarının yanı sıra sembolik bağlantı saldırılarına, mmap, /dev/mem ve /dev/kmem'e karşı koruma mekanizmaları etkinleştirilir. Çekirdek ve modül verilerini içeren segmentleri içeren bellek alanları salt okunur moda ayarlanmıştır ve kod yürütülmesi yasaktır. İsteğe bağlı bir seçenek, sistem başlatıldıktan sonra çekirdek modüllerinin yüklenmesini devre dışı bırakmaktır. iptables araç seti ağ paketlerini filtrelemek için kullanılır. Oluşturma aşamasında, yığın taşmalarına, arabellek taşmalarına ve dize biçimlendirme sorunlarına karşı koruma varsayılan olarak etkindir (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Sistem yöneticisi systemd, hizmetleri ve önyüklemeyi yönetmek için kullanılır. Paket yönetimi için RPM ve DNF paket yöneticileri sağlanmıştır. SSH sunucusu varsayılan olarak etkin değildir. Dağıtımı kurmak için hem metin hem de grafik modlarında çalışabilen bir yükleyici sağlanmıştır. Yükleyici, tam veya temel paket seti ile kurulum seçeneği sunar ve disk bölümü seçmek, ana bilgisayar adı seçmek ve kullanıcılar oluşturmak için bir arayüz sunar.
Kaynak: opennet.ru