Microsoft đã xuất bản bản cập nhật cho bản phân phối CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), bản phân phối này đang được phát triển dưới dạng nền tảng cơ sở phổ quát cho các môi trường Linux được sử dụng trong cơ sở hạ tầng đám mây, hệ thống biên và các dịch vụ khác nhau của Microsoft. Dự án nhằm mục đích thống nhất các giải pháp Microsoft Linux và đơn giản hóa việc bảo trì hệ thống Linux cho các mục đích khác nhau cho đến nay. Sự phát triển của dự án được phân phối theo giấy phép MIT.
Trong bản phát hành mới:
- Quá trình hình thành hình ảnh iso cơ bản (700 MB) đã bắt đầu. Trong bản phát hành đầu tiên, hình ảnh ISO làm sẵn không được cung cấp, người ta cho rằng người dùng có thể tạo một hình ảnh với phần điền cần thiết (hướng dẫn lắp ráp đã được chuẩn bị cho Ubuntu 18.04).
- Hỗ trợ cập nhật gói tự động đã được triển khai, trong đó có ứng dụng Dnf-Automatic.
- Nhân Linux đã được cập nhật lên phiên bản 5.10.60.1. Các phiên bản chương trình được cập nhật, bao gồm openvswitch 2.15.1, golang 1.16.7, logrus 1.8.1, tcell 1.4.0, gonum 0.9.3, testify 1.7.0, giòn 0.4.0, xz 0.5.10, swig 4.0.2, công cụ bí đao 4.4, mysql 8.0.26.
- OpenSSL cung cấp tùy chọn trả lại hỗ trợ cho TLS 1 và TLS 1.1.
- Để kiểm tra mã nguồn của bộ công cụ, tiện ích sha256sum được sử dụng.
- Các gói mới bao gồm: etcd-tools, buồng lái, trợ lý, fipscheck, tini.
- Các gói brp-strip-debug-symbols, brp-strip-không cần thiết và ca-legacy đã bị xóa. Đã xóa các tệp SPEC cho các gói Dotnet và aspnetcore, hiện được nhóm phát triển .NET cốt lõi biên soạn và đặt trong một kho lưu trữ riêng.
- Các bản sửa lỗi lỗ hổng đã được chuyển sang các phiên bản gói được sử dụng.
Chúng ta hãy nhớ lại rằng bản phân phối CBL-Mariner cung cấp một bộ gói cơ bản tiêu chuẩn nhỏ làm cơ sở chung để tạo nội dung của vùng chứa, môi trường máy chủ và dịch vụ chạy trong cơ sở hạ tầng đám mây và trên các thiết bị biên. Các giải pháp phức tạp và chuyên biệt hơn có thể được tạo ra bằng cách thêm các gói bổ sung lên trên CBL-Mariner, nhưng nền tảng cho tất cả các hệ thống như vậy vẫn giống nhau, giúp việc bảo trì và cập nhật dễ dàng hơn. Ví dụ: CBL-Mariner được sử dụng làm cơ sở cho bản phân phối mini WSLg, cung cấp các thành phần ngăn xếp đồ họa để chạy các ứng dụng GUI Linux trong môi trường dựa trên hệ thống con WSL2 (Hệ thống con Windows cho Linux). Chức năng mở rộng trong WSLg được hiện thực hóa thông qua việc đưa vào các gói bổ sung với Máy chủ tổng hợp Weston, XWayland, PulseAudio và FreeRDP.
Hệ thống xây dựng CBL-Mariner cho phép bạn tạo cả gói RPM riêng lẻ dựa trên tệp SPEC và mã nguồn, cũng như hình ảnh hệ thống nguyên khối được tạo bằng bộ công cụ vòng/phút-ostree và được cập nhật nguyên tử mà không cần chia thành các gói riêng biệt. Theo đó, hai mô hình phân phối cập nhật được hỗ trợ: thông qua cập nhật các gói riêng lẻ và thông qua việc xây dựng lại và cập nhật toàn bộ hình ảnh hệ thống. Hiện có sẵn kho lưu trữ khoảng 3000 gói RPM dựng sẵn mà bạn có thể sử dụng để xây dựng hình ảnh của riêng mình dựa trên tệp cấu hình.
Bản phân phối chỉ bao gồm các thành phần cần thiết nhất và được tối ưu hóa để tiêu thụ bộ nhớ và dung lượng ổ đĩa tối thiểu cũng như tốc độ tải cao. Việc phân phối cũng đáng chú ý vì bao gồm nhiều cơ chế bổ sung khác nhau để tăng cường bảo mật. Dự án áp dụng cách tiếp cận “bảo mật tối đa theo mặc định”. Có thể lọc các cuộc gọi hệ thống bằng cơ chế seccomp, mã hóa phân vùng đĩa và xác minh các gói bằng chữ ký số.
Các chế độ ngẫu nhiên hóa không gian địa chỉ được hỗ trợ trong nhân Linux được kích hoạt, cũng như các cơ chế bảo vệ chống lại các cuộc tấn công liên kết tượng trưng, mmap, /dev/mem và /dev/kmem. Vùng bộ nhớ chứa các phân đoạn có dữ liệu hạt nhân và mô-đun được đặt ở chế độ chỉ đọc và việc thực thi mã bị cấm. Có sẵn một tùy chọn để vô hiệu hóa việc tải mô-đun hạt nhân sau khi khởi tạo hệ thống. Bộ công cụ iptables được sử dụng để lọc các gói mạng. Ở giai đoạn xây dựng, tính năng bảo vệ chống tràn ngăn xếp, tràn bộ đệm và các vấn đề về định dạng chuỗi được bật theo mặc định (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
System manager systemd được sử dụng để quản lý các dịch vụ và khởi động. Để quản lý gói, trình quản lý gói RPM và DNF (biến thể tdnf từ vmWare) được cung cấp. Máy chủ SSH không được bật theo mặc định. Để cài đặt bản phân phối, một trình cài đặt được cung cấp có thể hoạt động ở cả chế độ văn bản và đồ họa. Trình cài đặt cung cấp tùy chọn cài đặt với bộ gói đầy đủ hoặc cơ bản và cung cấp giao diện để chọn phân vùng đĩa, chọn tên máy chủ và tạo người dùng.
Nguồn: opennet.ru