Microsoft 发布了 CBL-Mariner 发行版 1.0.20210901 (Common Base Linux Mariner) 的更新,该版本正在开发为云基础设施、边缘系统和各种 Microsoft 服务中使用的 Linux 环境的通用基础平台。 该项目旨在统一 Microsoft Linux 解决方案并简化最新各种用途的 Linux 系统的维护。 该项目的开发是在麻省理工学院的许可下分发的。
在新版本中:
- 基本 iso 映像 (700 MB) 的形成已开始。 在第一个版本中,未提供现成的 ISO 映像;假设用户可以创建具有必要填充的映像(为 Ubuntu 18.04 准备了汇编指令)。
- 已实现对自动包更新的支持,其中包括 Dnf-Automatic 应用程序。
- Linux内核已更新至版本5.10.60.1。 更新了程序版本,包括openvswitch 2.15.1、golang 1.16.7、logrus 1.8.1、tcell 1.4.0、gonum 0.9.3、testify 1.7.0、crunchy 0.4.0、xz 0.5.10、swig 4.0.2、 squashfs-工具 4.4,mysql 8.0.26。
- OpenSSL 提供返回对 TLS 1 和 TLS 1.1 支持的选项。
- 要检查工具包的源代码,请使用 sha256sum 实用程序。
- 新软件包包括:etcd-tools、cockpit、aide、fipscheck、tini。
- brp-strip-debug-symbols、brp-strip-unneeded 和 ca-legacy 软件包已被删除。 删除了 Dotnet 和 aspnetcore 包的 SPEC 文件,这些文件现在由核心 .NET 开发团队编译并放置在单独的存储库中。
- 漏洞修复已移至所使用的软件包版本中。
让我们回想一下,CBL-Mariner 发行版提供了一组小型标准基本包,可作为创建在云基础设施和边缘设备上运行的容器、主机环境和服务内容的通用基础。 可以通过在 CBL-Mariner 之上添加额外的软件包来创建更复杂和专业的解决方案,但所有此类系统的基础保持不变,使维护和更新更加容易。 例如,CBL-Mariner 被用作 WSLg 迷你发行版的基础,它提供了图形堆栈组件,用于在基于 WSL2(Windows Subsystem for Linux)子系统的环境中运行 Linux GUI 应用程序。 WSLg 中的扩展功能是通过包含 Weston Composite Server、XWayland、PulseAudio 和 FreeRDP 的附加软件包来实现的。
CBL-Mariner 构建系统允许您基于 SPEC 文件和源代码生成单独的 RPM 包,以及使用 rpm-ostree 工具包生成并原子更新的整体系统映像,而无需拆分为单独的包。 因此,支持两种更新交付模型:通过更新单个包以及通过重建和更新整个系统映像。 提供了大约 3000 个预构建 RPM 软件包的存储库,您可以使用它们基于配置文件构建自己的映像。
该发行版仅包含最必要的组件,并针对最小内存和磁盘空间消耗以及高加载速度进行了优化。 该发行版还因包含各种增强安全性的附加机制而引人注目。 该项目采用“默认最大安全性”方法。 可以使用 seccomp 机制过滤系统调用、加密磁盘分区以及使用数字签名验证包。
Linux 内核中支持的地址空间随机化模式被激活,以及针对符号链接攻击、mmap、/dev/mem 和 /dev/kmem 的保护机制。 包含内核和模块数据段的内存区域被设置为只读模式,并且禁止代码执行。 一个可选选项是在系统初始化后禁用加载内核模块。 iptables工具包用于过滤网络数据包。 在构建阶段,默认启用针对堆栈溢出、缓冲区溢出和字符串格式化问题的保护(_FORTIFY_SOURCE、-fstack-protector、-Wformat-security、relro)。
系统管理器systemd用于管理服务和启动。 对于包管理,提供了包管理器 RPM 和 DNF(来自 vmWare 的 tdnf 变体)。 默认情况下未启用 SSH 服务器。 为了安装该发行版,提供了一个可以在文本和图形模式下工作的安装程序。 安装程序提供了使用完整或基本软件包集进行安装的选项,并提供了用于选择磁盘分区、选择主机名和创建用户的界面。
来源: opennet.ru