Среди изменений в новой версии:
- В репозиторий (SPECS и SPECS-EXTENDED) добавлены пакеты ignition и rust-afterburn.
- Пакет с сетевым анализатором Wireshark пересобран с поддержкой языка Lua.
- При сборке пакета с ядром для архитектуры arm64 включён параметр CONFIG_IKCONFIG_PROC, включающий возможность получения доступа к сборочной конфигурации текущего ядра через файл /proc/config.gz.
- Улучшена поддержка live-миграции в QEMU.
- В файл PackageBuild.yml добавлен параметр extraMacrosFiles для передачи дополнительных файлов с макросами во время сборки пакета.
- Устранено несколько десятков уязвимостей в различных пакетах.
- Обновлены версии ядра Linux 6.6.137.1, clamav 1.5.2, cloud-hypervisor 51.1.56, containerd2 2.1.6, cups 2.4.18, erlang 26.2.5.20, golang 1.26.2-1, libpng 1.6.57, mysql 8.0.46.
Дистрибутив Azure Linux предоставляет небольшой типовой набор основных пакетов, выступающих универсальной основой для создания начинки контейнеров, хост-окружений и сервисов, запускаемых в облачных инфраструктурах и на edge-устройствах. Более сложные и специализированные решения могут создаваться путём добавления дополнительных пакетов поверх Azure Linux, но основа для всех подобных систем остаётся неизменной, что упрощает сопровождение и подготовку обновлений.
Azure Linux применяется в качестве основы мини-дистрибутива WSLg, в котором предоставляются компоненты графического стека для организации запуска GUI-приложений Linux в окружениях на базе подсистемы WSL2 (Windows Subsystem for Linux). Расширенная функциональность в WSLg реализуется через включение дополнительных пакетов с композитным сервером Weston, XWayland, PulseAudio и FreeRDP.
Для управления сервисами и загрузкой применяется системный менеджер systemd. Для управления пакетами поставляются пакетные менеджеры RPM и DNF. SSH-сервер по умолчанию не включается.
Для установки дистрибутива предоставляется инсталлятор, который может работать как в текстовом, так и в графическом режимах. В инсталляторе предоставляется возможность установки с полным или базовым набором пакетов, предлагается интерфейс для выбора дискового раздела, выбора имени хоста и создания пользователей.
Система сборки Azure Linux позволяет генерировать как отдельные RPM-пакеты на основе SPEC-файлов и исходных текстов, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Соответственно, поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа. Доступен репозиторий, включающий около 3000 уже собранных RPM-пакетов, который можно использовать для компоновки собственных образов на основе файла конфигурации.
Базовая платформа включает только самые необходимые компоненты и оптимизирована для минимального потребления памяти и дискового пространства, а также для высокой скорости загрузки. В проекте применяется подход «максимальная безопасность по умолчанию», подразумевающий включение различных дополнительных механизмов для повышения защиты:
- Фильтрация системных вызовов при помощи механизма seccomp.
- Шифрование дисковых разделов.
- Верификация пакетов по цифровой подписи.
- Рандомизация адресного пространства.
- Защита от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem.
- Режим только для чтения и запрет исполнения кода в областях памяти, в которых размещаются сегменты с данными ядра и модулей.
- Опция для запрета загрузки модулей ядра после инициализации системы.
- Использование iptables для фильтрации сетевых пакетов.
- Включение при сборке режимов защиты от переполнения стека, переполнений буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Источник: http://www.opennet.ru/opennews/art.shtml?num=65419