Microsoft het die eerste stabiele opdatering van die nuwe verspreidingstak CBL-Mariner 2.0 (Common Base Linux Mariner) gepubliseer, wat ontwikkel word as 'n universele basisplatform vir Linux-omgewings wat in wolkinfrastruktuur, randstelsels en verskeie Microsoft-dienste gebruik word. Die projek is daarop gemik om Microsoft Linux-oplossings te verenig en die instandhouding van Linux-stelsels vir verskeie doeleindes op datum te vereenvoudig. Die projek se ontwikkelings word onder die MIT-lisensie versprei. Pakketbou word gegenereer vir aarch64- en x86_64-argitekture.
Die nuwe weergawe is opvallend vir die aansienlike opdatering van programweergawes. Insluitend opgedateerde weergawes van die Linux-kern 5.15 (in die 1.0-tak is die 5.4-kern gebruik), systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, per 5.34 , ostree 2022.1. Die kernbewaarplek bevat GUI-komponente soos Wayland 1.20, Mesa 21.0, GTK 3.24 en X.Org Server 1.20.10, wat voorheen in 'n aparte coreui-bewaarplek gestuur is. Bygevoeg kernbou met PREEMPT_RT-kolle vir gebruik in intydse stelsels.
Die CBL-Mariner-verspreiding verskaf 'n klein standaardstel basiese pakkette wat dien as 'n universele basis vir die skep van die inhoud van houers, gasheeromgewings en dienste wat in wolkinfrastruktuur en op randtoestelle loop. Meer komplekse en gespesialiseerde oplossings kan geskep word deur bykomende pakkette bo-op CBL-Mariner by te voeg, maar die basis vir al sulke stelsels bly dieselfde, wat instandhouding en opdaterings makliker maak. Byvoorbeeld, CBL-Mariner word gebruik as die basis vir die WSLg-miniverspreiding, wat grafiese stapelkomponente verskaf vir die uitvoer van Linux GUI-toepassings in omgewings gebaseer op die WSL2 (Windows Subsystem for Linux) substelsel. Uitgebreide funksionaliteit in WSLg word gerealiseer deur die insluiting van bykomende pakkette met Weston Composite Server, XWayland, PulseAudio en FreeRDP.
Die CBL-Mariner-boustelsel laat jou toe om beide individuele RPM-pakkette op grond van SPEC-lêers en bronkode te genereer, sowel as monolitiese stelselbeelde wat gegenereer word met die rpm-otree-gereedskapstel en atomies opgedateer word sonder om in aparte pakkette te verdeel. Gevolglik word twee opdateringsleweringsmodelle ondersteun: deur individuele pakkette op te dateer en deur die hele stelselbeeld te herbou en op te dateer. 'n Bewaarplek van ongeveer 3000 XNUMX voorafgeboude RPM-pakkette is beskikbaar wat u kan gebruik om u eie beelde te bou gebaseer op 'n konfigurasielêer.
Die verspreiding sluit slegs die nodigste komponente in en is geoptimaliseer vir minimale geheue- en skyfspasieverbruik, sowel as hoë laaispoed. Die verspreiding is ook opvallend vir die insluiting van verskeie bykomende meganismes om sekuriteit te verbeter. Die projek volg 'n "maksimum sekuriteit by verstek" benadering. Dit is moontlik om stelseloproepe te filter deur die seccomp-meganisme te gebruik, skyfpartisies te enkripteer en pakkette met 'n digitale handtekening te verifieer.
Adresruimte-randomiseringsmodusse wat in die Linux-kern ondersteun word, word geaktiveer, sowel as beskermingsmeganismes teen simlink-aanvalle, mmap, /dev/mem en /dev/kmem. Die geheue-areas wat segmente met kern- en moduledata bevat, is op leesalleen-modus gestel en kode-uitvoering word verbied. 'n Opsionele opsie is om die laai van kernmodules na stelselinisialisasie te deaktiveer. Die iptables toolkit word gebruik om netwerkpakkies te filter. By die boustadium word beskerming teen stapeloorloop, bufferoorloop en stringformateringsprobleme by verstek geaktiveer (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Die stelselbestuurder systemd word gebruik om dienste te bestuur en selflaai. RPM- en DNF-pakketbestuurders word voorsien vir pakketbestuur. Die SSH-bediener is nie by verstek geaktiveer nie. Om die verspreiding te installeer, word 'n installeerder voorsien wat in beide teks- en grafiese modusse kan werk. Die installeerder bied die opsie om te installeer met 'n volledige of basiese stel pakkette, en bied 'n koppelvlak om 'n skyfpartisie te kies, 'n gasheernaam te kies en gebruikers te skep.
Bron: opennet.ru