نشرت شركة مايكروسوفت أول تحديث مستقر لفرع التوزيع الجديد CBL-Mariner 2.0 (Common Base Linux Mariner)، والذي يتم تطويره كمنصة أساسية عالمية لبيئات Linux المستخدمة في البنية التحتية السحابية وأنظمة الحافة وخدمات Microsoft المتنوعة. يهدف المشروع إلى توحيد حلول Microsoft Linux وتبسيط صيانة أنظمة Linux لأغراض مختلفة محدثة. يتم توزيع تطورات المشروع بموجب ترخيص MIT. يتم إنشاء تصميمات الحزم لمعماريات aarch64 وx86_64.
يتميز الإصدار الجديد بالتحديث الكبير لإصدارات البرنامج. بما في ذلك الإصدارات المحدثة من Linux kernel 5.15 (في الفرع 1.0 تم استخدام 5.4 kernel)، systemd 250، glibc 2.35،GC 11.2، clang 12، Python 3.9، Ruby 3.1.2، rpm 4.17، qemu 6.1، perl 5.34 , اوستري 2022.1. يتضمن المستودع الأساسي مكونات واجهة المستخدم الرسومية مثل Wayland 1.20 وMesa 21.0 وGTK 3.24 وX.Org Server 1.20.10، والتي تم شحنها سابقًا في مستودع coreui منفصل. تمت إضافة إصدارات kernel مع تصحيحات PREEMPT_RT للاستخدام في أنظمة الوقت الفعلي.
توفر مجموعة أدوات التوزيع CBL-Mariner مجموعة قياسية صغيرة من الحزم الأساسية التي تعمل كأساس عالمي لإنشاء حشو الحاويات والبيئات المضيفة والخدمات التي يتم إطلاقها في البنى التحتية السحابية والأجهزة الطرفية. يمكن إنشاء حلول أكثر تعقيدًا وتخصصًا عن طريق إضافة حزم إضافية أعلى CBL-Mariner، لكن الأساس لجميع هذه الأنظمة يظل كما هو، مما يسهل صيانة التحديثات وإعدادها. على سبيل المثال، يتم استخدام CBL-Mariner كأساس لتوزيع WSLg mini، الذي يوفر مكونات مكدس الرسومات لتشغيل تطبيقات Linux GUI في بيئات WSL2 (نظام Windows الفرعي لنظام التشغيل Linux). يتم تحقيق الوظائف الموسعة في WSLg من خلال تضمين حزم إضافية مع Weston Composite Server وXWayland وPulseAudio وFreeRDP.
يتيح لك نظام البناء CBL-Mariner إنشاء حزم RPM منفصلة استنادًا إلى ملفات ومصادر SPEC، بالإضافة إلى صور النظام المتجانسة التي تم إنشاؤها باستخدام مجموعة أدوات rpm-ostree وتحديثها ذريًا دون تقسيمها إلى حزم منفصلة. وبناءً على ذلك، يتم دعم نموذجين لتسليم التحديث: من خلال تحديث الحزم الفردية وإعادة بناء صورة النظام بالكامل وتحديثها. يتوفر مستودع يحتوي على حوالي 3000 دورة في الدقيقة تم إنشاؤها بالفعل والتي يمكنك استخدامها لإنشاء صورك الخاصة بناءً على ملف التكوين.
يتضمن التوزيع فقط المكونات الأكثر أهمية وهو مُحسّن للحد الأدنى من استهلاك الذاكرة ومساحة القرص، فضلاً عن سرعات التنزيل العالية. التوزيع ملحوظ أيضًا لأنه يتضمن آليات أمان إضافية مختلفة. يستخدم المشروع نهج "أقصى قدر من الأمان بشكل افتراضي". فهو يوفر القدرة على تصفية مكالمات النظام باستخدام آلية seccomp، وتشفير أقسام القرص، والتحقق من الحزم عن طريق التوقيع الرقمي.
يتم تنشيط أوضاع التوزيع العشوائي لمساحة العنوان المدعومة في Linux kernel، بالإضافة إلى آليات الحماية ضد الهجمات المتعلقة بالروابط الرمزية وmmap و/dev/mem و/dev/kmem. بالنسبة لمناطق الذاكرة التي تحتوي على مقاطع تحتوي على بيانات kernel والوحدة النمطية، يتم ضبط الوضع على القراءة فقط ويحظر تنفيذ التعليمات البرمجية. تتوفر بشكل اختياري القدرة على تعطيل تحميل وحدات kernel بعد تهيئة النظام. يتم استخدام مجموعة أدوات iptables لتصفية حزم الشبكة. افتراضيًا، يمكّن ممر البناء أوضاع الحماية من تجاوزات المكدس وتجاوزات المخزن المؤقت ومشكلات تنسيق السلسلة (_FORTIFY_SOURCE، -fstack-protector، -Wformat-security، relro).
يتم استخدام مدير نظام systemd لإدارة الخدمات والتمهيد. يتم توفير مديري الحزم RPM وDNF لإدارة الحزم. لا يتم تمكين خادم SSH بشكل افتراضي. لتثبيت التوزيع، يتم توفير برنامج تثبيت يمكنه العمل في كل من الوضعين النصي والرسومي. يوفر المثبت القدرة على التثبيت مع مجموعة كاملة أو أساسية من الحزم، ويوفر واجهة لاختيار قسم القرص واختيار اسم المضيف وإنشاء المستخدمين.
المصدر: opennet.ru