نشرت Microsoft تحديثًا لمجموعة التوزيع CBL-Mariner 2.0.20221029 (Common Base Linux Mariner)، والتي يتم تطويرها كمنصة أساسية عالمية لبيئات Linux المستخدمة في البنية التحتية السحابية وأنظمة الحافة وخدمات Microsoft المتنوعة. يهدف المشروع إلى توحيد حلول Linux المستخدمة في Microsoft وتبسيط صيانة أنظمة Linux لأغراض مختلفة محدثة. يتم توزيع تطورات المشروع بموجب ترخيص MIT. يتم إنشاء الحزم لمعماريتي aarch64 وx86_64. تم إعداد صورة ISO قابلة للتمهيد (1.1 جيجابايت) للهندسة المعمارية x86_64.
новой версии:
- إصدارات الحزمة المحدثة، بما في ذلك إصدارات Linux kernel المقترحة 5.15.74 وPHP 8.1.11 وnodejs 16.17.1 وcassandra 4.0.7 وdbus 1.15.2 وexpat 2.5.0 وmysql 8.0.31 وterraform 1.32.2 وtidy 5.8.0 .3.4.16، ويريشارك 1.22.1، إنجينكس XNUMX.
- تمت إضافة حزم جديدة cairomm 1.12.0، cpptest 1.1.2، k-exec-tools، kernel-drivers-gpu، libcroco 0.6.13، python-google-auth-oauthlib، sgx-backwards-compatability.
- يتم تضمين الوحدات النمطية لتغيير خوارزمية التحكم في ازدحام TCP.
- تم نقل إصلاحات الثغرات الأمنية إلى حزم libtar وunbound وaspell وlibtiff وredis وlivepatch وlibtasn1 وPHP وnodejs وdbus وexpat وmod_wsgi وwireshark وnginx وmysql وterraform.
توفر مجموعة أدوات التوزيع CBL-Mariner مجموعة قياسية صغيرة من الحزم الأساسية التي تعمل كأساس عالمي لإنشاء حشو الحاويات والبيئات المضيفة والخدمات التي يتم إطلاقها في البنى التحتية السحابية والأجهزة الطرفية. يمكن إنشاء حلول أكثر تعقيدًا وتخصصًا عن طريق إضافة حزم إضافية أعلى CBL-Mariner، لكن الأساس لجميع هذه الأنظمة يظل كما هو، مما يسهل صيانة التحديثات وإعدادها. على سبيل المثال، يتم استخدام CBL-Mariner كأساس لتوزيع WSLg mini، الذي يوفر مكونات مكدس الرسومات لتشغيل تطبيقات Linux GUI في بيئات WSL2 (نظام Windows الفرعي لنظام التشغيل Linux). يتم تحقيق الوظائف الموسعة في WSLg من خلال تضمين حزم إضافية مع Weston Composite Server وXWayland وPulseAudio وFreeRDP.
يتيح لك نظام البناء CBL-Mariner إنشاء حزم RPM منفصلة استنادًا إلى ملفات ومصادر SPEC، بالإضافة إلى صور النظام المتجانسة التي تم إنشاؤها باستخدام مجموعة أدوات rpm-ostree وتحديثها ذريًا دون تقسيمها إلى حزم منفصلة. وبناءً على ذلك، يتم دعم نموذجين لتسليم التحديث: من خلال تحديث الحزم الفردية وإعادة بناء صورة النظام بالكامل وتحديثها. يتوفر مستودع يحتوي على حوالي 3000 دورة في الدقيقة تم إنشاؤها بالفعل والتي يمكنك استخدامها لإنشاء صورك الخاصة بناءً على ملف التكوين.
يتضمن التوزيع فقط المكونات الأكثر أهمية وهو مُحسّن للحد الأدنى من استهلاك الذاكرة ومساحة القرص، فضلاً عن سرعات التنزيل العالية. التوزيع ملحوظ أيضًا لأنه يتضمن آليات أمان إضافية مختلفة. يستخدم المشروع نهج "أقصى قدر من الأمان بشكل افتراضي". فهو يوفر القدرة على تصفية مكالمات النظام باستخدام آلية seccomp، وتشفير أقسام القرص، والتحقق من الحزم عن طريق التوقيع الرقمي.
يتم تنشيط أوضاع التوزيع العشوائي لمساحة العنوان المدعومة في Linux kernel، بالإضافة إلى آليات الحماية ضد الهجمات المتعلقة بالروابط الرمزية وmmap و/dev/mem و/dev/kmem. بالنسبة لمناطق الذاكرة التي تحتوي على مقاطع تحتوي على بيانات kernel والوحدة النمطية، يتم ضبط الوضع على القراءة فقط ويحظر تنفيذ التعليمات البرمجية. تتوفر بشكل اختياري القدرة على تعطيل تحميل وحدات kernel بعد تهيئة النظام. يتم استخدام مجموعة أدوات iptables لتصفية حزم الشبكة. افتراضيًا، يمكّن ممر البناء أوضاع الحماية من تجاوزات المكدس وتجاوزات المخزن المؤقت ومشكلات تنسيق السلسلة (_FORTIFY_SOURCE، -fstack-protector، -Wformat-security، relro).
يتم استخدام مدير نظام systemd لإدارة الخدمات والتمهيد. يتم توفير مديري الحزم RPM وDNF لإدارة الحزم. لا يتم تمكين خادم SSH بشكل افتراضي. لتثبيت التوزيع، يتم توفير برنامج تثبيت يمكنه العمل في كل من الوضعين النصي والرسومي. يوفر المثبت القدرة على التثبيت مع مجموعة كاملة أو أساسية من الحزم، ويوفر واجهة لاختيار قسم القرص واختيار اسم المضيف وإنشاء المستخدمين.
المصدر: opennet.ru