Microsoft je objavio ažuriranje distributivnog kompleta CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), koji se razvija kao univerzalna osnovna platforma za Linux okruženja koja se koriste u infrastrukturi oblaka, rubnim sistemima i raznim Microsoft servisima. Projekat ima za cilj objedinjavanje Microsoft Linux rješenja i pojednostavljenje ažuriranja Linux sistema za različite namjene. Razvoj projekta se distribuira pod licencom MIT-a. Paketi se generiraju za aarch64 i x86_64 arhitekture. Pripremljena ISO slika za pokretanje (1.1 GB) za arhitekturu x86_64.
U novoj verziji:
- Ažurirane verzije paketa, uključujući predložena izdanja Linux kernela 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Dodati novi paketi cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatibility.
- Uključeni moduli za promjenu algoritma kontrole TCP zagušenja (TCP Congestion).
- Ispravke ranjivosti su premeštene u pakete libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
CBL-Mariner distribucija pruža mali standardni set osnovnih paketa koji služe kao univerzalna osnova za kreiranje sadržaja kontejnera, host okruženja i usluga koje rade u infrastrukturama oblaka i na rubnim uređajima. Složenija i specijalizovanija rješenja mogu se kreirati dodavanjem dodatnih paketa na CBL-Mariner, ali osnova za sve takve sisteme ostaje ista, što olakšava održavanje i ažuriranja. Na primjer, CBL-Mariner se koristi kao osnova za WSLg mini-distribuciju, koja obezbjeđuje komponente grafičkog steka za pokretanje Linux GUI aplikacija u okruženjima baziranim na podsistemu WSL2 (Windows Subsystem for Linux). Proširena funkcionalnost u WSLg-u se ostvaruje kroz uključivanje dodatnih paketa sa Weston Composite Server, XWayland, PulseAudio i FreeRDP.
CBL-Mariner build sistem vam omogućava da generišete i pojedinačne RPM pakete zasnovane na SPEC datotekama i izvornom kodu, kao i monolitne sistemske slike generisane korišćenjem rpm-ostree alata i ažurirane atomski bez razdvajanja u zasebne pakete. U skladu s tim, podržana su dva modela isporuke ažuriranja: kroz ažuriranje pojedinačnih paketa i kroz ponovnu izgradnju i ažuriranje cjelokupne slike sistema. Dostupno je spremište od približno 3000 unaprijed napravljenih RPM paketa koje možete koristiti za pravljenje vlastitih slika na osnovu konfiguracijske datoteke.
Distribucija uključuje samo najpotrebnije komponente i optimizirana je za minimalnu potrošnju memorije i prostora na disku, kao i veliku brzinu učitavanja. Distribucija je također značajna po uključivanju raznih dodatnih mehanizama za poboljšanje sigurnosti. Projekat koristi pristup „maksimalne sigurnosti prema zadanim postavkama“. Moguće je filtrirati sistemske pozive pomoću mehanizma seccomp, šifrirati particije diska i provjeriti pakete pomoću digitalnog potpisa.
Aktivirani su načini randomizacije adresnog prostora koji su podržani u Linux kernelu, kao i mehanizmi zaštite od napada na symlink, mmap, /dev/mem i /dev/kmem. Memorijska područja koja sadrže segmente s podacima kernela i modula su postavljena na način samo za čitanje i zabranjeno je izvršavanje koda. Opciona opcija je da onemogućite učitavanje modula kernela nakon inicijalizacije sistema. Iptables alat se koristi za filtriranje mrežnih paketa. U fazi izgradnje, zaštita od prekoračenja steka, prekoračenja bafera i problema sa formatiranjem stringova je podrazumevano omogućena (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Sistemski menadžer systemd se koristi za upravljanje uslugama i pokretanje. RPM i DNF menadžeri paketa su obezbeđeni za upravljanje paketima. SSH server nije uključen po defaultu. Da biste instalirali distribuciju, osiguran je instalater koji može raditi i u tekstualnom i u grafičkom režimu. Instalater pruža mogućnost instaliranja s punim ili osnovnim skupom paketa i nudi sučelje za odabir particije diska, odabir imena hosta i kreiranje korisnika.
izvor: opennet.ru