Microsoft ha publicat la primera actualització estable de la nova branca de distribució CBL-Mariner 2.0 (Common Base Linux Mariner), que s'està desenvolupant com a plataforma base universal per a entorns Linux utilitzats en infraestructura de núvol, sistemes perifèrics i diversos serveis de Microsoft. El projecte té com a objectiu unificar les solucions de Microsoft Linux i simplificar el manteniment dels sistemes Linux per a diversos propòsits actualitzats. Els desenvolupaments del projecte es distribueixen sota la llicència MIT. Les compilacions de paquets es generen per a arquitectures aarch64 i x86_64.
La nova versió destaca per l'actualització important de les versions del programa. Incloent les versions actualitzades del nucli Linux 5.15 (a la branca 1.0 es va utilitzar el nucli 5.4), systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, qemu 5.34. , ostree 2022.1. El dipòsit principal inclou components de la GUI com Wayland 1.20, Mesa 21.0, GTK 3.24 i X.Org Server 1.20.10, que anteriorment es van enviar en un dipòsit coreui independent. S'han afegit compilacions del nucli amb pedaços PREEMPT_RT per utilitzar-los en sistemes en temps real.
La distribució CBL-Mariner proporciona un petit conjunt estàndard de paquets bàsics que serveixen de base universal per crear continguts de contenidors, entorns host i serveis que s'executen en infraestructures de núvol i en dispositius perifèrics. Es poden crear solucions més complexes i especialitzades afegint paquets addicionals a CBL-Mariner, però la base de tots aquests sistemes segueix sent la mateixa, facilitant el manteniment i les actualitzacions. Per exemple, CBL-Mariner s'utilitza com a base per a la minidistribució WSLg, que proporciona components de pila de gràfics per executar aplicacions GUI de Linux en entorns basats en el subsistema WSL2 (Windows Subsystem for Linux). La funcionalitat ampliada a WSLg es realitza mitjançant la inclusió de paquets addicionals amb Weston Composite Server, XWayland, PulseAudio i FreeRDP.
El sistema de compilació CBL-Mariner us permet generar paquets RPM individuals basats en fitxers SPEC i codi font, així com imatges monolítics del sistema generades amb el kit d'eines rpm-ostree i actualitzades atòmicament sense dividir-vos en paquets separats. En conseqüència, s'admeten dos models de lliurament d'actualitzacions: mitjançant l'actualització de paquets individuals i mitjançant la reconstrucció i actualització de la imatge completa del sistema. Hi ha disponible un dipòsit d'aproximadament 3000 paquets RPM preconstruïts que podeu utilitzar per crear les vostres pròpies imatges basades en un fitxer de configuració.
La distribució inclou només els components més necessaris i està optimitzada per a un consum mínim de memòria i espai de disc, així com una gran velocitat de càrrega. La distribució també destaca per la inclusió de diversos mecanismes addicionals per millorar la seguretat. El projecte adopta un enfocament de "màxima seguretat per defecte". És possible filtrar les trucades del sistema mitjançant el mecanisme seccomp, xifrar particions de disc i verificar paquets mitjançant una signatura digital.
S'activen els modes d'aleatorització de l'espai d'adreces compatibles amb el nucli de Linux, així com els mecanismes de protecció contra atacs d'enllaços simbòlics, mmap, /dev/mem i /dev/kmem. Les àrees de memòria que contenen segments amb dades del nucli i del mòdul estan configurades en mode només lectura i l'execució de codi està prohibida. Una opció opcional és desactivar la càrrega de mòduls del nucli després de la inicialització del sistema. El kit d'eines iptables s'utilitza per filtrar paquets de xarxa. En l'etapa de creació, la protecció contra desbordaments de pila, desbordaments de memòria intermèdia i problemes de format de cadenes està activada per defecte (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
El gestor del sistema systemd s'utilitza per gestionar els serveis i l'arrencada. Es proporcionen gestors de paquets RPM i DNF per a la gestió de paquets. El servidor SSH no està habilitat per defecte. Per instal·lar la distribució, es proporciona un instal·lador que pot funcionar tant en mode text com en mode gràfic. L'instal·lador ofereix l'opció d'instal·lar amb un conjunt complet o bàsic de paquets i ofereix una interfície per seleccionar una partició de disc, seleccionar un nom d'amfitrió i crear usuaris.
Font: opennet.ru