Microsoft ha publicat una actualització del kit de distribució CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), que s'està desenvolupant com a plataforma base universal per a entorns Linux utilitzats en infraestructura de núvol, sistemes de punta i diversos serveis de Microsoft. El projecte té com a objectiu unificar les solucions de Microsoft Linux i simplificar el manteniment dels sistemes Linux per a diversos propòsits actualitzats. Els desenvolupaments del projecte es distribueixen sota la llicència MIT. Es generen paquets per a arquitectures aarch64 i x86_64. Imatge ISO d'arrencada preparada (1.1 GB) per a l'arquitectura x86_64.
En la nova versió:
- Versions de paquets actualitzades, incloses les versions proposades del nucli Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2. 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- S'han afegit nous paquets cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Mòduls inclosos per canviar l'algoritme de control de congestió TCP (TCP Congestion).
- Les correccions de vulnerabilitats s'han mogut als paquets libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
La distribució CBL-Mariner proporciona un petit conjunt estàndard de paquets bàsics que serveixen de base universal per crear continguts de contenidors, entorns host i serveis que s'executen en infraestructures de núvol i en dispositius perifèrics. Es poden crear solucions més complexes i especialitzades afegint paquets addicionals a CBL-Mariner, però la base de tots aquests sistemes segueix sent la mateixa, facilitant el manteniment i les actualitzacions. Per exemple, CBL-Mariner s'utilitza com a base per a la minidistribució WSLg, que proporciona components de pila de gràfics per executar aplicacions GUI de Linux en entorns basats en el subsistema WSL2 (Windows Subsystem for Linux). La funcionalitat ampliada a WSLg es realitza mitjançant la inclusió de paquets addicionals amb Weston Composite Server, XWayland, PulseAudio i FreeRDP.
El sistema de compilació CBL-Mariner us permet generar paquets RPM individuals basats en fitxers SPEC i codi font, així com imatges monolítics del sistema generades amb el kit d'eines rpm-ostree i actualitzades atòmicament sense dividir-vos en paquets separats. En conseqüència, s'admeten dos models de lliurament d'actualitzacions: mitjançant l'actualització de paquets individuals i mitjançant la reconstrucció i actualització de la imatge completa del sistema. Hi ha disponible un dipòsit d'aproximadament 3000 paquets RPM preconstruïts que podeu utilitzar per crear les vostres pròpies imatges basades en un fitxer de configuració.
La distribució inclou només els components més necessaris i està optimitzada per a un consum mínim de memòria i espai de disc, així com una gran velocitat de càrrega. La distribució també destaca per la inclusió de diversos mecanismes addicionals per millorar la seguretat. El projecte adopta un enfocament de "màxima seguretat per defecte". És possible filtrar les trucades del sistema mitjançant el mecanisme seccomp, xifrar particions de disc i verificar paquets mitjançant una signatura digital.
S'activen els modes d'aleatorització de l'espai d'adreces compatibles amb el nucli de Linux, així com els mecanismes de protecció contra atacs d'enllaços simbòlics, mmap, /dev/mem i /dev/kmem. Les àrees de memòria que contenen segments amb dades del nucli i del mòdul estan configurades en mode només lectura i l'execució de codi està prohibida. Una opció opcional és desactivar la càrrega de mòduls del nucli després de la inicialització del sistema. El kit d'eines iptables s'utilitza per filtrar paquets de xarxa. En l'etapa de creació, la protecció contra desbordaments de pila, desbordaments de memòria intermèdia i problemes de format de cadenes està activada per defecte (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
El gestor del sistema systemd s'utilitza per gestionar els serveis i l'arrencada. Es proporcionen gestors de paquets RPM i DNF per a la gestió de paquets. El servidor SSH no està habilitat per defecte. Per instal·lar la distribució, es proporciona un instal·lador que pot funcionar tant en mode text com en mode gràfic. L'instal·lador ofereix l'opció d'instal·lar amb un conjunt complet o bàsic de paquets i ofereix una interfície per seleccionar una partició de disc, seleccionar un nom d'amfitrió i crear usuaris.
Font: opennet.ru