Microsoft hà publicatu un aghjurnamentu di u kit di distribuzione CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), chì hè sviluppatu cum'è una piattaforma di basa universale per l'ambienti Linux utilizati in l'infrastruttura di nuvola, sistemi di punta è diversi servizii Microsoft. U prugettu hè destinatu à unificà e soluzioni Microsoft Linux è simplificà u mantenimentu di i sistemi Linux per diversi scopi à ghjornu. I sviluppi di u prugettu sò distribuiti sottu a licenza MIT. I pacchetti sò generati per l'architetture aarch64 è x86_64. Image ISO bootable preparata (1.1 GB) per l'architettura x86_64.
In a nova versione:
- Versioni di pacchetti aghjurnati, cumprese versioni pruposte di u kernel Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2. 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Aggiunti novi pacchetti cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Moduli inclusi per cambià l'algoritmu di cuntrollu di congestion TCP (TCP Congestion).
- I correzioni di vulnerabilità sò stati trasferiti à i pacchetti libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
A distribuzione CBL-Mariner furnisce un picculu settore standard di pacchetti basi chì servenu cum'è una basa universale per creà u cuntenutu di cuntenituri, ambienti d'ospiti è servizii in esecuzione in infrastrutture nuvola è in i dispositi di punta. Soluzioni più cumplesse è specializate ponu esse create agghiuncennu pacchetti supplementari in cima à CBL-Mariner, ma a basa per tutti questi sistemi resta a stessa, facilitendu u mantenimentu è l'aghjurnamenti. Per esempiu, CBL-Mariner hè utilizatu cum'è a basa per a mini-distribuzione WSLg, chì furnisce cumpunenti di stack di gràficu per eseguisce l'applicazioni GUI Linux in ambienti basati nantu à u sottosistema WSL2 (Windows Subsystem for Linux). A funziunalità estesa in WSLg hè realizata per l'inclusione di pacchetti supplementari cù Weston Composite Server, XWayland, PulseAudio è FreeRDP.
U sistema di creazione di CBL-Mariner permette di generà tramindui pacchetti RPM individuali basati nantu à i schedari SPEC è u codice fonte, è ancu l'imaghjini di u sistema monoliticu generati cù u toolkit rpm-ostree è aghjurnati atomicamente senza split in pacchetti separati. In cunsiquenza, sò supportati dui mudelli di consegna di l'aghjurnamenti: per mezu di l'aghjurnamentu di pacchetti individuali è per ricustruisce è aghjurnà l'imaghjini di u sistema tutale. Un repository di circa 3000 pacchetti RPM pre-custruiti hè dispunibule chì pudete aduprà per custruisce e vostre propiu imagine basatu annantu à un schedariu di cunfigurazione.
A distribuzione include solu i cumpunenti più necessarii è hè ottimizatu per u minimu cunsumu di memoria è spaziu di discu, è ancu una alta velocità di carica. A distribuzione hè ancu notu per l'inclusione di diversi miccanismi supplementari per rinfurzà a sicurità. U prughjettu piglia un approcciu di "securità massima per difettu". Hè pussibule filtrà e chjama di u sistema utilizendu u mecanismu seccomp, criptà e partizioni di discu, è verificate i pacchetti cù una firma digitale.
I modi di randomizazione di u spaziu di l'indirizzu supportati in u kernel Linux sò attivati, è ancu i meccanismi di prutezzione contra l'attacchi di simlink, mmap, /dev/mem è /dev/kmem. L'area di memoria chì cuntenenu segmenti cù dati di u kernel è di u modulu sò impostate in modu di sola lettura è l'esecuzione di codice hè pruibita. Una opzione opzionale hè di disattivà a carica di i moduli di u kernel dopu l'inizializazione di u sistema. U toolkit iptables hè utilizatu per filtrà i pacchetti di rete. In u stadiu di custruzzione, a prutezzione contr'à stack overflows, buffer overflows, è i prublemi di furmatu di stringa hè attivata per automaticamente (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
U gestore di sistema systemd hè utilizatu per gestisce i servizii è boot. I gestori di pacchetti RPM è DNF sò furniti per a gestione di pacchetti. U servitore SSH ùn hè micca attivatu per difettu. Per installà a distribuzione, hè furnitu un installatore chì pò travaglià in modu testu è gràficu. L'installatore furnisce l'opzione di installà cù un inseme cumpletu o basicu di pacchetti, è offre una interfaccia per selezziunà una partizione di discu, selezziunate un nome d'ospitu è creà utilizatori.
Source: opennet.ru