Microsoft zveřejnil první stabilní aktualizaci nové distribuční větve CBL-Mariner 2.0 (Common Base Linux Mariner), která je vyvíjena jako univerzální základní platforma pro linuxová prostředí používaná v cloudové infrastruktuře, okrajových systémech a různých službách Microsoftu. Projekt je zaměřen na sjednocení řešení Microsoft Linux a zjednodušení údržby linuxových systémů pro různé účely. Vývoj projektu je distribuován pod licencí MIT. Sestavení balíčků se generují pro architektury aarch64 a x86_64.
Nové vydání se vyznačuje významnou aktualizací verzí programu. Včetně aktualizovaných verzí linuxového jádra 5.15 (ve větvi 1.0 bylo použito jádro 5.4), systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby 3.1.2, rpm 4.17, 6.1, 5.34 qem® 2022.1. , ostree 1.20. Základní úložiště obsahuje komponenty GUI, jako jsou Wayland 21.0, Mesa 3.24, GTK 1.20.10 a X.Org Server XNUMX, které byly dříve dodávány v samostatném úložišti coreui. Přidána sestavení jádra s opravami PREEMPT_RT pro použití v systémech v reálném čase.
Distribuce CBL-Mariner poskytuje malou standardní sadu základních balíčků, které slouží jako univerzální základ pro vytváření obsahu kontejnerů, hostitelských prostředí a služeb běžících v cloudových infrastrukturách a na okrajových zařízeních. Složitější a specializovanější řešení lze vytvořit přidáním dalších balíčků nad CBL-Mariner, ale základ všech takových systémů zůstává stejný, což usnadňuje údržbu a aktualizace. Například CBL-Mariner se používá jako základ pro minidistribuci WSLg, která poskytuje komponenty grafického zásobníku pro spouštění aplikací GUI pro Linux v prostředích založených na subsystému WSL2 (Windows Subsystem for Linux). Rozšířená funkčnost ve WSLg je realizována zahrnutím dalších balíčků s Weston Composite Server, XWayland, PulseAudio a FreeRDP.
Sestavovací systém CBL-Mariner vám umožňuje generovat jak jednotlivé balíčky RPM založené na souborech SPEC a zdrojovém kódu, tak i monolitické systémové obrazy generované pomocí sady nástrojů rpm-ostree a aktualizované atomicky bez rozdělení do samostatných balíčků. V souladu s tím jsou podporovány dva modely poskytování aktualizací: prostřednictvím aktualizace jednotlivých balíčků a prostřednictvím přestavby a aktualizace celého obrazu systému. K dispozici je úložiště přibližně 3000 XNUMX předem sestavených RPM balíčků, které můžete použít k vytvoření vlastních obrazů na základě konfiguračního souboru.
Distribuce obsahuje pouze nejnutnější komponenty a je optimalizována pro minimální spotřebu paměti a místa na disku a také vysokou rychlost načítání. Distribuce je také pozoruhodná zahrnutím různých dalších mechanismů pro zvýšení bezpečnosti. Projekt využívá přístup „maximální zabezpečení ve výchozím nastavení“. Je možné filtrovat systémová volání pomocí mechanismu seccomp, šifrovat diskové oddíly a ověřovat balíčky pomocí digitálního podpisu.
Jsou aktivovány režimy randomizace adresního prostoru podporované v linuxovém jádře a také ochranné mechanismy proti útokům pomocí symbolických odkazů, mmap, /dev/mem a /dev/kmem. Oblasti paměti, které obsahují segmenty s daty jádra a modulu, jsou nastaveny do režimu pouze pro čtení a provádění kódu je zakázáno. Volitelnou možností je zakázat načítání modulů jádra po inicializaci systému. K filtrování síťových paketů se používá sada nástrojů iptables. Ve fázi sestavení je ve výchozím nastavení povolena ochrana proti přetečení zásobníku, přetečení vyrovnávací paměti a problémům s formátováním řetězců (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
System manager systemd se používá ke správě služeb a bootování. Pro správu balíčků jsou k dispozici správci balíčků RPM a DNF. Server SSH není ve výchozím nastavení povolen. Pro instalaci distribuce je k dispozici instalační program, který může pracovat v textovém i grafickém režimu. Instalační program poskytuje možnost instalace s úplnou nebo základní sadou balíčků a nabízí rozhraní pro výběr diskového oddílu, výběr názvu hostitele a vytváření uživatelů.
Zdroj: opennet.ru