Společnost Microsoft zveřejnila aktualizaci distribuční sady CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), která je vyvíjena jako univerzální základní platforma pro prostředí Linuxu používaná v cloudové infrastruktuře, okrajových systémech a různých službách společnosti Microsoft. Projekt je zaměřen na sjednocení řešení Microsoft Linux a zjednodušení údržby linuxových systémů pro různé účely. Vývoj projektu je distribuován pod licencí MIT. Balíčky jsou generovány pro architektury aarch64 a x86_64. Připravený spouštěcí obraz ISO (1.1 GB) pro architekturu x86_64.
V nové verzi:
- Aktualizované verze balíčků, včetně navrhovaných vydání jádra Linuxu 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Přidány nové balíčky cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Zahrnuté moduly pro změnu algoritmu řízení přetížení TCP (TCP Congestion).
- Opravy zranitelnosti byly přesunuty do balíčků libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
Distribuce CBL-Mariner poskytuje malou standardní sadu základních balíčků, které slouží jako univerzální základ pro vytváření kontejnerových frameworků, hostitelských prostředí a služeb běžících v cloudových infrastrukturách a na edge zařízeních. Složitější a specializovanější řešení lze vytvořit přidáním dalších balíčků nad CBL-Mariner, ale jádro všech takových systémů zůstává stejné, což zjednodušuje údržbu a přípravu aktualizací. Například CBL-Mariner se používá jako základ minidistribuce WSLg, která poskytuje grafické komponenty pro spouštění linuxových aplikací s grafickým rozhraním v prostředích založených na WSL2 (Windows Subsystem for Linux). Rozšířená funkčnost ve WSLg je implementována zahrnutím dalších balíčků s kompozitními prvky. server Weston, XWayland, PulseAudio a FreeRDP.
Sestavovací systém CBL-Mariner vám umožňuje generovat jak jednotlivé balíčky RPM založené na souborech SPEC a zdrojovém kódu, tak i monolitické systémové obrazy generované pomocí sady nástrojů rpm-ostree a aktualizované atomicky bez rozdělení do samostatných balíčků. V souladu s tím jsou podporovány dva modely poskytování aktualizací: prostřednictvím aktualizace jednotlivých balíčků a prostřednictvím přestavby a aktualizace celého obrazu systému. K dispozici je úložiště přibližně 3000 XNUMX předem sestavených RPM balíčků, které můžete použít k vytvoření vlastních obrazů na základě konfiguračního souboru.
Distribuce obsahuje pouze nejnutnější komponenty a je optimalizována pro minimální spotřebu paměti a místa na disku a také vysokou rychlost načítání. Distribuce je také pozoruhodná zahrnutím různých dalších mechanismů pro zvýšení bezpečnosti. Projekt využívá přístup „maximální zabezpečení ve výchozím nastavení“. Je možné filtrovat systémová volání pomocí mechanismu seccomp, šifrovat diskové oddíly a ověřovat balíčky pomocí digitálního podpisu.
Jsou aktivovány režimy randomizace adresního prostoru podporované v linuxovém jádře a také ochranné mechanismy proti útokům pomocí symbolických odkazů, mmap, /dev/mem a /dev/kmem. Oblasti paměti, které obsahují segmenty s daty jádra a modulu, jsou nastaveny do režimu pouze pro čtení a provádění kódu je zakázáno. Volitelnou možností je zakázat načítání modulů jádra po inicializaci systému. K filtrování síťových paketů se používá sada nástrojů iptables. Ve fázi sestavení je ve výchozím nastavení povolena ochrana proti přetečení zásobníku, přetečení vyrovnávací paměti a problémům s formátováním řetězců (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
System manager systemd se používá ke správě služeb a bootování. Pro správu balíčků jsou k dispozici správci balíčků RPM a DNF. Server SSH není ve výchozím nastavení povolen. Pro instalaci distribuce je k dispozici instalační program, který může pracovat v textovém i grafickém režimu. Instalační program poskytuje možnost instalace s úplnou nebo základní sadou balíčků a nabízí rozhraní pro výběr diskového oddílu, výběr názvu hostitele a vytváření uživatelů.
Zdroj: opennet.ru
