Společnost Microsoft zveřejnila aktualizaci distribuční sady CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), která je vyvíjena jako univerzální základní platforma pro prostředí Linuxu používaná v cloudové infrastruktuře, okrajových systémech a různých službách společnosti Microsoft. Projekt je zaměřen na sjednocení řešení Microsoft Linux a zjednodušení údržby linuxových systémů pro různé účely. Vývoj projektu je distribuován pod licencí MIT. Balíčky jsou generovány pro architektury aarch64 a x86_64. Připravený spouštěcí obraz ISO (1.1 GB) pro architekturu x86_64.
V nové verzi:
- Aktualizované verze balíčků, včetně navrhovaných vydání jádra Linuxu 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Přidány nové balíčky cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Zahrnuté moduly pro změnu algoritmu řízení přetížení TCP (TCP Congestion).
- Opravy zranitelnosti byly přesunuty do balíčků libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
Distribuce CBL-Mariner poskytuje malou standardní sadu základních balíčků, které slouží jako univerzální základ pro vytváření obsahu kontejnerů, hostitelských prostředí a služeb běžících v cloudových infrastrukturách a na okrajových zařízeních. Složitější a specializovanější řešení lze vytvořit přidáním dalších balíčků nad CBL-Mariner, ale základ všech takových systémů zůstává stejný, což usnadňuje údržbu a aktualizace. Například CBL-Mariner se používá jako základ pro minidistribuci WSLg, která poskytuje komponenty grafického zásobníku pro spouštění aplikací GUI pro Linux v prostředích založených na subsystému WSL2 (Windows Subsystem for Linux). Rozšířená funkčnost ve WSLg je realizována zahrnutím dalších balíčků s Weston Composite Server, XWayland, PulseAudio a FreeRDP.
Sestavovací systém CBL-Mariner vám umožňuje generovat jak jednotlivé balíčky RPM založené na souborech SPEC a zdrojovém kódu, tak i monolitické systémové obrazy generované pomocí sady nástrojů rpm-ostree a aktualizované atomicky bez rozdělení do samostatných balíčků. V souladu s tím jsou podporovány dva modely poskytování aktualizací: prostřednictvím aktualizace jednotlivých balíčků a prostřednictvím přestavby a aktualizace celého obrazu systému. K dispozici je úložiště přibližně 3000 XNUMX předem sestavených RPM balíčků, které můžete použít k vytvoření vlastních obrazů na základě konfiguračního souboru.
Distribuce obsahuje pouze nejnutnější komponenty a je optimalizována pro minimální spotřebu paměti a místa na disku a také vysokou rychlost načítání. Distribuce je také pozoruhodná zahrnutím různých dalších mechanismů pro zvýšení bezpečnosti. Projekt využívá přístup „maximální zabezpečení ve výchozím nastavení“. Je možné filtrovat systémová volání pomocí mechanismu seccomp, šifrovat diskové oddíly a ověřovat balíčky pomocí digitálního podpisu.
Jsou aktivovány režimy randomizace adresního prostoru podporované v linuxovém jádře a také ochranné mechanismy proti útokům pomocí symbolických odkazů, mmap, /dev/mem a /dev/kmem. Oblasti paměti, které obsahují segmenty s daty jádra a modulu, jsou nastaveny do režimu pouze pro čtení a provádění kódu je zakázáno. Volitelnou možností je zakázat načítání modulů jádra po inicializaci systému. K filtrování síťových paketů se používá sada nástrojů iptables. Ve fázi sestavení je ve výchozím nastavení povolena ochrana proti přetečení zásobníku, přetečení vyrovnávací paměti a problémům s formátováním řetězců (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
System manager systemd se používá ke správě služeb a bootování. Pro správu balíčků jsou k dispozici správci balíčků RPM a DNF. Server SSH není ve výchozím nastavení povolen. Pro instalaci distribuce je k dispozici instalační program, který může pracovat v textovém i grafickém režimu. Instalační program poskytuje možnost instalace s úplnou nebo základní sadou balíčků a nabízí rozhraní pro výběr diskového oddílu, výběr názvu hostitele a vytváření uživatelů.
Zdroj: opennet.ru