Microsoft har udgivet en opdatering til distributionssættet CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), som udvikles som en universel basisplatform til Linux-miljøer, der bruges i cloud-infrastruktur, edge-systemer og forskellige Microsoft-tjenester. Projektet har til formål at forene Microsoft Linux-løsninger og forenkle vedligeholdelsen af Linux-systemer til forskellige formål up to date. Projektets udviklinger distribueres under MIT-licensen. Pakker genereres til aarch64 og x86_64 arkitekturer. Opstartbart ISO-billede forberedt (1.1 GB) til x86_64-arkitektur.
I den nye version:
- Opdaterede pakkeversioner, inklusive foreslåede udgivelser af Linux-kerne 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy. 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Tilføjet nye pakker cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Inkluderede moduler til ændring af TCP overbelastningskontrolalgoritmen (TCP Congestion).
- Sårbarhedsrettelser er blevet flyttet til pakkerne libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
CBL-Mariner-distributionen leverer et lille standardsæt af basispakker, der tjener som et universelt grundlag for at skabe indholdet af containere, værtsmiljøer og tjenester, der kører i cloud-infrastrukturer og på kant-enheder. Mere komplekse og specialiserede løsninger kan skabes ved at tilføje yderligere pakker oven på CBL-Mariner, men grundlaget for alle sådanne systemer forbliver det samme, hvilket gør vedligeholdelse og opdateringer nemmere. For eksempel bruges CBL-Mariner som grundlag for WSLg-minidistributionen, som leverer grafikstackkomponenter til at køre Linux GUI-applikationer i miljøer baseret på WSL2 (Windows Subsystem for Linux) undersystemet. Udvidet funktionalitet i WSLg realiseres gennem inklusion af yderligere pakker med Weston Composite Server, XWayland, PulseAudio og FreeRDP.
CBL-Mariner-byggesystemet giver dig mulighed for at generere både individuelle RPM-pakker baseret på SPEC-filer og kildekode, såvel som monolitiske systembilleder, der er genereret ved hjælp af rpm-ostree-værktøjssættet og opdateret atomisk uden opdeling i separate pakker. Følgelig understøttes to opdateringsleveringsmodeller: gennem opdatering af individuelle pakker og gennem genopbygning og opdatering af hele systembilledet. Et lager med cirka 3000 forudbyggede RPM-pakker er tilgængeligt, som du kan bruge til at bygge dine egne billeder baseret på en konfigurationsfil.
Distributionen omfatter kun de mest nødvendige komponenter og er optimeret til minimalt forbrug af hukommelse og diskplads, samt høj indlæsningshastighed. Fordelingen er også bemærkelsesværdig for medtagelsen af forskellige yderligere mekanismer for at øge sikkerheden. Projektet tager en "maksimal sikkerhed som standard" tilgang. Det er muligt at filtrere systemkald ved hjælp af seccomp-mekanismen, kryptere diskpartitioner og verificere pakker ved hjælp af en digital signatur.
Randomiseringstilstande for adresserum, der understøttes i Linux-kernen, aktiveres, såvel som beskyttelsesmekanismer mod symlink-angreb, mmap, /dev/mem og /dev/kmem. Hukommelsesområderne, der indeholder segmenter med kerne- og moduldata, er indstillet til skrivebeskyttet tilstand, og kodeudførelse er forbudt. En mulighed er tilgængelig for at deaktivere indlæsning af kernemoduler efter systeminitialisering. iptables-værktøjssættet bruges til at filtrere netværkspakker. På byggestadiet er beskyttelse mod stackoverløb, bufferoverløb og strengformateringsproblemer aktiveret som standard (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Systemadministratoren systemd bruges til at administrere tjenester og boote. RPM- og DNF-pakkeadministratorer leveres til pakkehåndtering. SSH-serveren er ikke aktiveret som standard. For at installere distributionen leveres et installationsprogram, der kan fungere i både tekst- og grafisk tilstand. Installationsprogrammet giver mulighed for at installere med et komplet eller grundlæggende sæt pakker og tilbyder en grænseflade til at vælge en diskpartition, vælge et værtsnavn og oprette brugere.
Kilde: opennet.ru