Microsoft hat das erste stabile Update des neuen Distributionszweigs CBL-Mariner 2.0 (Common Base Linux Mariner) veröffentlicht, der als universelle Basisplattform für Linux-Umgebungen entwickelt wird, die in Cloud-Infrastrukturen, Edge-Systemen und verschiedenen Microsoft-Diensten zum Einsatz kommen. Ziel des Projekts ist es, Microsoft-Linux-Lösungen zu vereinheitlichen und die Wartung von Linux-Systemen für verschiedene Einsatzzwecke zeitgemäß zu vereinfachen. Die Entwicklungen des Projekts werden unter der MIT-Lizenz vertrieben. Paket-Builds werden für die Architekturen aarch64 und x86_64 generiert.
Das neue Release zeichnet sich durch eine deutliche Aktualisierung der Programmversionen aus. Einschließlich aktualisierter Versionen des Linux-Kernels 5.15 (im 1.0-Zweig wurde der 5.4-Kernel verwendet), systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, Ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34 , Ostree 2022.1. Das Kern-Repository umfasst GUI-Komponenten wie Wayland 1.20, Mesa 21.0, GTK 3.24 und X.Org Server 1.20.10, die zuvor in einem separaten Coreui-Repository ausgeliefert wurden. Kernel-Builds mit PREEMPT_RT-Patches zur Verwendung in Echtzeitsystemen hinzugefügt.
Die CBL-Mariner-Distribution stellt einen kleinen Standardsatz an Basispaketen bereit, die als universelle Grundlage für die Erstellung der Inhalte von Containern, Host-Umgebungen und Diensten dienen, die in Cloud-Infrastrukturen und auf Edge-Geräten laufen. Komplexere und spezialisiertere Lösungen können durch das Hinzufügen zusätzlicher Pakete zu CBL-Mariner erstellt werden. Die Basis für alle derartigen Systeme bleibt jedoch dieselbe, was Wartung und Aktualisierungen erleichtert. CBL-Mariner dient beispielsweise als Basis für die WSLg-Minidistribution, die Grafik-Stack-Komponenten für die Ausführung von Linux-GUI-Anwendungen in Umgebungen bereitstellt, die auf dem WSL2-Subsystem (Windows Subsystem for Linux) basieren. Die erweiterte Funktionalität in WSLg wird durch die Aufnahme zusätzlicher Pakete mit Weston Composite Server, XWayland, PulseAudio und FreeRDP realisiert.
Mit dem CBL-Mariner-Build-System können Sie sowohl einzelne RPM-Pakete basierend auf SPEC-Dateien und Quellcode generieren als auch monolithische System-Images, die mit dem rpm-ostree-Toolkit generiert und atomar aktualisiert werden, ohne in separate Pakete aufzuteilen. Dementsprechend werden zwei Update-Bereitstellungsmodelle unterstützt: durch die Aktualisierung einzelner Pakete und durch Neuerstellung und Aktualisierung des gesamten Systemabbilds. Es steht ein Repository mit etwa 3000 vorgefertigten RPM-Paketen zur Verfügung, mit denen Sie Ihre eigenen Images basierend auf einer Konfigurationsdatei erstellen können.
Die Distribution enthält nur die notwendigsten Komponenten und ist auf minimalen Speicher- und Speicherplatzverbrauch sowie hohe Ladegeschwindigkeit optimiert. Die Distribution zeichnet sich außerdem dadurch aus, dass sie verschiedene zusätzliche Mechanismen zur Erhöhung der Sicherheit enthält. Das Projekt verfolgt den Ansatz „maximale Sicherheit standardmäßig“. Es ist möglich, Systemaufrufe mithilfe des Seccomp-Mechanismus zu filtern, Festplattenpartitionen zu verschlüsseln und Pakete mithilfe einer digitalen Signatur zu überprüfen.
Die im Linux-Kernel unterstützten Adressraum-Randomisierungsmodi sowie Schutzmechanismen gegen Symlink-Angriffe, mmap, /dev/mem und /dev/kmem sind aktiviert. Die Speicherbereiche, die Segmente mit Kernel- und Moduldaten enthalten, werden auf den Nur-Lese-Modus gesetzt und die Codeausführung ist verboten. Eine optionale Option besteht darin, das Laden von Kernelmodulen nach der Systeminitialisierung zu deaktivieren. Das iptables-Toolkit wird zum Filtern von Netzwerkpaketen verwendet. In der Build-Phase ist der Schutz vor Stapelüberläufen, Pufferüberläufen und Zeichenfolgenformatierungsproblemen standardmäßig aktiviert (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Der Systemmanager systemd dient der Verwaltung von Diensten und dem Booten. Für die Paketverwaltung stehen RPM- und DNF-Paketmanager zur Verfügung. Der SSH-Server ist standardmäßig nicht aktiviert. Zur Installation der Distribution wird ein Installationsprogramm bereitgestellt, das sowohl im Text- als auch im Grafikmodus arbeiten kann. Das Installationsprogramm bietet die Möglichkeit, die Installation mit einem vollständigen oder Basissatz an Paketen durchzuführen, und bietet eine Schnittstelle zum Auswählen einer Festplattenpartition, zum Auswählen eines Hostnamens und zum Erstellen von Benutzern.
Source: opennet.ru