Microsoft ha publicado una actualización del kit de distribución CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), que se está desarrollando como una plataforma base universal para entornos Linux utilizados en infraestructura de nube, sistemas perimetrales y diversos servicios de Microsoft. El proyecto tiene como objetivo unificar las soluciones de Microsoft Linux y simplificar el mantenimiento de los sistemas Linux para diversos fines actualizados. Los desarrollos del proyecto se distribuyen bajo licencia MIT. Los paquetes se generan para las arquitecturas aarch64 y x86_64. Imagen ISO de arranque preparada (1.1 GB) para arquitectura x86_64.
Versículos nuevos:
- Versiones de paquetes actualizadas, incluidas las versiones propuestas del kernel de Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, tidy 5.8.0, Wirehark 3.4.16, nginx 1.22.1.
- Se agregaron nuevos paquetes cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Módulos incluidos para cambiar el algoritmo de control de congestión TCP (TCP Congestion).
- Las correcciones de vulnerabilidades se han trasladado a los paquetes libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql y terraform.
La distribución CBL-Mariner proporciona un pequeño conjunto estándar de paquetes básicos que sirven como base universal para crear contenidos de contenedores, entornos de host y servicios que se ejecutan en infraestructuras de nube y en dispositivos perimetrales. Se pueden crear soluciones más complejas y especializadas agregando paquetes adicionales además de CBL-Mariner, pero la base de todos estos sistemas sigue siendo la misma, lo que facilita el mantenimiento y las actualizaciones. Por ejemplo, CBL-Mariner se utiliza como base para la minidistribución WSLg, que proporciona componentes de pila de gráficos para ejecutar aplicaciones GUI de Linux en entornos basados en el subsistema WSL2 (Subsistema de Windows para Linux). La funcionalidad ampliada en WSLg se logra mediante la inclusión de paquetes adicionales con Weston Composite Server, XWayland, PulseAudio y FreeRDP.
El sistema de compilación CBL-Mariner le permite generar paquetes RPM individuales basados en archivos SPEC y código fuente, así como imágenes monolíticas del sistema generadas utilizando el kit de herramientas rpm-ostree y actualizadas atómicamente sin dividirse en paquetes separados. En consecuencia, se admiten dos modelos de entrega de actualizaciones: mediante la actualización de paquetes individuales y mediante la reconstrucción y actualización de toda la imagen del sistema. Hay disponible un repositorio de aproximadamente 3000 paquetes RPM prediseñados que puede utilizar para crear sus propias imágenes basadas en un archivo de configuración.
La distribución incluye solo los componentes más necesarios y está optimizada para un consumo mínimo de memoria y espacio en disco, así como una alta velocidad de carga. La distribución también destaca por la inclusión de varios mecanismos adicionales para mejorar la seguridad. El proyecto adopta un enfoque de “máxima seguridad por defecto”. Es posible filtrar llamadas al sistema utilizando el mecanismo seccomp, cifrar particiones de disco y verificar paquetes mediante una firma digital.
Se activan los modos de aleatorización del espacio de direcciones soportados en el kernel de Linux, así como los mecanismos de protección contra ataques de enlaces simbólicos, mmap, /dev/mem y /dev/kmem. Las áreas de memoria que contienen segmentos con datos del núcleo y del módulo están configuradas en modo de solo lectura y la ejecución de código está prohibida. Una opción opcional es desactivar la carga de módulos del kernel después de la inicialización del sistema. El kit de herramientas iptables se utiliza para filtrar paquetes de red. En la etapa de compilación, la protección contra desbordamientos de pila, desbordamientos de búfer y problemas de formato de cadenas está habilitada de forma predeterminada (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
El administrador del sistema systemd se utiliza para administrar servicios y arrancar. Se proporcionan administradores de paquetes RPM y DNF para la gestión de paquetes. El servidor SSH no está habilitado de forma predeterminada. Para instalar la distribución, se proporciona un instalador que puede funcionar tanto en modo texto como gráfico. El instalador ofrece la opción de instalar con un conjunto de paquetes completo o básico y ofrece una interfaz para seleccionar una partición de disco, seleccionar un nombre de host y crear usuarios.
Fuente: opennet.ru