Microsoft on avaldanud jaotuskomplekti CBL-Mariner 2.0.20221029 (Common Base Linux Mariner) uuenduse, mida arendatakse universaalse baasplatvormina Linuxi keskkondadele, mida kasutatakse pilveinfrastruktuuris, servasüsteemides ja erinevates Microsofti teenustes. Projekti eesmärk on ühendada Microsoft Linuxi lahendused ja lihtsustada erinevatel eesmärkidel kasutatavate Linuxi süsteemide ajakohastamist. Projekti arendusi levitatakse MIT litsentsi all. Paketid genereeritakse aarch64 ja x86_64 arhitektuuride jaoks. Alglaaditav ISO-pilt on ette valmistatud (1.1 GB) x86_64 arhitektuuri jaoks.
Uues versioonis:
- Värskendatud paketiversioonid, sealhulgas Linuxi kerneli 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, pakutud versioonid 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Lisatud uued paketid cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-comatability.
- Kaasas moodulid TCP ülekoormuse kontrolli algoritmi (TCP Congestion) muutmiseks.
- Haavatavuse parandused on teisaldatud pakettidele libtar, sidumata, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
CBL-Marineri distributsioon pakub väikest standardset komplekti põhipakette, mis on universaalseks aluseks pilveinfrastruktuurides ja servaseadmetes töötavate konteinerite, hostikeskkondade ja teenuste sisu loomiseks. Keerulisemaid ja spetsialiseeritud lahendusi saab luua lisapakettide lisamisega CBL-Marineri peale, kuid kõigi selliste süsteemide alus jääb samaks, muutes hoolduse ja uuendamise lihtsamaks. Näiteks kasutatakse CBL-Marinerit WSLg mini-levituse alusena, mis pakub graafikapinu komponente Linuxi GUI rakenduste käitamiseks WSL2 (Windows Subsystem for Linux) alamsüsteemil põhinevates keskkondades. WSLg laiendatud funktsionaalsus saavutatakse Weston Composite Serveri, XWaylandi, PulseAudio ja FreeRDP-ga täiendavate pakettide kaasamise kaudu.
CBL-Marineri ehitussüsteem võimaldab genereerida nii individuaalseid RPM-pakette SPEC-failide ja lähtekoodi põhjal kui ka monoliitseid süsteemipilte, mis on genereeritud rpm-ostree tööriistakomplekti abil ja mida värskendatakse aatomipõhiselt ilma eraldi pakettidena jagamata. Sellest lähtuvalt toetatakse kahte värskenduste tarnemudelit: üksikute pakettide värskendamise ning kogu süsteemipildi ümberehitamise ja värskendamise kaudu. Saadaval on umbes 3000 eelehitatud RPM-paketi hoidla, mida saate kasutada konfiguratsioonifaili põhjal oma piltide koostamiseks.
Jaotus sisaldab ainult kõige vajalikumaid komponente ja on optimeeritud minimaalse mälu- ja kettaruumi tarbimise ning suure laadimiskiiruse jaoks. Jaotus on tähelepanuväärne ka erinevate lisamehhanismide lisamisega turvalisuse suurendamiseks. Projekt kasutab vaikimisi maksimaalset turvalisust. Süsteemikõnesid on võimalik filtreerida seccomp-mehhanismi abil, krüptida ketta partitsioone ja kontrollida pakette digitaalallkirja abil.
Aktiveeritakse Linuxi kerneli toetatud aadressiruumi randomiseerimisrežiimid, samuti kaitsemehhanismid sümlinki rünnakute, mmap, /dev/mem ja /dev/kmem vastu. Mälupiirkonnad, mis sisaldavad kerneli ja mooduli andmetega segmente, on seatud kirjutuskaitstud režiimile ja koodi täitmine on keelatud. Valikuline võimalus on keelata kerneli moodulite laadimine pärast süsteemi initsialiseerimist. Võrgupakettide filtreerimiseks kasutatakse tööriistakomplekti iptables. Koostamisetapis on kaitse virna ületäitumise, puhvri ületäitumise ja stringi vormindamise probleemide eest vaikimisi lubatud (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Süsteemihaldurit systemd kasutatakse teenuste haldamiseks ja alglaadimiseks. Paketihalduseks on ette nähtud RPM- ja DNF-paketihaldurid. SSH-server ei ole vaikimisi lubatud. Jaotuse installimiseks on kaasas installer, mis võib töötada nii teksti- kui ka graafilises režiimis. Installer pakub võimalust installida täis- või põhipakettidega ning pakub liidest kettapartitsiooni valimiseks, hostinime valimiseks ja kasutajate loomiseks.
Allikas: opennet.ru