Microsoft on julkaissut ensimmäisen vakaan päivityksen uudesta jakeluhaarasta CBL-Mariner 2.0 (Common Base Linux Mariner), jota kehitetään universaaliksi perusalustaksi pilviinfrastruktuurissa, reunajärjestelmissä ja erilaisissa Microsoftin palveluissa käytettäville Linux-ympäristöille. Hankkeen tavoitteena on yhtenäistää Microsoft Linux -ratkaisuja ja yksinkertaistaa Linux-järjestelmien ylläpitoa erilaisiin tarkoituksiin ajan tasalla. Projektin kehitystyötä jaetaan MIT-lisenssillä. Pakettien koontiversiot luodaan aarch64- ja x86_64-arkkitehtuureille.
Uusi julkaisu on huomionarvoinen ohjelmaversioiden merkittävästä päivityksestä. Sisältää päivitetyt versiot Linux-ytimestä 5.15 (1.0-haarassa käytettiin 5.4-ydintä), systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1. , ostree 5.34. Ydinvarasto sisältää GUI-komponentteja, kuten Wayland 2022.1, Mesa 1.20, GTK 21.0 ja X.Org Server 3.24, jotka toimitettiin aiemmin erillisessä coreui-tietovarastossa. Lisätty ytimen koontiversiot PREEMPT_RT-korjauspäivityksillä käytettäväksi reaaliaikaisissa järjestelmissä.
CBL-Mariner-jakelu tarjoaa pienen peruspaketin peruspaketteja, jotka toimivat universaalina pohjana pilviinfrastruktuureissa ja reuna-laitteissa toimivien säiliöiden, isäntäympäristöjen ja palveluiden sisällön luomiselle. Monimutkaisempia ja erikoistuneita ratkaisuja voidaan luoda lisäämällä lisäpaketteja CBL-Marinerin päälle, mutta kaikkien tällaisten järjestelmien perusta pysyy samana, mikä helpottaa ylläpitoa ja päivityksiä. Esimerkiksi CBL-Marineria käytetään perustana WSLg-minijakelulle, joka tarjoaa grafiikkapinokomponentteja Linuxin GUI-sovellusten suorittamiseen WSL2-alijärjestelmään (Windows Subsystem for Linux) perustuvissa ympäristöissä. Laajennettu toiminnallisuus WSLg:ssä toteutetaan sisällyttämällä lisäpaketteja Weston Composite Serverin, XWaylandin, PulseAudion ja FreeRDP:n kanssa.
CBL-Mariner-rakennusjärjestelmän avulla voit luoda sekä yksittäisiä RPM-paketteja SPEC-tiedostojen ja lähdekoodin perusteella että monoliittisia järjestelmäkuvia, jotka on luotu rpm-ostree-työkalupakin avulla ja päivitetty atomaalisesti jakamatta erillisiin paketteihin. Tämän mukaisesti tuetaan kahta päivityksen toimitusmallia: yksittäisten pakettien päivittämisellä ja koko järjestelmäkuvan uudelleenrakentamisella ja päivittämisellä. Saatavilla on noin 3000 XNUMX valmiiksi rakennetun RPM-paketin arkisto, joiden avulla voit rakentaa omia kuviasi asetustiedoston perusteella.
Jakelu sisältää vain tarpeellisimmat komponentit ja on optimoitu minimaaliseen muistin ja levytilan kulutukseen sekä suureen latausnopeuteen. Jakelu on huomionarvoista myös siitä, että se sisältää erilaisia lisämekanismeja turvallisuuden parantamiseksi. Projekti noudattaa "oletusarvoisesti suurinta turvallisuutta" -lähestymistapaa. On mahdollista suodattaa järjestelmäkutsuja seccomp-mekanismilla, salata levyosiot ja tarkistaa paketit digitaalisella allekirjoituksella.
Linux-ytimen tukemat osoitetilan satunnaistustilat sekä suojausmekanismit symlink-hyökkäyksiltä, mmap, /dev/mem ja /dev/kmem ovat aktivoituina. Muistialueet, jotka sisältävät segmenttejä, joissa on ydin- ja moduulitietoja, on asetettu vain luku -tilaan, ja koodin suorittaminen on kielletty. Valinnainen vaihtoehto on estää ydinmoduulien lataaminen järjestelmän alustuksen jälkeen. Iptables-työkalupakkia käytetään verkkopakettien suodattamiseen. Rakennusvaiheessa suojaus pinon ylivuodoilta, puskurin ylivuodoilta ja merkkijonojen muotoiluongelmilta on oletusarvoisesti käytössä (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Järjestelmänhallintaa systemd käytetään palvelujen hallintaan ja käynnistykseen. RPM- ja DNF-pakettien hallintaohjelmat tarjotaan pakettien hallintaa varten. SSH-palvelin ei ole oletusarvoisesti käytössä. Jakelun asentamista varten toimitetaan asennusohjelma, joka voi toimia sekä teksti- että graafisessa tilassa. Asennusohjelma tarjoaa mahdollisuuden asennukseen täydellä tai peruspaketilla ja tarjoaa käyttöliittymän levyosion valitsemiseen, isäntänimen valitsemiseen ja käyttäjien luomiseen.
Lähde: opennet.ru