Microsoft a publié la première mise à jour stable de la nouvelle branche de distribution CBL-Mariner 2.0 (Common Base Linux Mariner), qui est développée en tant que plate-forme de base universelle pour les environnements Linux utilisés dans l'infrastructure cloud, les systèmes de périphérie et divers services Microsoft. Le projet vise à unifier les solutions Microsoft Linux et à simplifier la maintenance des systèmes Linux à diverses fins. Les développements du projet sont distribués sous licence MIT. Les versions de packages sont générées pour les architectures aarch64 et x86_64.
La nouvelle version se distingue par la mise à jour importante des versions du programme. Y compris les versions mises à jour du noyau Linux 5.15 (dans la branche 1.0, le noyau 5.4 a été utilisé), systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, perl 5.34 , ostrée 2022.1. Le référentiel principal comprend des composants GUI tels que Wayland 1.20, Mesa 21.0, GTK 3.24 et X.Org Server 1.20.10, qui étaient auparavant livrés dans un référentiel coreui distinct. Ajout de versions de noyau avec les correctifs PREEMPT_RT pour une utilisation dans les systèmes en temps réel.
Le kit de distribution CBL-Mariner fournit un petit ensemble standard de packages de base qui servent de base universelle pour créer le remplissage de conteneurs, d'environnements hôtes et de services lancés dans les infrastructures cloud et les appareils de pointe. Des solutions plus complexes et spécialisées peuvent être créées en ajoutant des packages supplémentaires au-dessus du CBL-Mariner, mais la base de tous ces systèmes reste la même, ce qui facilite la maintenance et la préparation des mises à niveau. Par exemple, CBL-Mariner est utilisé comme base pour la mini-distribution WSLg, qui fournit des composants de pile graphique pour exécuter des applications Linux GUI dans les environnements WSL2 (Windows Subsystem for Linux). La fonctionnalité étendue de WSLg est réalisée grâce à l'inclusion de packages supplémentaires avec Weston Composite Server, XWayland, PulseAudio et FreeRDP.
Le système de construction CBL-Mariner vous permet de générer à la fois des packages RPM distincts basés sur des fichiers et des sources SPEC, ainsi que des images système monolithiques générées à l'aide de la boîte à outils rpm-ostree et mises à jour de manière atomique sans diviser en packages séparés. En conséquence, deux modèles de livraison de mises à jour sont pris en charge : en mettant à jour des packages individuels et en reconstruisant et en mettant à jour l'intégralité de l'image système. Un référentiel est disponible avec environ 3000 XNUMX RPM déjà construits que vous pouvez utiliser pour créer vos propres images basées sur le fichier de configuration.
La distribution ne comprend que les composants les plus nécessaires et est optimisée pour une consommation minimale de mémoire et d'espace disque, ainsi que pour des vitesses de téléchargement élevées. La distribution se distingue également par l’inclusion de divers mécanismes de sécurité supplémentaires. Le projet utilise une approche de « sécurité maximale par défaut ». Il offre la possibilité de filtrer les appels système à l'aide du mécanisme seccomp, de chiffrer les partitions de disque et de vérifier les packages par signature numérique.
Les modes de randomisation de l'espace d'adressage supportés dans le noyau Linux, ainsi que les mécanismes de protection contre les attaques liées aux liens symboliques, mmap, /dev/mem et /dev/kmem, sont activés. Pour les zones mémoire contenant des segments avec des données de noyau et de module, le mode est défini sur lecture seule et l'exécution de code est interdite. En option, la possibilité de désactiver le chargement des modules du noyau après l'initialisation du système est disponible en option. La boîte à outils iptables est utilisée pour filtrer les paquets réseau. Par défaut, la passe de build active les modes de protection contre les débordements de pile, les débordements de tampon et les problèmes de formatage de chaîne (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Le gestionnaire système systemd est utilisé pour gérer les services et le démarrage. Les gestionnaires de packages RPM et DNF sont fournis pour la gestion des packages. Le serveur SSH n'est pas activé par défaut. Pour installer la distribution, un programme d'installation est fourni qui peut fonctionner à la fois en mode texte et en mode graphique. Le programme d'installation offre la possibilité d'installer un ensemble complet ou de base de packages, offre une interface pour sélectionner une partition de disque, choisir un nom d'hôte et créer des utilisateurs.
Source: opennet.ru