Microsoft publicou a primeira actualización estable da nova rama de distribución CBL-Mariner 2.0 (Common Base Linux Mariner), que se está a desenvolver como unha plataforma base universal para contornas Linux utilizadas en infraestruturas de nube, sistemas de borde e varios servizos de Microsoft. O proxecto ten como obxectivo unificar as solucións de Microsoft Linux e simplificar o mantemento dos sistemas Linux para diversos fins actualizados. Os desenvolvementos do proxecto distribúense baixo a licenza MIT. As compilacións de paquetes xéranse para as arquitecturas aarch64 e x86_64.
A nova versión destaca pola importante actualización das versións do programa. Incluíndo versións actualizadas do núcleo de Linux 5.15 (na rama 1.0 utilizouse o núcleo 5.4), systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby 3.1.2, rpm 4.17, qemu 6.1, qemule 5.34 , estrea 2022.1. O repositorio principal inclúe compoñentes da GUI como Wayland 1.20, Mesa 21.0, GTK 3.24 e X.Org Server 1.20.10, que anteriormente se enviaron nun repositorio coreui separado. Engadíronse compilacións do núcleo con parches PREEMPT_RT para usar en sistemas en tempo real.
A distribución CBL-Mariner ofrece un pequeno conxunto estándar de paquetes básicos que serven de base universal para crear contidos de contedores, ambientes host e servizos que se executan en infraestruturas na nube e en dispositivos de punta. Pódense crear solucións máis complexas e especializadas engadindo paquetes adicionais enriba de CBL-Mariner, pero a base de todos estes sistemas segue sendo a mesma, facilitando o mantemento e as actualizacións. Por exemplo, CBL-Mariner utilízase como base para a minidistribución WSLg, que proporciona compoñentes da pila de gráficos para executar aplicacións GUI de Linux en ambientes baseados no subsistema WSL2 (Windows Subsystem for Linux). A funcionalidade estendida en WSLg realízase mediante a inclusión de paquetes adicionais con Weston Composite Server, XWayland, PulseAudio e FreeRDP.
O sistema de compilación CBL-Mariner permítelle xerar paquetes RPM individuais baseados en ficheiros SPEC e código fonte, así como imaxes monolíticas do sistema xeradas mediante o kit de ferramentas rpm-ostree e actualizadas atómicamente sen dividir en paquetes separados. En consecuencia, son compatibles dous modelos de entrega de actualizacións: mediante a actualización de paquetes individuais e a través da reconstrución e actualización da imaxe completa do sistema. Hai dispoñible un repositorio de aproximadamente 3000 paquetes RPM preconstruídos que podes usar para crear as túas propias imaxes baseadas nun ficheiro de configuración.
A distribución inclúe só os compoñentes máis necesarios e está optimizada para un consumo mínimo de memoria e espazo en disco, así como unha alta velocidade de carga. A distribución tamén destaca pola inclusión de varios mecanismos adicionais para mellorar a seguridade. O proxecto adopta un enfoque de "máxima seguridade por defecto". É posible filtrar as chamadas do sistema usando o mecanismo seccomp, cifrar particións de disco e verificar paquetes mediante unha sinatura dixital.
Actívanse os modos de aleatorización do espazo de enderezos admitidos no núcleo de Linux, así como os mecanismos de protección contra ataques de ligazóns simbólicas, mmap, /dev/mem e /dev/kmem. As áreas de memoria que conteñen segmentos con datos do núcleo e do módulo están configuradas en modo de só lectura e a execución de código está prohibida. Unha opción opcional é desactivar a carga de módulos do núcleo despois da inicialización do sistema. O kit de ferramentas iptables úsase para filtrar paquetes de rede. Na fase de compilación, a protección contra desbordamentos de pila, desbordamentos de búfer e problemas de formato de cadeas está activada por defecto (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
O xestor do sistema systemd úsase para xestionar servizos e arrancar. Proporciónanse xestores de paquetes RPM e DNF para a xestión de paquetes. O servidor SSH non está activado por defecto. Para instalar a distribución, ofrécese un instalador que pode funcionar tanto en modo texto como gráfico. O instalador ofrece a opción de instalar un conxunto completo ou básico de paquetes e ofrece unha interface para seleccionar unha partición de disco, seleccionar un nome de host e crear usuarios.
Fonte: opennet.ru