Microsoft publicou unha actualización do kit de distribución CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), que se está a desenvolver como unha plataforma base universal para ambientes Linux utilizados en infraestruturas de nube, sistemas de borde e varios servizos de Microsoft. O proxecto ten como obxectivo unificar as solucións de Microsoft Linux e simplificar o mantemento dos sistemas Linux para diversos fins actualizados. Os desenvolvementos do proxecto distribúense baixo a licenza MIT. Xéranse paquetes para arquitecturas aarch64 e x86_64. Imaxe ISO de arranque preparada (1.1 GB) para a arquitectura x86_64.
Na nova versión:
- Versións actualizadas do paquete, incluíndo versións propostas do núcleo Linux 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2. 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Engadíronse novos paquetes cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Módulos incluídos para cambiar o algoritmo de control de conxestión TCP (TCP Congestion).
- As correccións de vulnerabilidade movéronse aos paquetes libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql e terraform.
A distribución CBL-Mariner ofrece un pequeno conxunto estándar de paquetes básicos que serven de base universal para crear contidos de contedores, ambientes host e servizos que se executan en infraestruturas na nube e en dispositivos de punta. Pódense crear solucións máis complexas e especializadas engadindo paquetes adicionais enriba de CBL-Mariner, pero a base de todos estes sistemas segue sendo a mesma, facilitando o mantemento e as actualizacións. Por exemplo, CBL-Mariner utilízase como base para a minidistribución WSLg, que proporciona compoñentes da pila de gráficos para executar aplicacións GUI de Linux en ambientes baseados no subsistema WSL2 (Windows Subsystem for Linux). A funcionalidade estendida en WSLg realízase mediante a inclusión de paquetes adicionais con Weston Composite Server, XWayland, PulseAudio e FreeRDP.
O sistema de compilación CBL-Mariner permítelle xerar paquetes RPM individuais baseados en ficheiros SPEC e código fonte, así como imaxes monolíticas do sistema xeradas mediante o kit de ferramentas rpm-ostree e actualizadas atómicamente sen dividir en paquetes separados. En consecuencia, son compatibles dous modelos de entrega de actualizacións: mediante a actualización de paquetes individuais e a través da reconstrución e actualización da imaxe completa do sistema. Hai dispoñible un repositorio de aproximadamente 3000 paquetes RPM preconstruídos que podes usar para crear as túas propias imaxes baseadas nun ficheiro de configuración.
A distribución inclúe só os compoñentes máis necesarios e está optimizada para un consumo mínimo de memoria e espazo en disco, así como unha alta velocidade de carga. A distribución tamén destaca pola inclusión de varios mecanismos adicionais para mellorar a seguridade. O proxecto adopta un enfoque de "máxima seguridade por defecto". É posible filtrar as chamadas do sistema usando o mecanismo seccomp, cifrar particións de disco e verificar paquetes mediante unha sinatura dixital.
Actívanse os modos de aleatorización do espazo de enderezos admitidos no núcleo de Linux, así como os mecanismos de protección contra ataques de ligazóns simbólicas, mmap, /dev/mem e /dev/kmem. As áreas de memoria que conteñen segmentos con datos do núcleo e do módulo están configuradas en modo de só lectura e a execución de código está prohibida. Unha opción opcional é desactivar a carga de módulos do núcleo despois da inicialización do sistema. O kit de ferramentas iptables úsase para filtrar paquetes de rede. Na fase de compilación, a protección contra desbordamentos de pila, desbordamentos de búfer e problemas de formato de cadeas está activada por defecto (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
O xestor do sistema systemd úsase para xestionar servizos e arrancar. Proporciónanse xestores de paquetes RPM e DNF para a xestión de paquetes. O servidor SSH non está activado por defecto. Para instalar a distribución, ofrécese un instalador que pode funcionar tanto en modo texto como gráfico. O instalador ofrece a opción de instalar un conxunto completo ou básico de paquetes e ofrece unha interface para seleccionar unha partición de disco, seleccionar un nome de host e crear usuarios.
Fonte: opennet.ru