Microsoft je objavio ažuriranje distribucijskog kompleta CBL-Mariner 2.0.20221029 (Common Base Linux Mariner), koji se razvija kao univerzalna bazna platforma za Linux okruženja koja se koriste u infrastrukturi oblaka, rubnim sustavima i raznim Microsoftovim servisima. Projekt je usmjeren na objedinjavanje Microsoft Linux rješenja i pojednostavljenje održavanja Linux sustava za različite namjene do danas. Razvoj projekta distribuira se pod licencom MIT-a. Paketi su generirani za aarch64 i x86_64 arhitekture. ISO slika za pokretanje pripremljena (1.1 GB) za x86_64 arhitekturu.
U novoj verziji:
- Ažurirane verzije paketa, uključujući predložena izdanja Linux kernela 5.15.74, PHP 8.1.11, nodejs 16.17.1, cassandra 4.0.7, dbus 1.15.2, expat 2.5.0, mysql 8.0.31, terraform 1.32.2, uredan 5.8.0, wireshark 3.4.16, nginx 1.22.1.
- Dodani su novi paketi cairomm 1.12.0, cpptest 1.1.2, k-exec-tools, kernel-drivers-gpu, libcroco 0.6.13, python-google-auth-oauthlib, sgx-backwards-compatability.
- Uključeni moduli za promjenu algoritma za kontrolu TCP zagušenja (TCP zagušenja).
- Popravci ranjivosti premješteni su u pakete libtar, unbound, aspell, libtiff, redis, livepatch, libtasn1, PHP, nodejs, dbus, expat, mod_wsgi, wireshark, nginx, mysql, terraform.
Distribucija CBL-Mariner pruža mali standardni skup osnovnih paketa koji služe kao univerzalna osnova za kreiranje sadržaja spremnika, host okruženja i usluga koje se izvode u infrastrukturi oblaka i na rubnim uređajima. Složenija i specijalizirana rješenja mogu se stvoriti dodavanjem dodatnih paketa na CBL-Mariner, ali osnova za sve takve sustave ostaje ista, što olakšava održavanje i ažuriranje. Na primjer, CBL-Mariner se koristi kao osnova za WSLg mini distribuciju, koja pruža komponente grafičkog skupa za pokretanje Linux GUI aplikacija u okruženjima temeljenim na podsustavu WSL2 (Windows Subsystem for Linux). Proširena funkcionalnost u WSLg-u ostvarena je uključivanjem dodatnih paketa s Weston Composite Serverom, XWaylandom, PulseAudiom i FreeRDP-om.
Sustav izrade CBL-Mariner omogućuje vam generiranje pojedinačnih RPM paketa na temelju SPEC datoteka i izvornog koda, kao i monolitnih slika sustava generiranih korištenjem alata rpm-ostree i ažuriranih atomski bez razdvajanja u zasebne pakete. Sukladno tome, podržana su dva modela isporuke ažuriranja: kroz ažuriranje pojedinačnih paketa i kroz ponovnu izgradnju i ažuriranje cjelokupne slike sustava. Dostupno je spremište od približno 3000 unaprijed izgrađenih RPM paketa koje možete koristiti za izradu vlastitih slika na temelju konfiguracijske datoteke.
Distribucija uključuje samo najnužnije komponente i optimizirana je za minimalnu potrošnju memorije i prostora na disku, kao i veliku brzinu učitavanja. Distribucija je također značajna po uključivanju raznih dodatnih mehanizama za poboljšanje sigurnosti. Projekt ima pristup "maksimalne sigurnosti prema zadanim postavkama". Moguće je filtrirati sistemske pozive pomoću mehanizma seccomp, šifrirati particije diska i verificirati pakete pomoću digitalnog potpisa.
Aktiviraju se načini randomizacije adresnog prostora podržani u jezgri Linuxa, kao i mehanizmi zaštite od napada simboličke veze, mmap, /dev/mem i /dev/kmem. Područja memorije koja sadrže segmente s podacima jezgre i modula postavljena su na način rada samo za čitanje i izvršenje koda je zabranjeno. Opcijska opcija je onemogućavanje učitavanja modula jezgre nakon inicijalizacije sustava. Iptables alat se koristi za filtriranje mrežnih paketa. U fazi izgradnje, zaštita od prekoračenja stogova, prekoračenja međuspremnika i problema s formatiranjem nizova omogućena je prema zadanim postavkama (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Upravitelj sustava systemd koristi se za upravljanje uslugama i podizanje sustava. RPM i DNF upravitelji paketa dostupni su za upravljanje paketima. SSH poslužitelj nije omogućen prema zadanim postavkama. Za instalaciju distribucije osiguran je instalacijski program koji može raditi iu tekstualnom iu grafičkom načinu rada. Instalacijski program nudi mogućnost instalacije s punim ili osnovnim skupom paketa i nudi sučelje za odabir particije diska, odabir naziva glavnog računala i kreiranje korisnika.
Izvor: opennet.ru